Последнее обновление: 15 сентября 2023 г.
Данное Дополнение к обработке данных («DPA») является соглашением между вами и организацией, которую вы представляете («Клиент», «вы» или «ваш»), и Mapsly LLC («MAPSLY»). Это DPA дополняет Условия обслуживания MAPSLY, доступные по адресу https://mapsly.com/terms, периодически обновляемое между Заказчиком и MAPSLY, или иные соглашения между Заказчиком и MAPSLY, регулирующие использование Заказчиком Сервисов MAPSLY («Соглашение»).
Определения. Все прописные термины, используемые в настоящем DPA, имеют значения, приведённые ниже, если иное не определено в Соглашении:
“API” означает интерфейс программирования приложений.
“Применимое законодательство о защите данных” означает все применимые и обязательные для исполнения законы и нормативные акты, касающиеся обработки данных клиента стороной, включая, при необходимости, GDPR.
“Обязательные корпоративные правила” имеет значение, данное ему в GDPR.
“Контроллер” имеет значение, данное ему в GDPR.
“Положения от контролера к обработчику” означает стандартные договорные положения между Контролерами и Обработчиками для передачи данных, утвержденные Решением Исполнительного органа Европейской комиссии (ЕС) 2021/914 от 4 июня 2021 года.
“Данные клиента” означает Персональные данные, которые загружаются в Сервисы под учетными записями MAPSLY Заказчика.
“Документация” означает тогдашнюю текущую документацию на Сервисы, расположенную по адресу https://help.mapsly.com (и любые последующие места, назначенные MAPSLY).
“ЕЭЗ” означает Европейскую экономическую зону.
“Конечные пользователи” означает пользователей аккаунта Mapsly Заказчика, включая сотрудников и подрядчиков Заказчика, назначенных Заказчиком для использования Mapsly.
“GDPR” означает Регламент 2016/679 Европейского парламента и Совета от 27 апреля 2016 года о защите физических лиц в связи с обработкой персональных данных и о свободном движении таких данных, отменяющий Директиву 95/46/EC (Общий регламент по защите данных).
“Сеть MAPSLY” означает серверы, сетевое оборудование и программные системы хоста (например, виртуальные межсетевые экраны), которые находятся под контролем MAPSLY и используются для предоставления Услуг.
“Консоль настройки MAPSLY” означает раздел Настройки в сервисе Mapsly, доступный в пункте «Настройки» главного меню.
“Персональные данные” означает персональные данные, личную информацию, персонально идентифицируемую информацию или иной эквивалентный термин (каждый из которых определён в Применимом Законе о защите данных).
“Обработка” имеет значение, данное ему в GDPR, а «обрабатывать», «обрабатывает» и «обработано» будут толковаться соответственно.
“Процессор” имеет значение, данное ему в GDPR.
Положения между процессорами означает стандартные договорные положения между обработчиками для передачи данных, одобренные Решением Исполнительного органа Европейской Комиссии (ЕС) 2021/914 от 4 июня 2021 года.
Инцидент безопасности означает нарушение безопасности MAPSLY, приводящее к случайному или незаконному уничтожению, утрате, изменению, несанкционированному раскрытию или доступу к данным клиента.
Управление службами означает управление, включая функции безопасности и функциональные возможности, которые предоставляют Сервисы, как описано в Документации.
Стандартные договорные положения” означает (i) положения «Контролер — Обработчик» или (ii) положения «Обработчик — Обработчик» в соответствии с Разделами 9.2.1 и 9.2.2, в зависимости от применимости.
Третья страна означает страну за пределами ЕЭЗ, которую Европейская комиссия не признала обеспечивающей адекватный уровень защиты персональных данных (как описано в GDPR).
1. Обработка данных.
1.1 Область и роли. Настоящее Соглашение о защите данных применяется, когда MAPSLY обрабатывает данные Клиента. В этом контексте MAPSLY выступает в качестве Обработчика для Клиента, который может выступать как Контролёр или Обработчик данных Клиента.
