PHỤ LỤC XỬ LÝ DỮ LIỆU BẢN ĐỒ

1. Xử lí dữ liệu.

1.1 Phạm vi và vai trò. DPA này áp dụng khi MAPSLY xử lý Dữ liệu khách hàng. Trong bối cảnh này, MAPSLY sẽ đóng vai trò là Bên xử lý đối với Khách hàng, người này có thể đóng vai trò là Bên kiểm soát hoặc Bên xử lý dữ liệu khách hàng.

1.2 Kiểm soát của khách hàng. Khách hàng có thể sử dụng Kiểm soát dịch vụ để hỗ trợ thực hiện các nghĩa vụ của mình theo Luật bảo vệ dữ liệu hiện hành, bao gồm cả nghĩa vụ phản hồi các yêu cầu từ chủ thể dữ liệu. Khi tính đến bản chất của quá trình xử lý, Khách hàng đồng ý rằng MAPSLY khó có thể biết rằng Dữ liệu khách hàng được chuyển theo Điều khoản hợp đồng tiêu chuẩn là không chính xác hoặc lỗi thời. Tuy nhiên, nếu MAPSLY biết rằng Dữ liệu khách hàng được truyền theo Điều khoản hợp đồng tiêu chuẩn là không chính xác hoặc lỗi thời, thì MAPSLY sẽ thông báo cho Khách hàng ngay lập tức. MAPSLY sẽ hợp tác với Khách hàng để xóa hoặc chỉnh sửa Dữ liệu khách hàng không chính xác hoặc lỗi thời được chuyển theo Điều khoản hợp đồng tiêu chuẩn bằng cách cung cấp Kiểm soát dịch vụ mà Khách hàng có thể sử dụng để xóa hoặc chỉnh sửa Dữ liệu khách hàng.

1.3 Chi tiết về xử lý dữ liệu.

1.3.1 Chủ đề. Đối tượng xử lý dữ liệu theo DPA này là Dữ liệu khách hàng.

1.3.2 Khoảng thời gian. Giữa MAPSLY và Khách hàng, thời gian xử lý dữ liệu theo DPA này do Khách hàng xác định.

1.3.3 Mục đích. Mục đích của việc xử lý dữ liệu theo DPA này là việc cung cấp Dịch vụ do Khách hàng khởi xướng tùy từng thời điểm.

1.3.4 Bản chất của quá trình xử lý. Tính toán, lưu trữ và các Dịch vụ khác như được mô tả trong Tài liệu và do Khách hàng khởi tạo tùy từng thời điểm.

1.3.5 Loại dữ liệu khách hàng. Dữ liệu khách hàng được tải lên Dịch vụ trong tài khoản MAPSLY của Khách hàng.

1.3.6 Các loại đối tượng dữ liệu. Chủ thể dữ liệu có thể bao gồm khách hàng, nhân viên, nhà cung cấp và Người dùng cuối của Khách hàng.

1.4 Tuân thủ pháp luật. Mỗi bên sẽ tuân thủ tất cả các luật, quy tắc và quy định áp dụng cho mình và ràng buộc với nó trong việc thực hiện DPA này, bao gồm cả Luật bảo vệ dữ liệu hiện hành.

1.5 Mapsly làm Người điều khiển. Khách hàng thừa nhận rằng Mapsly có thể thu thập thông tin cụ thể về Người dùng cuối của Khách hàng được mô tả trong Chính sách bảo mật của MAPSLY (hiện được xuất bản tại https://mapsly.com/privacy-policy). Trong phạm vi bất kỳ dữ liệu nào như vậy được coi là Thông tin cá nhân theo Luật bảo vệ dữ liệu, Mapsly là Bên kiểm soát dữ liệu đó và sẽ xử lý dữ liệu đó như một phần của Dữ liệu khách hàng theo DPA này. Khách hàng cũng cấp cho MAPSLY quyền tiết lộ dữ liệu đó trong nội bộ và cho Bộ xử lý phụ của mình cho các mục đích kinh doanh hợp pháp liên quan đến hoạt động, hỗ trợ và sử dụng Dịch vụ, chẳng hạn như thanh toán, quản lý tài khoản, hỗ trợ kỹ thuật, phát triển sản phẩm, bán hàng và tiếp thị.

