PHỤ LỤC XỬ LÝ DỮ LIỆU MAPSLY

1. Xử lý dữ liệu.

1.1 Phạm vi và Vai trò. DPA này áp dụng khi MAPSLY xử lý Dữ liệu Khách hàng. Trong bối cảnh này, MAPSLY sẽ đóng vai trò là Bộ xử lý đối với Khách hàng, người có thể đóng vai trò là Người kiểm soát hoặc Bộ xử lý Dữ liệu Khách hàng.

1.2 Kiểm soát Khách hàng Khách hàng có thể sử dụng các Kiểm soát Dịch vụ để hỗ trợ khách hàng thực hiện các nghĩa vụ theo Luật Bảo vệ Dữ liệu Áp dụng, bao gồm nghĩa vụ phản hồi các yêu cầu từ các chủ thể dữ liệu. Xét đến tính chất của việc xử lý, Khách hàng đồng ý rằng rất ít khả năng MAPSLY sẽ nhận biết được Dữ liệu Khách hàng được chuyển giao theo các Điều khoản Hợp đồng Chuẩn không chính xác hoặc đã lỗi thời. Tuy nhiên, nếu MAPSLY nhận biết được rằng Dữ liệu Khách hàng được chuyển giao theo các Điều khoản Hợp đồng Chuẩn không chính xác hoặc đã lỗi thời, MAPSLY sẽ thông báo cho Khách hàng mà không chậm trễ không cần thiết. MAPSLY sẽ hợp tác với Khách hàng để xóa hoặc chỉnh sửa Dữ liệu Khách hàng không chính xác hoặc lỗi thời được chuyển giao theo các Điều khoản Hợp đồng Chuẩn bằng cách cung cấp các Kiểm soát Dịch vụ mà Khách hàng có thể sử dụng để xóa hoặc chỉnh sửa Dữ liệu Khách hàng.

1.3 Chi tiết về Xử lý Dữ liệu.

1.3.1 Chủ đề. Nội dung xử lý dữ liệu theo DPA này là Dữ liệu Khách hàng.

1.3.2 Thời lượng. Giữa MAPSLY và Khách hàng, thời gian xử lý dữ liệu theo DPA này được xác định bởi Khách hàng.

1.3.3 Mục đích. Mục đích xử lý dữ liệu theo DPA này là cung cấp Dịch vụ do Khách hàng khởi xướng theo từng thời điểm.

1.3.4 Bản chất của việc xử lý. Các Dịch vụ tính toán, lưu trữ và các Dịch vụ khác như được mô tả trong Tài liệu và do Khách hàng khởi tạo theo thời gian.

1.3.5 Loại dữ liệu khách hàng. Dữ liệu Khách hàng đã được tải lên Dịch vụ dưới các tài khoản MAPSLY của Khách hàng.

1.3.6 Các loại đối tượng dữ liệu. Các chủ thể dữ liệu có thể bao gồm khách hàng của Khách hàng, nhân viên, nhà cung cấp và Người dùng cuối.

1.4 Tuân thủ luật pháp. Mỗi bên sẽ tuân thủ tất cả các luật, quy định và quy tắc áp dụng và ràng buộc đối với mình trong việc thực hiện DPA này, bao gồm cả Luật Bảo vệ Dữ liệu Áp dụng.

1.5 Mapsly với vai trò Điều khiển viên. Khách hàng thừa nhận rằng Mapsly có thể thu thập thông tin cụ thể về Người dùng Cuối của Khách hàng được mô tả trong Chính sách bảo mật MAPSLY (hiện đang được công bố tại https://mapsly.com/privacy-policy)Trong phạm vi bất kỳ dữ liệu nào trong số đó được coi là Thông tin Cá nhân theo Luật Bảo vệ Dữ liệu, Mapsly là Đơn vị Kiểm soát dữ liệu đó và sẽ xử lý dữ liệu đó như một phần của Dữ liệu Khách hàng theo DPA này. Khách hàng cũng cấp quyền cho MAPSLY tiết lộ dữ liệu đó nội bộ và với các Đơn vị Xử lý phụ của họ cho các mục đích kinh doanh chính đáng liên quan đến vận hành, hỗ trợ và sử dụng Dịch vụ, chẳng hạn như thanh toán, quản lý tài khoản, hỗ trợ kỹ thuật, phát triển sản phẩm, bán hàng và tiếp thị.

