MAPSLY Phụ lục Xử lý Dữ liệu

1. Xử lý dữ liệu.

1.1 Phạm vi và vai trò. Thỏa thuận DPA này áp dụng khi MAPSLY xử lý Dữ liệu Khách hàng. Trong bối cảnh này, MAPSLY sẽ đóng vai trò là Bộ xử lý đối với Khách hàng, người có thể đảm nhận vai trò là Người kiểm soát hoặc Bộ xử lý của Dữ liệu Khách hàng.

1.2 Điều khiển khách hàng. Khách hàng có thể sử dụng Các điều khiển dịch vụ để hỗ trợ việc thực hiện nghĩa vụ của mình theo Luật Bảo vệ Dữ liệu Áp dụng, bao gồm cả nghĩa vụ phản hồi các yêu cầu từ các đối tượng dữ liệu. Xét về tính chất của quá trình xử lý, Khách hàng đồng ý rằng khả năng MAPSLY biết được rằng Dữ liệu khách hàng được chuyển giao theo Điều khoản Hợp đồng Tiêu chuẩn là không chính xác hoặc đã lỗi thời là không cao. Tuy nhiên, nếu MAPSLY biết rằng Dữ liệu khách hàng được chuyển giao theo Điều khoản Hợp đồng Tiêu chuẩn không chính xác hoặc đã lỗi thời, MAPSLY sẽ thông báo cho Khách hàng mà không chậm trễ không cần thiết. MAPSLY sẽ hợp tác với Khách hàng để xóa hoặc chỉnh sửa Dữ liệu khách hàng không chính xác hoặc đã lỗi thời được chuyển giao theo Điều khoản Hợp đồng Tiêu chuẩn bằng cách cung cấp Các điều khiển dịch vụ mà Khách hàng có thể sử dụng để xóa hoặc chỉnh sửa Dữ liệu khách hàng.

1.3 Chi tiết về xử lý dữ liệu.

1.3.1 Chủ đề. Đối tượng của việc xử lý dữ liệu theo DPA này là Dữ liệu Khách hàng.

1.3.2 Thời lượng. Giữa MAPSLY và Khách hàng, thời gian xử lý dữ liệu theo DPA này do Khách hàng xác định.

1.3.3 Mục đích. Mục đích của việc xử lý dữ liệu theo DPA này là cung cấp các Services được Customer thỉnh thoảng khởi xướng.

1.3.4 Bản chất của quá trình xử lý. Compute, storage và các Dịch vụ khác như được mô tả trong Documentation và được Customer khởi xướng theo thời gian.

1.3.5 Loại dữ liệu khách hàng. Dữ liệu Khách hàng được tải lên Services dưới tài khoản MAPSLY của Khách hàng.

1.3.6 Các loại đối tượng dữ liệu. Các đối tượng dữ liệu có thể bao gồm khách hàng của Customer, nhân viên, nhà cung cấp và Người dùng cuối.

1.4 Tuân thủ pháp luật. Mỗi bên sẽ tuân thủ tất cả các luật, quy tắc và quy định áp dụng và có hiệu lực đối với mình trong việc thực hiện DPA này, bao gồm cả Luật Bảo Vệ Dữ Liệu có hiệu lực.

1.5 Mapsly với vai trò bộ điều khiển Khách hàng thừa nhận rằng Mapsly có thể thu thập thông tin cụ thể về Người Dùng Cuối của Khách hàng được mô tả trong MAPSLY Chính sách bảo mật (đang được đăng tải tại https://mapsly.com/privacy-policy)Nếu dữ liệu như vậy được coi là Thông tin Cá nhân theo các Luật Bảo vệ Dữ liệu, Mapsly sẽ là Người kiểm soát dữ liệu đó và sẽ xử lý nó như một phần của Dữ liệu Khách hàng theo Thỏa thuận DPA này. Khách hàng cũng cấp cho MAPSLY quyền công bố dữ liệu này nội bộ và cho các Nhà xử lý phụ phục vụ mục đích kinh doanh hợp pháp liên quan đến việc vận hành, hỗ trợ và sử dụng Dịch vụ, chẳng hạn như thanh toán, quản lý tài khoản, hỗ trợ kỹ thuật, phát triển sản phẩm, bán hàng và tiếp thị.

