Última atualização: 15 de setembro de 2023.
Este Acordo Adicional de Processamento de Dados (“DPA”) é um acordo entre você e a entidade que você representa (“Cliente”, “você” ou “seu”) e a Mapsly LLC (“MAPSLY”). Este DPA complementa os Termos de Serviço da MAPSLY disponíveis em https://mapsly.com/terms, conforme atualizado de tempos em tempos entre o Cliente e a MAPSLY, ou outros acordos entre o Cliente e a MAPSLY que regem o uso dos Serviços MAPSLY pelo Cliente (o “Contrato”).
Definições. Todos os termos em maiúsculas usados neste DPA terão os significados que lhes forem atribuídos abaixo, salvo se definido de outra forma no Contrato:
“API” significa uma interface de programação de aplicações.
“Lei Aplicável de Proteção de Dados” significa todas as leis e regulamentos aplicáveis e vinculativos à tratamento de Dados do Cliente por uma parte, incluindo, conforme aplicável, o GDPR.
“Regras Corporativas Vinculativas” tem o significado que lhe é dado no GDPR.
“Controlador” tem o significado que lhe é dado no GDPR.
“Cláusulas do Controlador para o Processador” significa as cláusulas contratuais padrão entre Controladores e Processadores para Transferências de Dados, conforme aprovado pela Decisão de Execução da Comissão Europeia (UE) 2021/914 de 4 de junho de 2021.
“Dados do cliente” significa os Dados Pessoais que são carregados nos Serviços sob as contas MAPSLY do Cliente.
“Documentação” significa a documentação vigente na época para os Serviços localizada em https://help.mapsly.com (e quaisquer locais sucessores designados pelo MAPSLY).
“EEE” significa o Espaço Económico Europeu.
“Usuários finais” refere-se aos usuários da conta Mapsly do Cliente, incluindo funcionários e contratados do Cliente que foram designados pelo Cliente para usar o Mapsly.
“GDPR” significa o Regulamento 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados).
“Rede MAPSLY” significa os servidores, equipamentos de rede e sistemas de software host (por exemplo, firewalls virtuais) que estão sob o controle da MAPSLY e são usados para fornecer os Serviços.
“Console de configuração MAPSLY” significa a seção Configuração no serviço Mapsly disponível em “Configuração” no menu principal.
“Dados pessoais” significa dados pessoais, informações pessoais, informações pessoalmente identificáveis ou outro termo equivalente (cada um conforme definido na Lei de Proteção de Dados Aplicável).
“Processando” tem o significado dado a ele no RGPD e “processar”, “processos” e “processado” serão interpretados de acordo.
“Processador” tem o significado que lhe é dado no GDPR.
Cláusulas de Processador para Processador significa as cláusulas contratuais padrão entre Processadores para Transferências de Dados, conforme aprovadas pela Decisão de Execução (UE) 2021/914 da Comissão Europeia de 4 de junho de 2021.
Incidente de segurança significa uma violação da segurança da MAPSLY que leva à destruição, perda, alteração acidental ou ilícita, divulgação não autorizada ou acesso a Dados do Cliente.
Controles de Serviço significa os controles, incluindo os recursos e funcionalidades de segurança, que os Serviços fornecem, conforme descrito na Documentação.
Cláusulas Contratuais Padrão” significa (i) as Cláusulas de Controlador para Processador, ou (ii) as Cláusulas de Processador para Processador, conforme aplicável de acordo com as Seções 9.2.1 e 9.2.2.
País terceiro significa um país fora do EEE não reconhecido pela Comissão Europeia como oferecendo um nível adequado de proteção de dados pessoais (conforme descrito no GDPR).
1. Processamento de dados.
1.1 Escopo e Funções. Este DPA aplica-se quando a MAPSLY processa Dados do Cliente. Neste contexto, a MAPSLY atuará como Processador para o Cliente, que pode atuar como Controlador ou Processador dos Dados do Cliente.