2. Hướng dẫn khách hàng. Các bên đồng ý rằng DPA này và Thỏa thuận (bao gồm cả Khách hàng cung cấp hướng dẫn qua các công cụ cấu hình như bảng điều khiển MAPSLY Setup và các API do MAPSLY cung cấp cho Dịch vụ) cấu thành các hướng dẫn được Khách hàng ghi lại liên quan đến việc MAPSLY xử lý Dữ liệu Khách hàngHướng dẫn được ghi chépMAPSLY sẽ chỉ xử lý Dữ liệu Khách hàng theo các Hướng dẫn Được Ghi Chép (nếu Khách hàng đóng vai trò là Bộ xử lý, có thể dựa trên hướng dẫn của các Người Kiểm soát của họ). Những hướng dẫn bổ sung ngoài phạm vi của Hướng dẫn Được Ghi Chép (nếu có) yêu cầu sự đồng ý bằng văn bản trước giữa MAPSLY và Khách hàng, bao gồm cả thỏa thuận về bất kỳ khoản phí bổ sung nào mà Khách hàng phải trả cho MAPSLY để thực hiện các hướng dẫn đó. Khách hàng có quyền chấm dứt DPA này và Thỏa thuận nếu MAPSLY từ chối làm theo các hướng dẫn do Khách hàng yêu cầu mà nằm ngoài phạm vi hoặc đã được thay đổi so với những hướng dẫn đã được đưa ra hoặc đồng ý trong DPA này. Xem xét tính chất của việc xử lý, Khách hàng đồng ý rằng MAPSLY khó có thể đưa ra ý kiến liệu các Hướng dẫn Được Ghi Chép có vi phạm Luật Bảo vệ Dữ liệu Áp dụng hay không. Nếu MAPSLY đưa ra ý kiến như vậy, MAPSLY sẽ ngay lập tức thông báo cho Khách hàng, trong trường hợp đó, Khách hàng có quyền rút hoặc chỉnh sửa các Hướng dẫn Được Ghi Chép của mình.

3. Tính bảo mật của dữ liệu khách hàng. MAPSLY sẽ không truy cập hoặc sử dụng, hoặc tiết lộ cho bên thứ ba bất kỳ Dữ liệu Khách hàng nào, ngoại trừ trong mỗi trường hợp cần thiết để duy trì hoặc cung cấp Dịch vụ, hoặc khi cần thiết để tuân thủ pháp luật hoặc lệnh hợp lệ và ràng buộc của cơ quan chính phủ (chẳng hạn như trát hầu tòa hoặc lệnh của tòa án). Nếu cơ quan chính phủ gửi yêu cầu Dữ liệu Khách hàng đến MAPSLY, MAPSLY sẽ cố gắng hướng cơ quan đó yêu cầu dữ liệu trực tiếp từ Khách hàng. Là một phần của nỗ lực này, MAPSLY có thể cung cấp thông tin liên hệ cơ bản của Khách hàng cho cơ quan chính phủ. Nếu bị buộc phải tiết lộ Dữ liệu Khách hàng cho cơ quan chính phủ, MAPSLY sẽ thông báo hợp lý cho Khách hàng về yêu cầu để Khách hàng có thể tìm kiếm lệnh bảo vệ hoặc phương pháp khắc phục thích hợp khác, trừ khi MAPSLY bị pháp luật cấm làm như vậy.

4. Nghĩa vụ bảo mật của nhân viên MAPSLY. MAPSLY hạn chế nhân sự của mình xử lý Dữ liệu Khách hàng mà không có sự ủy quyền của MAPSLY. MAPSLY áp đặt các nghĩa vụ hợp đồng phù hợp đối với nhân sự, bao gồm các nghĩa vụ liên quan đến bảo mật, bảo vệ dữ liệu và an ninh dữ liệu.