2. Hướng dẫn khách hàng. Các bên đồng ý rằng DPA này và Thỏa thuận (bao gồm việc Khách hàng cung cấp hướng dẫn thông qua các công cụ cấu hình như bảng điều khiển Cài đặt MAPSLY và các API được MAPSLY cung cấp cho Dịch vụ) tạo thành các hướng dẫn có tài liệu của Khách hàng liên quan đến việc xử lý Dữ liệu Khách hàng bởi MAPSLY (Hướng dẫn đã được tài liệu hóa”). MAPSLY sẽ xử lý Dữ liệu Khách hàng chỉ theo các Hướng dẫn đã được Tài liệu hóa (trong trường hợp Khách hàng hoạt động như một Bộ xử lý, các hướng dẫn này có thể dựa trên chỉ đạo của các Người kiểm soát). Các hướng dẫn bổ sung ngoài phạm vi các Hướng dẫn đã được Tài liệu hóa (nếu có) yêu cầu phải có thỏa thuận bằng văn bản trước giữa MAPSLY và Khách hàng, bao gồm cả việc đồng ý về bất kỳ khoản phí bổ sung nào mà Khách hàng phải trả cho MAPSLY để thực hiện các hướng dẫn đó. Khách hàng có quyền chấm dứt DPA này và Thỏa thuận nếu MAPSLY từ chối tuân theo các hướng dẫn do Khách hàng yêu cầu, những hướng dẫn nằm ngoài phạm vi hoặc khác với những gì đã được đưa ra hoặc đã được thống nhất trong DPA này. Xét về tính chất của việc xử lý, Khách hàng đồng ý rằng không có khả năng MAPSLY sẽ có thể đưa ra ý kiến về việc các Hướng dẫn đã được Tài liệu hóa có vi phạm Luật Bảo vệ Dữ liệu Áp dụng hay không. Nếu MAPSLY có ý kiến như vậy, họ sẽ thông báo ngay lập tức cho Khách hàng, trong trường hợp đó, Khách hàng có quyền rút lại hoặc sửa đổi các Hướng dẫn đã được Tài liệu hóa.

3. Bảo mật Dữ liệu Khách hàng. MAPSLY sẽ không truy cập, sử dụng hoặc tiết lộ cho bất kỳ bên thứ ba nào bất kỳ Customer Data nào, ngoại trừ các trường hợp cần thiết để duy trì hoặc cung cấp Services, hoặc khi cần thiết để tuân thủ pháp luật hoặc theo lệnh hợp lệ và có tính ràng buộc của một cơ quan chính phủ (chẳng hạn như lệnh triệu tập hoặc lệnh của tòa án). Nếu một cơ quan chính phủ gửi yêu cầu về Customer Data đến MAPSLY, MAPSLY sẽ cố gắng hướng dẫn cơ quan đó yêu cầu dữ liệu trực tiếp từ Customer. Trong khuôn khổ nỗ lực này, MAPSLY có thể cung cấp thông tin liên hệ cơ bản của Customer cho cơ quan chính phủ. Nếu MAPSLY buộc phải tiết lộ Customer Data cho một cơ quan chính phủ, MAPSLY sẽ thông báo hợp lý cho Customer về yêu cầu đó để Customer có thể tìm kiếm lệnh bảo vệ hoặc biện pháp khắc phục thích hợp, trừ khi MAPSLY bị cấm theo pháp luật.

4. Các nghĩa vụ bảo mật của nhân viên MAPSLY. MAPSLY hạn chế nhân viên của mình không xử lý Dữ liệu Khách hàng nếu không có sự ủy quyền từ MAPSLY. MAPSLY áp đặt các nghĩa vụ hợp đồng thích hợp đối với nhân viên của mình, bao gồm các nghĩa vụ liên quan đến tính bảo mật, bảo vệ dữ liệu và an ninh dữ liệu.