1.2 Элементы управления клиента Заказчик может использовать элементы управления сервисом для поддержки выполнения своих обязательств в соответствии с применимым Законом о защите данных, включая обязательства по реагированию на запросы субъектов данных. С учетом характера обработки Заказчик соглашается с тем, что маловероятно, что MAPSLY узнает о том, что переданные в рамках Стандартных договорных положений данные Заказчика являются неточными или устаревшими. Тем не менее, если MAPSLY станет известно, что переданные в рамках Стандартных договорных положений данные Заказчика являются неточными или устаревшими, она незамедлительно уведомит Заказчика. MAPSLY будет сотрудничать с Заказчиком для удаления или исправления неточных или устаревших данных Заказчика, переданных в рамках Стандартных договорных положений, предоставляя элементы управления сервисом, которые Заказчик может использовать для удаления или исправления данных.
1.3 Детали обработки данных.
1.3.1 Тема. Предметом обработки данных в рамках этого DPA являются Данные Клиентов.
1.3.2 Длительность. Между MAPSLY и Клиентом срок обработки данных по настоящему DPA определяется Клиентом.
1.3.3 Цель. Цель обработки данных по настоящему DPA — предоставление услуг, инициируемых Клиентом время от времени.
1.3.4 Характер обработки. Вычислительные, хранилищные и другие Услуги, описанные в Документации и инициируемые Заказчиком время от времени.
1.3.5 Тип данных клиента. Данные клиента загружены в сервисы в рамках учетных записей MAPSLY клиента.
1.3.6 Категории субъектов данных. Субъектами данных могут быть клиенты Клиента, сотрудники, поставщики и конечные пользователи.
1.4 Соответствие законодательству. Каждая сторона будет соблюдать все применимые к ней и обязательные для нее законы, правила и нормативные акты при исполнении данного DPA, включая применимое законодательство по защите данных.
1.5 Mapsly в роли контроллера. Клиент подтверждает, что Mapsly может собирать определённую информацию о конечных пользователях Клиента, описанную в Политика конфиденциальности MAPSLY (в настоящее время опубликована на https://mapsly.com/privacy-policy)В той мере, в какой такие данные рассматриваются как Персональная информация в соответствии с Законами о защите данных, Mapsly является Контролёром таких данных и будет обрабатывать их в рамках Данных Клиента в соответствии с настоящим Соглашением об обработке данных (DPA). Клиент также предоставляет MAPSLY право раскрывать такие данные внутри компании и её субподрядчикам для законных деловых целей, связанных с эксплуатацией, поддержкой и использованием Сервисов, таких как выставление счетов, управление аккаунтом, техническая поддержка, разработка продукта, продажи и маркетинг.
2. Инструкции для клиента. Стороны соглашаются с тем, что настоящий DPA и Соглашение (включая инструкции Заказчика, предоставляемые через инструменты конфигурации, такие как консоль настройки MAPSLY и API, предоставляемые MAPSLY для Услуг) составляют документированные инструкции Заказчика в отношении обработки Заказчика данных MAPSLY.Документированные инструкцииMAPSLY будет обрабатывать данные Клиента только в соответствии с Документированными Инструкциями (которые, если Клиент действует как Обработчик, могут основываться на инструкциях его Контроллеров). Дополнительные инструкции, выходящие за рамки Документированных Инструкций (если таковые имеются), требуют предварительного письменного согласия между MAPSLY и Клиентом, включая согласование любых дополнительных платежей, подлежащих оплате Клиентом MAPSLY за выполнение таких инструкций. Клиент имеет право расторгнуть данное DPA и Соглашение, если MAPSLY отказывается выполнять инструкции, запрошенные Клиентом, которые выходят за рамки или изменены по сравнению с теми, что даны или согласованы в данном DPA. С учетом характера обработки Клиент соглашается с тем, что MAPSLY вряд ли сможет выразить мнение о том, нарушают ли Документированные Инструкции применимое законодательство о защите данных. Если MAPSLY выразит такое мнение, он немедленно сообщит об этом Клиенту, в этом случае Клиент имеет право отозвать или изменить свои Документированные Инструкции.