5. Bảo mật xử lý dữ liệu

5.1 MAPSLY đã triển khai và sẽ duy trì các biện pháp kỹ thuật và tổ chức phù hợp để đảm bảo an ninh và tính bảo mật của Dữ liệu Khách hàng, phù hợp với các tiêu chuẩn bảo mật của Mapsly được mô tả trong PDA này và trong Chính sách Bảo mật của MAPSLY..

5.2 Trách Nhiệm của Khách Hàng và Tính Năng Bảo Mật Tùy Chọn. MAPSLY cung cấp nhiều Kiểm soát Dịch vụ mà Khách hàng có thể lựa chọn sử dụng để tăng cường bảo mật Dữ liệu Khách hàng. Khách hàng chịu trách nhiệm về (a) việc sử dụng dịch vụ một cách an toàn, bao gồm bảo vệ thông tin xác thực tài khoản của mình, (b) bảo vệ tính bảo mật của Dữ liệu Khách hàng khi truyền đi và nhận từ Dịch vụ, (c) thực hiện các bước phù hợp để mã hóa hoặc sao lưu Dữ liệu Khách hàng được tải lên Dịch vụ một cách an toàn, (d) cấu hình chính xác Dịch vụ và các Kiểm soát Dịch vụ, và (e) thực hiện các bước khác mà Khách hàng cho là đủ để đảm bảo an ninh, bảo vệ và xóa Dữ liệu Khách hàng.

5.3. Thông báo sự cố bảo mật.

5.3.1. Sự cố An ninh. MAPSLY sẽ (a) thông báo cho Khách hàng về sự cố An ninh mà không chậm trễ sau khi biết về sự cố đó, và (b) thực hiện các biện pháp thích hợp để giải quyết sự cố An ninh, bao gồm các biện pháp giảm thiểu bất kỳ tác động tiêu cực nào phát sinh từ sự cố An ninh.

5.3.2. Hỗ trợ MAPSLY. Để cho phép Khách hàng thông báo một Sự cố Bảo mật cho các cơ quan giám sát hoặc các đối tượng dữ liệu (nếu áp dụng), MAPSLY sẽ hợp tác và hỗ trợ Khách hàng bằng cách bao gồm trong thông báo các thông tin về Sự cố Bảo mật mà MAPSLY có thể tiết lộ cho Khách hàng, cân nhắc tính chất của việc xử lý, thông tin mà MAPSLY có được, và các hạn chế trong việc tiết lộ thông tin, chẳng hạn như tính bảo mật. Cân nhắc tính chất của việc xử lý, Khách hàng đồng ý rằng họ là người có khả năng xác định hậu quả có thể xảy ra của một Sự cố Bảo mật.

5.3.3. Sự cố Bảo mật không thành công. Khách hàng đồng ý rằng:

(i) Một sự cố Bảo mật không thành công sẽ không thuộc phần 5.3 này. Một sự cố Bảo mật không thành công là một sự cố không dẫn đến việc truy cập trái phép vào Dữ liệu Khách hàng hoặc bất kỳ thiết bị hay cơ sở nào của MAPSLY lưu trữ Dữ liệu Khách hàng, và có thể bao gồm, không giới hạn, các cuộc tấn công ping và phát sóng khác trên tường lửa hoặc máy chủ biên, quét cổng, các lần đăng nhập không thành công, tấn công từ chối dịch vụ, việc nghe trộm gói tin (hoặc các truy cập trái phép khác vào dữ liệu lưu lượng không dẫn đến truy cập vượt quá phần tiêu đề) hoặc các sự cố tương tự;

(ii) Nghĩa vụ của MAPSLY trong việc báo cáo hoặc phản hồi về Sự cố Bảo mật theo Mục 5.3 này không phải và sẽ không được hiểu là sự thừa nhận của MAPSLY về bất kỳ lỗi hoặc trách nhiệm nào của MAPSLY liên quan đến Sự cố Bảo mật.