1.2 Controles do Cliente O Cliente pode usar os Controles de Serviço para auxiliá-lo nas suas obrigações sob a Lei de Proteção de Dados Aplicável, incluindo as obrigações de responder a pedidos de titulares de dados. Levando em consideração a natureza do processamento, o Cliente concorda que é improvável que a MAPSLY tome conhecimento de que os Dados do Cliente transferidos sob as Cláusulas Contratuais Padrão estão incorretos ou desatualizados. No entanto, se a MAPSLY tomar conhecimento de que os Dados do Cliente transferidos sob as Cláusulas Contratuais Padrão estão incorretos ou desatualizados, informará o Cliente sem demora indevida. A MAPSLY cooperará com o Cliente para apagar ou retificar Dados do Cliente incorretos ou desatualizados transferidos sob as Cláusulas Contratuais Padrão, fornecendo os Controles de Serviço que o Cliente pode usar para apagar ou retificar os Dados do Cliente.
1.3 Detalhes do Processamento de Dados.
1.3.1 Assunto. O objeto do processamento de dados sob este DPA são os Dados do Cliente.
1.3.2 Duração. Entre a MAPSLY e o Cliente, a duração do processamento de dados sob este DPA é determinada pelo Cliente.
1.3.3 Finalidade. O objetivo do processamento de dados sob este DPA é a prestação dos Serviços iniciados pelo Cliente de tempos em tempos.
1.3.4 Natureza do processamento. Serviços de computação, armazenamento e outros Serviços conforme descritos na Documentação e iniciados pelo Cliente de tempos em tempos.
1.3.5 Tipo de dados do cliente. Dados do Cliente enviados para os Serviços sob as contas MAPSLY do Cliente.
1.3.6 Categorias de sujeitos dos dados. Os sujeitos dos dados podem incluir clientes do Cliente, funcionários, fornecedores e Usuários Finais.
1.4 Conformidade com as leis. Cada parte cumprirá todas as leis, regras e regulamentos a ela aplicáveis e vinculativos no desempenho deste DPA, incluindo a Lei de Proteção de Dados Aplicável.
1.5 Mapsly como Controlador. O Cliente reconhece que a Mapsly pode coletar informações específicas sobre os Usuários Finais do Cliente descritas no Política de Privacidade MAPSLY (atualmente publicada em https://mapsly.com/privacy-policy)Na medida em que tais dados sejam considerados Informações Pessoais segundo as Leis de Proteção de Dados, a Mapsly é o Controlador desses dados e os processará como parte dos Dados do Cliente, conforme este DPA. O Cliente também concede à MAPSLY o direito de divulgar tais dados internamente e aos seus Subprocessadores para fins comerciais legítimos relacionados à operação, suporte e uso dos Serviços, como faturamento, gerenciamento de contas, suporte técnico, desenvolvimento de produtos, vendas e marketing.
2. Instruções do cliente. As partes concordam que este DPA e o Contrato (incluindo as instruções do Cliente fornecidas via ferramentas de configuração, como o console MAPSLY Setup e as APIs disponibilizadas pela MAPSLY para os Serviços) constituem as instruções documentadas do Cliente relativas ao processamento dos Dados do Cliente pela MAPSLYInstruções DocumentadasA MAPSLY processará os Dados do Cliente apenas de acordo com as Instruções Documentadas (que, se o Cliente atuar como Processador, podem ser baseadas nas instruções de seus Controladores). Instruções adicionais fora do escopo das Instruções Documentadas (se houver) requerem acordo prévio por escrito entre a MAPSLY e o Cliente, incluindo o acordo sobre quaisquer taxas adicionais pagáveis pelo Cliente à MAPSLY para executar tais instruções. O Cliente tem o direito de rescindir este DPA e o Contrato se a MAPSLY recusar seguir as instruções solicitadas pelo Cliente que estejam fora do escopo, ou modificadas em relação às fornecidas ou acordadas neste DPA. Considerando a natureza do processamento, o Cliente concorda que é improvável que a MAPSLY possa formar uma opinião sobre se as Instruções Documentadas infringem a Lei de Proteção de Dados Aplicável. Se a MAPSLY formar tal opinião, informará imediatamente o Cliente, caso em que o Cliente tem o direito de retirar ou modificar suas Instruções Documentadas.