5. Bảo mật xử lý dữ liệu

5.1 MAPSLY đã triển khai và sẽ duy trì các biện pháp kỹ thuật và tổ chức phù hợp để đảm bảo an ninh và bảo mật cho Dữ liệu Khách hàng, phù hợp với tiêu chuẩn an ninh của Mapsly được mô tả trong PDA này và trong MAPSLY Privacy Policy.

5.2 Trách nhiệm của khách hàng và các tính năng bảo mật tùy chọn. MAPSLY cung cấp nhiều Kiểm soát Dịch vụ mà Khách hàng có thể lựa chọn sử dụng để tăng cường bảo mật Dữ liệu Khách hàng. Khách hàng chịu trách nhiệm về (a) việc sử dụng an toàn các Dịch vụ, bao gồm bảo vệ thông tin đăng nhập xác thực tài khoản, (b) bảo vệ an toàn Dữ liệu Khách hàng khi di chuyển đến và từ các Dịch vụ, (c) thực hiện bất kỳ biện pháp thích hợp nào để mã hóa hoặc sao lưu an toàn Dữ liệu Khách hàng được tải lên các Dịch vụ, (d) cấu hình đúng cách các Dịch vụ và Kiểm soát Dịch vụ, và (e) thực hiện các bước khác mà Khách hàng cho là đủ để đảm bảo an toàn, bảo vệ và xóa Dữ liệu Khách hàng.

5.3. Thông báo Sự cố An ninh.

5.3.1. Sự cố an ninh. MAPSLY sẽ (a) thông báo cho Khách hàng về một Sự cố An ninh mà không chậm trễ một cách không cần thiết sau khi biết về sự cố, và (b) thực hiện các biện pháp thích hợp để xử lý Sự cố An ninh, bao gồm các biện pháp giảm thiểu tác động tiêu cực phát sinh từ sự cố.

5.3.2. Hỗ trợ MAPSLY. Để cho phép Customer thông báo một Sự cố Bảo mật cho cơ quan giám sát hoặc các đối tượng dữ liệu (nếu có), MAPSLY sẽ hợp tác và hỗ trợ Customer bằng cách bao gồm trong thông báo các thông tin về Sự cố Bảo mật mà MAPSLY có thể tiết lộ cho Customer, với điều kiện căn cứ vào tính chất của việc xử lý, thông tin sẵn có của MAPSLY và bất kỳ hạn chế nào về việc tiết lộ thông tin, chẳng hạn như tính bảo mật. Xét đến tính chất của việc xử lý, Customer đồng ý rằng họ có khả năng tốt nhất để xác định các hậu quả có thể xảy ra của một Sự cố Bảo mật.

5.3.3. Các sự cố an ninh không thành công. Khách hàng đồng ý rằng:

(i) Một sự cố bảo mật không thành công sẽ không chịu sự điều chỉnh của Mục 5.3. Một sự cố bảo mật không thành công là sự cố không dẫn đến việc truy cập trái phép vào Dữ liệu Khách hàng hoặc vào bất kỳ thiết bị hay cơ sở vật chất nào của MAPSLY lưu trữ Dữ liệu Khách hàng, và có thể bao gồm, nhưng không giới hạn, các hoạt động kiểm tra ping và các cuộc tấn công broadcast khác vào tường lửa hoặc máy chủ biên, quét cổng, các lần đăng nhập thất bại, tấn công từ chối dịch vụ, nghe lén gói tin (hoặc các hình thức truy cập trái phép khác vào dữ liệu lưu lượng mà không cho phép truy cập vượt quá phần tiêu đề) hoặc các sự cố tương tự;

(ii) Trách nhiệm của MAPSLY trong việc báo cáo hoặc phản hồi một Sự cố An ninh theo Mục 5.3 này không được hiểu và sẽ không được hiểu là sự thừa nhận của MAPSLY về bất kỳ lỗi hay trách nhiệm nào của MAPSLY đối với Sự cố An ninh đó.