5.3.4. Giao tiếp. Thông báo về Sự cố An ninh, nếu có, sẽ được gửi đến một hoặc nhiều quản trị viên của Khách hàng bằng bất kỳ phương thức nào do MAPSLY chọn, bao gồm qua email. Đây là trách nhiệm duy nhất của Khách hàng để đảm bảo các quản trị viên của họ duy trì thông tin liên hệ chính xác trên bảng điều khiển Cài đặt MAPSLY và đảm bảo truyền tải an toàn mọi lúc.

5.3.5. Nghĩa vụ thông báo. Nếu MAPSLY thông báo cho Khách hàng về một Sự cố Bảo mật, hoặc Khách hàng biết được bất kỳ việc phá hoại, mất mát, thay đổi, tiết lộ trái phép hoặc truy cập trái phép nào đối với Dữ liệu Khách hàng, Khách hàng sẽ chịu trách nhiệm (a) xác định xem có bất kỳ nghĩa vụ thông báo hoặc nghĩa vụ nào khác theo Luật Bảo vệ Dữ liệu Áp dụng không và (b) thực hiện các hành động cần thiết để tuân thủ các nghĩa vụ đó. Điều này không giới hạn các nghĩa vụ của MAPSLY theo Mục 5.3 này.

6. Phân xử lý.

6.1 Các đơn vị phụ trợ được ủy quyền. Khách hàng cung cấp ủy quyền chung cho MAPSLY sử dụng các bên phụ để thực hiện các hoạt động xử lý Dữ liệu của Khách hàng thay mặt cho Khách hàngCác nhà xử lý phụ") phù hợp với Mục này. Trang web MAPSLY (hiện đang được đăng tại https://mapsly.com/sub-processors/) liệt kê các Nhà xử lý phụ hiện đang được MAPSLY thuê. Ít nhất 30 ngày trước khi MAPSLY thuê một Nhà xử lý phụ, MAPSLY sẽ cập nhật trang web tương ứng và cung cấp cho Khách hàng cơ chế để nhận thông báo về cập nhật đó. Để phản đối một Nhà xử lý phụ, Khách hàng có thể: (i) ngừng sử dụng chức năng của Dịch vụ MAPSLY mà MAPSLY đã thuê Nhà xử lý phụ, hoặc (ii) chấm dứt Thỏa thuận theo các điều khoản của nó.

6.2 Nghĩa vụ của nhà xử lý phụ. Khi MAPSLY ủy quyền cho một Đơn vị xử lý phụ như mô tả trong Mục 6.1:

(i) MAPSLY sẽ giới hạn quyền truy cập dữ liệu khách hàng của Bên gia công phụ chỉ trong phạm vi cần thiết để cung cấp hoặc duy trì Dịch vụ theo Tài liệu, và MAPSLY sẽ cấm Bên gia công phụ truy cập dữ liệu khách hàng vì bất kỳ mục đích nào khác;

(ii) MAPSLY sẽ ký thỏa thuận bằng văn bản với Đơn vị xử lý phụ và, trong phạm vi Đơn vị xử lý phụ thực hiện cùng dịch vụ xử lý dữ liệu do MAPSLY cung cấp theo DPA này, MAPSLY sẽ áp đặt các nghĩa vụ hợp đồng giống như những nghĩa vụ mà MAPSLY có theo DPA này đối với Đơn vị xử lý phụ; và

(iii) MAPSLY sẽ vẫn chịu trách nhiệm về việc tuân thủ các nghĩa vụ của mình theo DPA này và về bất kỳ hành động hoặc thiếu sót nào của bên Xử lý phụ làm MAPSLY vi phạm bất kỳ nghĩa vụ nào của MAPSLY theo DPA này.