3. Конфиденциальность данных клиентов. MAPSLY не будет получать доступ к данным Клиента, использовать их или раскрывать третьим лицам, за исключением случаев, когда это необходимо для поддержки или предоставления Услуг, либо для соблюдения закона или действующего и обязательного распоряжения государственного органа (например, повестки в суд или судебного приказа). Если государственный орган направит MAPSLY требование предоставить данные Клиента, MAPSLY попытается направить этот орган с просьбой получить данные напрямую от Клиента. В рамках этих усилий MAPSLY может предоставить государственному органу основные контактные данные Клиента. Если MAPSLY будет принуждено раскрыть данные Клиента государственному органу, оно предоставит Клиенту разумное уведомление о таком требовании, чтобы Клиент мог попытаться получить охранительный приказ или иное соответствующее средство правовой защиты, если только MAPSLY не запрещено делать это законом.
4. Обязательства сотрудников MAPSLY по конфиденциальности. MAPSLY ограничивает своих сотрудников в обработке данных клиентов без разрешения MAPSLY. MAPSLY налагает на своих сотрудников соответствующие договорные обязательства, включая соответствующие обязательства в области конфиденциальности, защиты данных и безопасности данных.
5. Безопасность обработки данных
5.1 MAPSLY внедрил и будет поддерживать соответствующие технические и организационные меры для обеспечения безопасности и конфиденциальности Данных Клиента в соответствии со стандартами безопасности Mapsly, описанными в настоящем PDA и в Политике конфиденциальности MAPSLY..
5.2 Обязанности клиента и дополнительные функции безопасности. MAPSLY предоставляет множество сервисных контролей, которые Клиент может выбрать для дополнительного усиления безопасности данных Клиента. Клиент отвечает за (а) безопасное использование Сервисов, включая обеспечение безопасности учетных данных для аутентификации, (б) защиту безопасности данных Клиента при их передаче в Сервисы и из них, (в) принятие соответствующих мер для безопасного шифрования или резервного копирования данных Клиента, загруженных в Сервисы, (г) правильную настройку Сервисов и Сервисных контролей, а также (д) принятие иных мер, которые Клиент считает необходимыми для обеспечения безопасности, защиты и удаления данных Клиента.
5.3. Уведомление о безопасности инцидента.
5.3.1. Инцидент безопасности. MAPSLY (a) уведомит Клиента о Событии Безопасности без неоправданной задержки после того, как станет известно о Событии Безопасности, и (b) примет соответствующие меры для устранения События Безопасности, включая меры по смягчению любых неблагоприятных последствий, связанных с Событием Безопасности.
5.3.2. Поддержка MAPSLY. Для того чтобы Клиент мог уведомить надзорные органы или субъектов данных (при необходимости) о Событии безопасности, MAPSLY будет сотрудничать с Клиентом и помогать ему, включая в уведомление такую информацию о Событии безопасности, которую MAPSLY может раскрыть Клиенту, учитывая характер обработки, доступную MAPSLY информацию и любые ограничения на раскрытие информации, такие как конфиденциальность. Учитывая характер обработки, Клиент соглашается, что он лучше всего способен определить вероятные последствия События безопасности.
5.3.3. Неудачные инциденты безопасности. Клиент соглашается с тем, что:
(i) Неуспешное событие безопасности не подпадает под действие раздела 5.3. Неуспешное событие безопасности — это событие, в результате которого не произошло несанкционированного доступа к данным заказчика или к любому оборудованию или объектам MAPSLY, хранящим данные заказчика, и которое может включать, помимо прочего, пинги и другие широковещательные атаки на брандмауэры или пограничные серверы, сканирование портов, неудачные попытки входа, атаки типа «отказ в обслуживании», перехват пакетов (или иной несанкционированный доступ к данным трафика, который не выходит за пределы заголовков) или подобные инциденты;
(ii) Обязанность MAPSLY сообщать или реагировать на инцидент безопасности в соответствии с настоящим разделом 5.3 не является и не будет истолкована как признание MAPSLY какой-либо вины или ответственности MAPSLY в связи с инцидентом безопасности.