5.3.4. Giao tiếp. Thông báo về sự cố bảo mật (nếu có) sẽ được gửi đến một hoặc nhiều quản trị viên của Khách hàng bằng bất kỳ phương tiện nào do MAPSLY lựa chọn, bao gồm cả email. Khách hàng hoàn toàn chịu trách nhiệm đảm bảo rằng các quản trị viên luôn duy trì thông tin liên hệ chính xác trên bảng điều khiển Cài đặt MAPSLY và đảm bảo truyền tải an toàn mọi lúc.

5.3.5. Các nghĩa vụ thông báo. Nếu MAPSLY thông báo cho Khách hàng về một Sự cố An ninh, hoặc nếu Khách hàng trở nên biết về việc phá hủy, mất mát, thay đổi, tiết lộ trái phép hoặc truy cập trái phép vào Dữ liệu Khách hàng một cách tình cờ hoặc bất hợp pháp, Khách hàng sẽ chịu trách nhiệm (a) xác định xem có cần thông báo hoặc có nghĩa vụ nào khác theo Luật Bảo vệ Dữ liệu Áp dụng hay không và (b) thực hiện các biện pháp cần thiết để tuân thủ các nghĩa vụ đó. Điều này không giới hạn nghĩa vụ của MAPSLY theo Mục 5.3 này.

6. Xử lý phụ.

6.1 Các nhà xử lý phụ được ủy quyền. Khách hàng cung cấp sự ủy quyền chung cho MAPSLY sử dụng các nhà cung cấp dịch vụ phụ để thực hiện các hoạt động xử lý trên Dữ liệu khách hàng thay mặt cho khách hàng (Nhà xử lý phụ”) theo quy định của Mục này. Trang web MAPSLY (hiện đang được đăng tại, https://mapsly.com/sub-processors/) liệt kê các nhà xử lý phụ hiện đang được MAPSLY sử dụng. Ít nhất 30 ngày trước khi MAPSLY thuê một nhà xử lý phụ, MAPSLY sẽ cập nhật trang web liên quan và cung cấp cho Khách hàng một cơ chế để nhận thông báo về việc cập nhật đó. Để phản đối một nhà xử lý phụ, Khách hàng có thể: (i) ngừng sử dụng tính năng của Dịch vụ MAPSLY mà MAPSLY đã thuê nhà xử lý phụ cho nó, hoặc (ii) chấm dứt Hợp đồng theo các điều khoản của nó.

6.2 Các nghĩa vụ của nhà xử lý phụ. Trong trường hợp MAPSLY ủy quyền cho một nhà xử lý phụ như được mô tả tại Mục 6.1:

(i) MAPSLY sẽ hạn chế quyền truy cập Dữ liệu Khách hàng của Nhà xử lý phụ chỉ ở mức cần thiết để cung cấp hoặc duy trì các Dịch vụ theo Tài liệu, và MAPSLY sẽ cấm Nhà xử lý phụ truy cập Dữ liệu Khách hàng cho bất kỳ mục đích nào khác;

(ii) MAPSLY sẽ ký kết một thỏa thuận bằng văn bản với Sub-processor và, trong phạm vi mà Sub-processor thực hiện cùng các dịch vụ xử lý dữ liệu mà MAPSLY cung cấp theo DPA này, MAPSLY sẽ áp đặt cho Sub-processor những nghĩa vụ hợp đồng giống như những nghĩa vụ mà MAPSLY có theo DPA này;

(iii) MAPSLY sẽ tiếp tục chịu trách nhiệm về việc tuân thủ các nghĩa vụ theo DPA này và đối với bất kỳ hành động hoặc thiếu sót nào của Sub-processor gây ra việc MAPSLY vi phạm bất kỳ nghĩa vụ nào của mình theo DPA này.