7. Hỗ trợ MAPSLY với Yêu cầu của Chủ thể Dữ liệu. Xem xét đến tính chất của việc xử lý, Công cụ Kiểm soát Dịch vụ là các biện pháp kỹ thuật và tổ chức mà MAPSLY sẽ hỗ trợ Khách hàng trong việc hoàn thành nghĩa vụ của Khách hàng để phản hồi các yêu cầu từ chủ thể dữ liệu theo Luật Bảo vệ Dữ liệu Áp dụng. Nếu một chủ thể dữ liệu gửi yêu cầu đến MAPSLY, MAPSLY sẽ nhanh chóng chuyển tiếp yêu cầu đó tới Khách hàng ngay khi MAPSLY xác định rằng yêu cầu đó đến từ chủ thể dữ liệu mà Khách hàng chịu trách nhiệm. Khách hàng ủy quyền thay mặt mình, và thay mặt các bộ điều khiển của mình khi Khách hàng đóng vai trò là Bộ xử lý, cho MAPSLY để phản hồi bất kỳ chủ thể dữ liệu nào gửi yêu cầu đến MAPSLY, nhằm xác nhận rằng MAPSLY đã chuyển tiếp yêu cầu đó đến Khách hàng. Các bên đồng ý rằng việc Khách hàng sử dụng Công cụ Kiểm soát Dịch vụ và MAPSLY chuyển tiếp các yêu cầu từ chủ thể dữ liệu đến Khách hàng theo phần này đại diện cho phạm vi và mức độ hỗ trợ cần thiết của Khách hàng.

8. Xác minh tuân thủ.

8.1 Kiểm toán MAPSLY. MAPSLY sử dụng kiểm toán viên bên ngoài để xác minh tính đầy đủ của các biện pháp bảo mật. Cuộc kiểm toán này: (a) sẽ được thực hiện ít nhất hàng năm; (b) sẽ được thực hiện theo tiêu chuẩn được công nhận rộng rãi; (c) sẽ được thực hiện bởi các chuyên gia bảo mật bên thứ ba độc lập do MAPSLY lựa chọn và chi trả; và (d) sẽ dẫn đến việc tạo báo cáo kiểm toán.Báo cáo”), sẽ là Thông tin Bảo mật của MAPSLY.

8.2 Báo cáo kiểm toán. Theo yêu cầu bằng văn bản của Khách hàng, và với điều kiện các bên có thỏa thuận NDA áp dụng, MAPSLY sẽ cung cấp cho Khách hàng một bản sao Báo cáo để Khách hàng có thể kiểm tra hợp lý việc MAPSLY tuân thủ các nghĩa vụ của mình theo DPA này.

8.3 Đánh giá Tác động Quyền riêng tư và Tham vấn Trước. Xem xét tính chất của việc xử lý và thông tin MAPSLY có được, MAPSLY sẽ hỗ trợ Khách hàng trong việc tuân thủ các nghĩa vụ của Khách hàng liên quan đến đánh giá tác động bảo vệ dữ liệu và tham vấn trước bằng cách cung cấp các thông tin mà MAPSLY cung cấp theo Mục 8 này.

9. Chuyển giao Dữ liệu Cá nhân.

9.1 Vị trí. MAPSLY có thể chuyển và xử lý Dữ liệu Khách hàng trong Mạng MAPSLY tại Hoa Kỳ hoặc EEA. MAPSLY sẽ không chuyển Dữ liệu Khách hàng ra ngoài EEA và Hoa Kỳ trừ khi cần thiết để cung cấp Dịch vụ do Khách hàng khởi xướng, hoặc cần thiết để tuân thủ luật pháp hoặc lệnh hợp lệ và ràng buộc của cơ quan chính phủ.

9.2 Áp dụng các điều khoản hợp đồng tiêu chuẩn. Theo Điều 9.3, các Điều Khoản Hợp Đồng Chuẩn sẽ chỉ áp dụng cho Dữ liệu Khách hàng chịu sự điều chỉnh của GDPR được chuyển, trực tiếp hoặc qua chuyển tiếp, tới bất kỳ Quốc gia Thứ ba nào (mỗi quốc gia gọi là “Chuyển dữ liệu).