3. Confidencialidade dos Dados do Cliente. A MAPSLY não acessará, usará ou divulgará a terceiros quaisquer Dados do Cliente, exceto, em cada caso, conforme necessário para manter ou fornecer os Serviços, ou conforme necessário para cumprir a lei ou uma ordem válida e vinculativa de um órgão governamental (como uma intimação ou ordem judicial). Se um órgão governamental enviar à MAPSLY uma solicitação por Dados do Cliente, a MAPSLY tentará redirecionar o órgão governamental para solicitar esses dados diretamente ao Cliente. Como parte desse esforço, a MAPSLY pode fornecer ao órgão governamental as informações básicas de contato do Cliente. Caso seja obrigada a divulgar os Dados do Cliente a um órgão governamental, a MAPSLY fornecerá ao Cliente um aviso razoável da solicitação para permitir que o Cliente busque uma ordem de proteção ou outro recurso apropriado, salvo se a MAPSLY estiver legalmente proibida de fazê-lo.
4. Obrigações de Confidencialidade do Pessoal MAPSLY. A MAPSLY restringe seu pessoal de processar Dados de Clientes sem autorização da MAPSLY. A MAPSLY impõe ao seu pessoal obrigações contratuais apropriadas, incluindo obrigações relevantes relativas à confidencialidade, proteção de dados e segurança de dados.
5. Segurança no Processamento de Dados
5.1 MAPSLY implementou e manterá as medidas técnicas e organizacionais adequadas para garantir a segurança e a confidencialidade dos Dados do Cliente, de acordo com os padrões de segurança da Mapsly descritos neste PDA e na Política de Privacidade da MAPSLY..
5.2 Responsabilidades do Cliente e Recursos de Segurança Opcionais. MAPSLY disponibiliza diversos Controles de Serviço que o Cliente pode optar por usar para fortalecer ainda mais a segurança dos Dados do Cliente. O Cliente é responsável por (a) usar os Serviços de forma segura, incluindo a proteção das credenciais de autenticação da sua conta, (b) proteger a segurança dos Dados do Cliente durante o trânsito de e para os Serviços, (c) tomar as medidas adequadas para criptografar ou fazer backup seguro dos Dados do Cliente carregados nos Serviços, (d) configurar corretamente os Serviços e os Controles de Serviço, e (e) tomar outras medidas que o Cliente considerar adequadas para garantir a segurança, proteção e exclusão dos Dados do Cliente.
5.3. Notificação de Incidente de Segurança.
5.3.1. Incidente de Segurança. MAPSLY irá (a) notificar o Cliente sobre um Incidente de Segurança sem demora indevida após ter conhecimento do Incidente de Segurança, e (b) tomar as medidas apropriadas para tratar o Incidente de Segurança, incluindo medidas para amenizar quaisquer efeitos adversos decorrentes do Incidente de Segurança.
5.3.2. Assistência MAPSLY. Para permitir que o Cliente notifique um Incidente de Segurança às autoridades supervisoras ou aos titulares dos dados (conforme aplicável), a MAPSLY cooperará e auxiliará o Cliente, incluindo na notificação informações sobre o Incidente de Segurança que a MAPSLY puder divulgar ao Cliente, levando em consideração a natureza do processamento, as informações disponíveis para a MAPSLY e quaisquer restrições à divulgação das informações, como confidencialidade. Levando em consideração a natureza do processamento, o Cliente concorda que é quem melhor pode determinar as consequências prováveis de um Incidente de Segurança.
5.3.3. Incidentes de Segurança Mal-sucedidos. O cliente concorda que:
(i) Um Incidente de Segurança malsucedido não estará sujeito a esta Seção 5.3. Um Incidente de Segurança malsucedido é aquele que não resulta em acesso não autorizado aos Dados do Cliente ou a qualquer equipamento ou instalações da MAPSLY que armazenem os Dados do Cliente, e pode incluir, sem limitação, pings e outros ataques de broadcast em firewalls ou servidores de borda, varreduras de portas, tentativas de login malsucedidas, ataques de negação de serviço, captura de pacotes (ou outro acesso não autorizado a dados de tráfego que não resulte em acesso além dos cabeçalhos) ou incidentes similares;
(ii) A obrigação da MAPSLY de relatar ou responder a um Incidente de Segurança sob esta Seção 5.3 não constitui e não será interpretada como um reconhecimento da MAPSLY de qualquer falha ou responsabilidade da MAPSLY com respeito ao Incidente de Segurança.
5.3.4. Comunicação. Notificações de Incidentes de Segurança, se houver, serão enviadas a um ou mais administradores do Cliente por quaisquer meios selecionados pela MAPSLY, incluindo e-mail. É única e exclusiva responsabilidade do Cliente garantir que os administradores mantenham informações de contato precisas no console de Configuração do MAPSLY e assegurem a transmissão segura em todos os momentos.