7. Hỗ trợ MAPSLY cho Yêu Cầu của Chủ thể Dữ liệu. Xét về bản chất của việc xử lý, Service Controls là các biện pháp kỹ thuật và tổ chức mà MAPSLY sẽ áp dụng nhằm hỗ trợ Khách hàng trong việc thực hiện nghĩa vụ phản hồi các yêu cầu của đối tượng dữ liệu theo quy định của Luật Bảo vệ Dữ liệu hiện hành. Nếu đối tượng dữ liệu gửi yêu cầu đến MAPSLY, MAPSLY sẽ ngay lập tức chuyển tiếp yêu cầu đó cho Khách hàng ngay sau khi xác định được rằng yêu cầu đến từ một đối tượng dữ liệu mà Khách hàng chịu trách nhiệm. Khách hàng ủy quyền, thay mặt cho chính mình và thay mặt cho những người kiểm soát khi Khách hàng hoạt động như một Processor, cho phép MAPSLY phản hồi đối với bất kỳ yêu cầu nào từ đối tượng dữ liệu gửi đến MAPSLY, nhằm xác nhận rằng MAPSLY đã chuyển tiếp yêu cầu cho Khách hàng. Các bên đồng ý rằng việc Khách hàng sử dụng Service Controls và việc MAPSLY chuyển tiếp các yêu cầu của đối tượng dữ liệu cho Khách hàng theo quy định của điều này thể hiện phạm vi và mức độ hỗ trợ bắt buộc cho Khách hàng.

8. Xác minh sự tuân thủ.

8.1 MAPSLY Kiểm tra. MAPSLY sử dụng các kiểm toán viên bên ngoài để xác minh tính đầy đủ của các biện pháp bảo mật. Kiểm toán này: (a) sẽ được thực hiện ít nhất là hàng năm; (b) sẽ được tiến hành theo tiêu chuẩn được công nhận rộng rãi; (c) sẽ được thực hiện bởi các chuyên gia an ninh bên thứ ba độc lập theo lựa chọn và chi phí của MAPSLY; và (d) sẽ dẫn đến việc tạo ra báo cáo kiểm toán (Báo cáo”), sẽ được coi là thông tin bảo mật của MAPSLY.

8.2 Báo cáo kiểm toán. Dựa trên yêu cầu bằng văn bản của Khách hàng, và với điều kiện rằng các bên có một NDA áp dụng, MAPSLY sẽ cung cấp cho Khách hàng một bản sao Báo cáo để Khách hàng có thể kiểm tra một cách hợp lý việc MAPSLY có tuân thủ các nghĩa vụ của mình theo DPA này hay không.

8.3 Đánh giá tác động về quyền riêng tư và tư vấn trước. Xét đến tính chất của quá trình xử lý và thông tin do MAPSLY cung cấp, MAPSLY sẽ hỗ trợ Khách hàng trong việc tuân thủ các nghĩa vụ của mình liên quan đến đánh giá tác động bảo vệ dữ liệu và tham vấn trước bằng cách cung cấp những thông tin mà MAPSLY công bố theo Mục 8 này.

9. Chuyển giao dữ liệu cá nhân.

9.1 Địa điểm. MAPSLY có thể chuyển giao và xử lý Dữ liệu Khách hàng trong Mạng lưới MAPSLY tại Hoa Kỳ hoặc EEA. MAPSLY sẽ không chuyển giao Dữ liệu Khách hàng ra ngoài EEA và Hoa Kỳ, trừ khi cần thiết để cung cấp các Dịch vụ do Khách hàng khởi xướng hoặc theo yêu cầu của pháp luật hoặc theo lệnh có hiệu lực và bắt buộc của cơ quan chính phủ.