9.2.1 Khi Khách hàng đóng vai trò là Người kiểm soát, các Điều khoản từ Người kiểm soát tới Người xử lý sẽ áp dụng cho Việc chuyển dữ liệu.

9.2.2 Khi Khách hàng hoạt động như một Bộ xử lý, các Điều khoản Bộ xử lý-đến-Bộ xử lý sẽ áp dụng cho Việc Chuyển dữ liệu. Xem xét đến tính chất của việc xử lý, Khách hàng đồng ý rằng MAPSLY khó có thể biết được danh tính của các Bộ điều khiển của Khách hàng vì MAPSLY không có mối quan hệ trực tiếp với các Bộ điều khiển của Khách hàng và do đó, Khách hàng sẽ thực hiện các nghĩa vụ của MAPSLY đối với các Bộ điều khiển của Khách hàng theo các Điều khoản Bộ xử lý-đến-Bộ xử lý.

9.3 Cơ chế chuyển giao thay thế. Các Điều Khoản Hợp Đồng Tiêu Chuẩn sẽ không áp dụng cho một Lần Chuyển Dữ Liệu nếu MAPSLY đã áp dụng Quy tắc Doanh nghiệp Ràng buộc cho Người Xử lý hoặc một tiêu chuẩn tuân thủ được công nhận khác cho các Lần Chuyển Dữ Liệu hợp pháp.

10. Chấm dứt DPA. DPA này sẽ tiếp tục có hiệu lực cho đến khi chấm dứt Thỏa thuận (the “Ngày kết thúc).

11. Xóa Dữ liệu Khách hàng. Khi Hợp đồng chấm dứt hoặc hết hạn, MAPSLY sẽ xóa Dữ liệu Khách hàng theo yêu cầu của Khách hàng nhưng không muộn hơn 90 ngày, trừ khi và trong phạm vi MAPSLY bị pháp luật áp dụng yêu cầu giữ lại một phần hoặc toàn bộ Dữ liệu Khách hàng, MAPSLY sẽ cô lập và lưu trữ dữ liệu này một cách an toàn theo các thời gian lưu trữ áp dụng. MAPSLY sẽ bảo vệ Dữ liệu này khỏi mọi xử lý thêm, trừ khi được pháp luật áp dụng yêu cầu.

12. Nhiệm vụ thông báo. Khi Dữ liệu Khách hàng trở thành đối tượng bị tịch thu trong các thủ tục phá sản hoặc vỡ nợ hoặc các biện pháp tương tự bởi bên thứ ba trong quá trình được xử lý bởi MAPSLY, MAPSLY sẽ thông báo cho Khách hàng mà không chậm trễ không cần thiết. MAPSLY sẽ, không chậm trễ không cần thiết, thông báo cho tất cả các bên liên quan trong hành động đó (ví dụ, chủ nợ, quản tài viên phá sản) rằng bất kỳ Dữ liệu Khách hàng nào bị tác động bởi các thủ tục đó là tài sản và trách nhiệm của Khách hàng và Dữ liệu Khách hàng thuộc quyền kiểm soát duy nhất của Khách hàng.

13. Thỏa thuận toàn bộ; Xung đột. DPA này bao gồm các Điều khoản Hợp đồng Chuẩn theo tham chiếu. Trừ khi được sửa đổi bởi DPA này, Thỏa thuận sẽ vẫn có hiệu lực đầy đủ. Nếu có sự mâu thuẫn giữa Thỏa thuận và DPA này, các điều khoản của DPA này sẽ được ưu tiên, ngoại trừ các Điều khoản Dịch vụ sẽ ưu tiên hơn DPA này. Không có điều gì trong tài liệu này làm thay đổi hoặc sửa đổi các Điều khoản Hợp đồng Chuẩn.

14. Việc sử dụng dữ liệu người dùng thô hoặc dẫn xuất nhận được từ API Không gian làm việc sẽ tuân thủ Chính sách Dữ liệu Người dùng của Google, bao gồm yêu cầu Sử dụng Hạn chế