5.3.4. Связь. Уведомления о случаях безопасности, если таковые имеются, будут доставлены одному или нескольким администраторам Заказчика любыми средствами, выбранными MAPSLY, включая электронную почту. Исключительная ответственность Заказчика — обеспечить, чтобы администраторы Заказчика всегда поддерживали точную контактную информацию в консоли настройки MAPSLY и обеспечивали безопасную передачу данных.
5.3.5. Обязательства по уведомлению. Если MAPSLY уведомит Клиента о происшествии с безопасностью или Клиент иным образом узнает о случайном или незаконном уничтожении, утрате, изменении, несанкционированном разглашении или доступе к данным Клиента, Клиент несет ответственность за (a) определение, существует ли обязательство уведомления или иное обязательство в соответствии с применимым законодательством о защите данных, и (b) принятие необходимых мер для выполнения таких обязательств. Это не ограничивает обязательства MAPSLY в соответствии с разделом 5.3 настоящего документа.
6. Субподряд.
6.1 Уполномоченные субобработчики. Заказчик даёт общее разрешение MAPSLY на использование субподрядчиков для выполнения операций обработки данных Заказчика от имени ЗаказчикаСубпроцессоры") в соответствии с настоящим Разделом. Веб-сайт MAPSLY (в настоящее время размещён по адресу https://mapsly.com/sub-processors/) перечисляет субподрядчиков, которые в настоящее время задействованы MAPSLY. Не менее чем за 30 дней до привлечения субподрядчика MAPSLY обновит соответствующий веб-сайт и предоставит Клиенту механизм для получения уведомления об этом обновлении. Чтобы возразить против субподрядчика, Клиент может: (i) прекратить использование функционала сервиса MAPSLY, для которого MAPSLY привлек субподрядчика, или (ii) расторгнуть Соглашение в соответствии с его условиями.
6.2 Обязанности субподрядчика. Когда MAPSLY уполномочивает субпроцессора, как описано в разделе 6.1:
(i) MAPSLY ограничит доступ субподрядчика к данным клиента только тем, что необходимо для предоставления или поддержки Сервисов в соответствии с Документацией, и MAPSLY запретит субподрядчику доступать к данным клиента с любой другой целью;
(ii) MAPSLY заключит письменное соглашение с субподрядчиком, и в той мере, в какой субподрядчик выполняет те же услуги по обработке данных, которые MAPSLY предоставляет в рамках этого DPA, MAPSLY наложит на субподрядчика те же договорные обязательства, которые MAPSLY имеет по этому DPA; и
(iii) MAPSLY остается ответственным за соблюдение своих обязательств по настоящему DPA и за любые действия или бездействия субпроцессора, которые приводят к нарушению MAPSLY каких-либо обязательств согласно настоящему DPA.
7. Поддержка MAPSLY по запросам субъектов данных. Учитывая характер обработки, Контроли Сервиса представляют собой технические и организационные меры, с помощью которых MAPSLY будет помогать Клиенту выполнять обязательства Клиента по реагированию на запросы субъектов данных в соответствии с Применимым законом о защите данных. Если субъект данных подает запрос в MAPSLY, MAPSLY незамедлительно перенаправит такой запрос Клиенту после того, как идентифицирует, что запрос поступил от субъекта данных, за которого отвечает Клиент. Клиент уполномочивает от своего имени и от имени своих контроллеров, когда Клиент действует как Обработчик, MAPSLY отвечать любому субъекту данных, который делает запрос в MAPSLY, чтобы подтвердить, что MAPSLY перенаправила запрос Клиенту. Стороны соглашаются с тем, что использование Клиентом Контролей Сервиса и перенаправление MAPSLY запросов субъектов данных Клиенту в соответствии с этим разделом представляют объем и степень необходимой помощи Клиента.
8. Проверка соответствия.
8.1 Аудиты MAPSLY. MAPSLY привлекает внешних аудиторов для проверки адекватности своих мер безопасности. Этот аудит: (a) будет проводиться не реже одного раза в год; (b) будет осуществляться в соответствии с общепризнанным стандартом; (c) будет выполняться независимыми специалистами по безопасности третьей стороны, выбранными и оплачиваемыми MAPSLY; и (d) приведет к составлению аудиторского отчёта.Отчет“), которые будут Конфиденциальной Информацией MAPSLY.