9.2 Áp dụng các điều khoản hợp đồng chuẩn. Phụ thuộc vào Mục 9.3, các Điều khoản Hợp đồng Chuẩn chỉ áp dụng cho Dữ liệu Khách hàng thuộc GDPR được chuyển giao, trực tiếp hoặc thông qua việc chuyển giao tiếp theo, đến bất kỳ Quốc gia Thứ ba nào (mỗi quốc gia là “Truyền dữ liệu”).,

9.2.1 Khi Khách hàng hoạt động với vai trò Người kiểm soát, các điều khoản chuyển từ Người kiểm soát sang Người xử lý sẽ được áp dụng cho việc chuyển dữ liệu.

9.2.2 Khi Customer hoạt động với vai trò là Processor, các Processor-to-Processor Clauses sẽ được áp dụng cho một Data Transfer. Xét đến tính chất của quá trình xử lý, Customer đồng ý rằng không có khả năng MAPSLY biết danh tính của Controllers của Customer vì MAPSLY không có mối quan hệ trực tiếp với Controllers của Customer và do đó, Customer sẽ thực hiện các nghĩa vụ của MAPSLY đối với Controllers của Customer theo các Processor-to-Processor Clauses.

9.3 Cơ chế chuyển giao thay thế. Điều Khoản Hợp Đồng Chuẩn sẽ không áp dụng đối với việc Chuyển Dữ Liệu nếu MAPSLY đã áp dụng Quy Tắc Doanh Nghiệp Ràng Buộc cho các Bộ Xử Lý hoặc một tiêu chuẩn tuân thủ hợp pháp thay thế được công nhận.

10. Chấm dứt DPA. DPA này sẽ tiếp tục có hiệu lực cho đến khi Thỏa thuận chấm dứt (the “Ngày chấm dứt”).,

11. Xóa dữ liệu khách hàng. Khi Thỏa thuận chấm dứt hoặc hết hạn, MAPSLY sẽ xóa Dữ liệu Khách hàng theo yêu cầu của Khách hàng nhưng không muộn hơn trong vòng 90 ngày, trừ khi và trong phạm vi pháp luật hiện hành yêu cầu MAPSLY phải lưu giữ một phần hoặc toàn bộ Dữ liệu Khách hàng, trong trường hợp đó, MAPSLY sẽ cách ly và lưu trữ Dữ liệu này một cách an toàn theo các khoảng thời gian lưu giữ áp dụng. MAPSLY sẽ bảo vệ Dữ liệu này khỏi bất kỳ xử lý thêm nào, ngoại trừ trong trường hợp pháp luật yêu cầu.

12. Nhiệm vụ thông báo. Khi Dữ liệu Khách hàng trở thành đối tượng của việc tịch thu trong quá trình phá sản, mất khả năng thanh toán, hoặc các biện pháp tương tự do bên thứ ba áp dụng trong khi được xử lý bởi MAPSLY, MAPSLY sẽ thông báo cho Khách hàng mà không chậm trễ không cần thiết. MAPSLY cũng sẽ thông báo ngay cho tất cả các bên liên quan trong hành động đó (ví dụ: các chủ nợ, quản trị viên phá sản) rằng bất kỳ Dữ liệu Khách hàng nào chịu ảnh hưởng của các thủ tục này đều là tài sản và thuộc trách nhiệm của Khách hàng, và rằng Dữ liệu Khách hàng hoàn toàn do Khách hàng quyết định.

13. Toàn bộ Thỏa thuận; Mâu thuẫn. Thỏa thuận DPA này áp dụng các Standard Contractual Clauses theo cách tham chiếu. Trừ khi có sự sửa đổi bởi DPA này, Agreement sẽ vẫn có hiệu lực đầy đủ. Nếu có sự mâu thuẫn giữa Agreement và DPA này, các điều khoản của DPA này sẽ được ưu tiên, ngoại trừ trường hợp Service Terms sẽ được áp dụng thay cho DPA này. Không có gì trong tài liệu này làm thay đổi hay điều chỉnh các Standard Contractual Clauses.

14. Việc sử dụng dữ liệu người dùng thô hoặc dẫn xuất nhận được từ, API không gian làm việc sẽ tuân thủ Chính sách Dữ liệu Người dùng của Google, bao gồm, yêu cầu sử dụng hạn chế