5.3.5. Obrigações de notificação. Se a MAPSLY notificar o Cliente sobre um Incidente de Segurança, ou se o Cliente tomar conhecimento de qualquer destruição, perda, alteração, divulgação não autorizada ou acesso aos Dados do Cliente que seja acidental ou ilegal, o Cliente será responsável por (a) determinar se há alguma obrigação de notificação ou outra obrigação de acordo com a Lei Aplicável de Proteção de Dados e (b) tomar as medidas necessárias para cumprir tais obrigações. Isso não limita as obrigações da MAPSLY nos termos desta Seção 5.3.
6. Subcontratação.
6.1 Subprocessadores autorizados. O Cliente concede autorização geral à MAPSLY para o uso de subcontratados para realizar atividades de processamento sobre os Dados do Cliente em nome do ClienteSubprocessadores") de acordo com esta Seção. O site MAPSLY (atualmente publicado em https://mapsly.com/sub-processors/) lista os Subprocessadores atualmente contratados pela MAPSLY. Pelo menos 30 dias antes de a MAPSLY contratar um Subprocessador, a MAPSLY atualizará o site aplicável e fornecerá ao Cliente um mecanismo para obter aviso dessa atualização. Para se opor a um Subprocessador, o Cliente pode: (i) deixar de usar a funcionalidade do Serviço MAPSLY para a qual a MAPSLY contratou o Subprocessador, ou (ii) rescindir o Contrato nos termos aplicáveis.
6.2 Obrigações do subprocessador. Quando a MAPSLY autoriza um Subprocessador conforme descrito na Seção 6.1:
(i) A MAPSLY restringirá o acesso do Subprocessador aos Dados do Cliente apenas ao que for necessário para fornecer ou manter os Serviços de acordo com a Documentação, e a MAPSLY proibirá o Subprocessador de acessar os Dados do Cliente para qualquer outra finalidade;
(ii) MAPSLY celebrará um acordo escrito com o Subprocessador e, na medida em que o Subprocessador realizar os mesmos serviços de processamento de dados fornecidos pela MAPSLY sob este DPA, a MAPSLY imporá ao Subprocessador as mesmas obrigações contratuais que a MAPSLY tem sob este DPA; e
(iii) A MAPSLY continuará responsável pelo cumprimento das suas obrigações previstas neste DPA e por quaisquer atos ou omissões do Subprocessador que causem à MAPSLY o incumprimento de quaisquer das suas obrigações ao abrigo deste DPA.
7. Assistência MAPSLY para Solicitações de Titulares de Dados. Tendo em conta a natureza do tratamento, os Controles de Serviço são as medidas técnicas e organizacionais pelas quais a MAPSLY auxiliará o Cliente no cumprimento das suas obrigações de responder aos pedidos dos titulares dos dados ao abrigo da Lei de Proteção de Dados Aplicável. Se um titular dos dados fizer um pedido à MAPSLY, a MAPSLY encaminhará prontamente tal pedido ao Cliente assim que identificar que o pedido é de um titular dos dados pelo qual o Cliente é responsável. O Cliente autoriza, em seu nome e em nome de seus controladores quando o Cliente atua como Processador, a MAPSLY a responder a qualquer titular dos dados que fizer um pedido à MAPSLY, para confirmar que a MAPSLY encaminhou o pedido ao Cliente. As partes concordam que o uso dos Controles de Serviço pelo Cliente e o encaminhamento pela MAPSLY dos pedidos dos titulares dos dados ao Cliente, de acordo com esta seção, representam o alcance e a extensão da assistência requerida do Cliente.
8. Verificação de conformidade.
8.1 Auditorias MAPSLY. A MAPSLY utiliza auditores externos para verificar a adequação das suas medidas de segurança. Esta auditoria: (a) será realizada pelo menos uma vez por ano; (b) será realizada de acordo com um padrão amplamente reconhecido; (c) será realizada por profissionais de segurança independentes terceiros, escolhidos e pagos pela MAPSLY; e (d) resultará na geração de um relatório de auditoria.Relatório“), que serão as Informações Confidenciais da MAPSLY.