8.2 Аудиторские отчёты. По письменному запросу Заказчика и при условии наличия действующего соглашения о неразглашении (NDA) между сторонами, MAPSLY предоставит Заказчику копию Отчёта, чтобы Заказчик мог разумно проверить соблюдение MAPSLY своих обязательств по настоящему DPA.
8.3 Оценка воздействия на конфиденциальность и предварительное согласование. Учитывая характер обработки и доступную MAPSLY информацию, MAPSLY окажет Клиенту помощь в выполнении обязательств Клиента по оценкам воздействия на защиту данных и предварительным консультациям, предоставляя информацию, которую MAPSLY предоставляет в соответствии с Разделом 8.
9. Передача персональных данных.
9.1 Местоположения. MAPSLY может передавать и обрабатывать данные клиентов в сети MAPSLY в США или ЕЭЗ. MAPSLY не будет передавать данные клиентов за пределы ЕЭЗ и США, за исключением случаев, когда это необходимо для предоставления услуг, инициированных клиентом, или для соблюдения закона или действующего и обязательного распоряжения государственного органа.
9.2 Применение стандартных договорных условий. С учетом раздела 9.3, Стандартные договорные положения применяются только к данным клиента, подпадающим под действие GDPR, которые передаются непосредственно или посредством дальнейшей передачи в любую третью страну (каждая такая «Передача данных).
9.2.1 Когда Клиент действует в качестве Контролера, положения «Контролер — Обработчик» применяются к передаче данных.
9.2.2 Когда Клиент выступает в роли Обработчика, к передаче данных применяются Положения «Обработчик – Обработчик». Учитывая характер обработки, Клиент соглашается с тем, что маловероятно, что MAPSLY будет знать личность Контроллеров Клиента, так как у MAPSLY нет прямых отношений с Контроллерами Клиента, и, следовательно, Клиент выполнит обязательства MAPSLY перед Контроллерами Клиента в соответствии с Положениями «Обработчик – Обработчик».
9.3 Альтернативный механизм передачи. Стандартные договорные положения не будут применяться к передаче данных, если MAPSLY приняла Обязательные корпоративные правила для обработчиков или альтернативный признанный стандарт соответствия для законных передач данных.
10. Прекращение действия DPA. Настоящее DPA будет оставаться в силе до прекращения Соглашения ("Дата окончания).
11. Удаление данных клиентов. После прекращения или истечения срока действия Соглашения MAPSLY удалит данные Клиента по запросу Клиента, но не позднее чем в течение 90 дней, за исключением случаев, когда MAPSLY в соответствии с применимым законодательством обязана сохранить часть или все данные Клиента, которые MAPSLY надежно изолирует и сохранит в соответствии с применимыми сроками хранения. MAPSLY защитит эти данные от любой дополнительной обработки, за исключением случаев, предусмотренных применимым законом.
12. Обязанности по информированию. Если данные клиента становятся предметом конфискации в ходе процедур банкротства или неплатежеспособности либо аналогичных мер со стороны третьих лиц во время обработки их MAPSLY, MAPSLY без необоснованной задержки уведомит клиента. MAPSLY без необоснованной задержки проинформирует все заинтересованные стороны в таких действиях (например, кредиторов, управляющего по банкротству), что любые данные клиента, подлежащие этим процедурам, являются собственностью клиента и входят в его сферу ответственности, а данные клиента находятся в исключительном распоряжении клиента.
13. Полное соглашение; конфликт. Данное Соглашение об обработке данных включает в себя Стандартные договорные положения по ссылке. За исключением изменений, внесенных этим Соглашением об обработке данных, Договор остается в полной силе и действии. В случае конфликта между Договором и этим Соглашением об обработке данных, применяются условия этого Соглашения, за исключением того, что Условия обслуживания имеют приоритет над ним. Ничто в этом документе не изменяет и не модифицирует Стандартные договорные положения.
14. Использование необработанных или производных пользовательских данных, полученных от API рабочего пространства будет соблюдать Политику данных пользователей Google, включая требования ограниченного использования