8.2 Relatórios de auditoria. A pedido escrito do Cliente, e desde que as partes tenham um NDA aplicável em vigor, a MAPSLY fornecerá ao Cliente uma cópia do Relatório para que o Cliente possa verificar razoavelmente o cumprimento da MAPSLY das suas obrigações nos termos deste DPA.
8.3 Avaliação de Impacto sobre a Privacidade e Consulta Prévia. Tendo em conta a natureza do processamento e as informações disponíveis para a MAPSLY, esta auxiliará o Cliente no cumprimento das suas obrigações relativas às avaliações de impacto na proteção de dados e à consulta prévia, fornecendo as informações que a MAPSLY disponibiliza ao abrigo desta Secção 8.
9. Transferências de Dados Pessoais.
9.1 Localizações. A MAPSLY pode transferir e processar Dados do Cliente dentro da Rede MAPSLY nos EUA ou no EEE. A MAPSLY não transferirá Dados do Cliente para fora do EEE e dos EUA, exceto quando necessário para fornecer os Serviços iniciados pelo Cliente, ou para cumprir a lei ou uma ordem válida e vinculativa de um órgão governamental.
9.2 Aplicação das Cláusulas Contratuais Padrão. Sujeito à Secção 9.3, as Cláusulas Contratuais-Padrão aplicar-se-ão apenas a Dados do Cliente sujeitos ao RGPD que sejam transferidos, direta ou indiretamente, para qualquer País Terceiro (cada um um “Transferência de dados).
9.2.1 Quando o Cliente atua como Controlador, as Cláusulas de Controlador para Processador se aplicarão a uma Transferência de Dados.
9.2.2 Quando o Cliente atua como Processador, as Cláusulas de Processador para Processador aplicar-se-ão a uma Transferência de Dados. Tendo em conta a natureza do processamento, o Cliente concorda que é pouco provável que a MAPSLY conheça a identidade dos Controladores do Cliente porque a MAPSLY não tem relação direta com os Controladores do Cliente e, portanto, o Cliente cumprirá as obrigações da MAPSLY para com os Controladores do Cliente ao abrigo das Cláusulas de Processador para Processador.
9.3 Mecanismo de Transferência Alternativo. As Cláusulas Contratuais Padrão não se aplicarão a uma Transferência de Dados se a MAPSLY tiver adotado Regras Corporativas Vinculativas para Processadores ou um padrão alternativo de conformidade reconhecido para Transferências legais de Dados.
10. Rescisão do DPA. Este DPA permanecerá em vigor até a rescisão do Contrato (o “Data de rescisão).
11. Exclusão de Dados do Cliente. Após a rescisão ou expiração do Contrato, a MAPSLY excluirá os Dados do Cliente mediante solicitação do Cliente, mas não mais tarde que dentro de um período de 90 dias, exceto quando e na medida em que a MAPSLY seja obrigada pela legislação aplicável a reter parte ou a totalidade dos Dados do Cliente, os quais a MAPSLY deverá isolar e armazenar com segurança de acordo com os períodos de retenção aplicáveis. A MAPSLY protegerá esses Dados contra qualquer processamento adicional, exceto na medida exigida pela legislação aplicável.
12. Deveres de Informar. Quando os Dados do Cliente forem sujeitos a confisco durante processos de falência, insolvência ou medidas similares por terceiros enquanto estiverem sendo processados pela MAPSLY, a MAPSLY informará o Cliente sem demora indevida. A MAPSLY notificará, sem demora indevida, todas as partes relevantes nessa ação (por exemplo, credores, administrador da falência) de que quaisquer Dados do Cliente sujeitos a esses processos são propriedade e responsabilidade do Cliente e que os Dados do Cliente estão à disposição exclusiva do Cliente.
13. Acordo integral; Conflito. Este DPA incorpora as Cláusulas Contratuais Padrão por referência. Exceto pelas alterações feitas por este DPA, o Acordo permanecerá em pleno vigor e efeito. Em caso de conflito entre o Acordo e este DPA, os termos deste DPA prevalecerão, exceto que os Termos de Serviço prevalecerão sobre este DPA. Nada neste documento altera ou modifica as Cláusulas Contratuais Padrão.
14. O uso de dados de usuário brutos ou derivados recebidos de APIs do Workspace cumprirá a Política de Dados do Usuário do Google, incluindo os requisitos de Uso Limitado