2. Hướng dẫn khách hàng. Các bên đồng ý rằng DPA này và Thỏa thuận (bao gồm cả việc Khách hàng cung cấp hướng dẫn thông qua các công cụ cấu hình như bảng điều khiển Thiết lập MAPSLY và các API do MAPSLY cung cấp cho Dịch vụ) cấu thành các hướng dẫn bằng văn bản của Khách hàng về việc xử lý Dữ liệu khách hàng của MAPSLY (“Hướng dẫn bằng văn bản”). MAPSLY sẽ chỉ xử lý Dữ liệu khách hàng theo Hướng dẫn bằng văn bản (nếu Khách hàng đóng vai trò là Bên xử lý thì có thể dựa trên hướng dẫn của Bên kiểm soát). Các hướng dẫn bổ sung nằm ngoài phạm vi của Hướng dẫn bằng văn bản (nếu có) cần có thỏa thuận trước bằng văn bản giữa MAPSLY và Khách hàng, bao gồm thỏa thuận về mọi khoản phí bổ sung mà Khách hàng phải trả cho MAPSLY để thực hiện các hướng dẫn đó. Khách hàng có quyền chấm dứt DPA này và Thỏa thuận nếu MAPSLY từ chối thực hiện theo các hướng dẫn do Khách hàng yêu cầu nằm ngoài phạm vi hoặc được thay đổi so với những hướng dẫn được đưa ra hoặc đồng ý đưa ra trong DPA này. Khi tính đến bản chất của quá trình xử lý, Khách hàng đồng ý rằng MAPSLY khó có thể đưa ra ý kiến về việc liệu Hướng dẫn bằng văn bản có vi phạm Luật bảo vệ dữ liệu hiện hành hay không. Nếu MAPSLY đưa ra ý kiến như vậy, MAPSLY sẽ thông báo ngay cho Khách hàng, trong trường hợp đó, Khách hàng có quyền rút lại hoặc sửa đổi Hướng dẫn bằng Văn bản của mình.

3. Bảo mật dữ liệu khách hàng. MAPSLY sẽ không truy cập, sử dụng hoặc tiết lộ cho bất kỳ bên thứ ba nào về bất kỳ Dữ liệu khách hàng nào, ngoại trừ, trong từng trường hợp, khi cần thiết để duy trì hoặc cung cấp Dịch vụ hoặc khi cần thiết để tuân thủ luật pháp hoặc lệnh hợp lệ và ràng buộc của cơ quan chính phủ. cơ thể (chẳng hạn như trát đòi hầu tòa hoặc lệnh của tòa án). Nếu cơ quan chính phủ gửi cho MAPSLY yêu cầu về Dữ liệu khách hàng, MAPSLY sẽ cố gắng chuyển hướng cơ quan chính phủ đó để yêu cầu dữ liệu đó trực tiếp từ Khách hàng. Là một phần của nỗ lực này, MAPSLY có thể cung cấp thông tin liên hệ cơ bản của Khách hàng cho cơ quan chính phủ. Nếu buộc phải tiết lộ Dữ liệu khách hàng cho cơ quan chính phủ thì MAPSLY sẽ gửi thông báo hợp lý cho Khách hàng về yêu cầu cho phép Khách hàng yêu cầu lệnh bảo vệ hoặc biện pháp khắc phục thích hợp khác trừ khi MAPSLY bị pháp luật cấm làm như vậy.

4. Nghĩa vụ bảo mật của nhân viên MAPSLY. MAPSLY hạn chế nhân viên của mình xử lý Dữ liệu khách hàng mà không được MAPSLY cho phép. MAPSLY áp đặt các nghĩa vụ hợp đồng phù hợp đối với nhân viên của mình, bao gồm các nghĩa vụ liên quan về bảo mật, bảo vệ dữ liệu và bảo mật dữ liệu.

5. Bảo mật xử lý dữ liệu

5.1 MAPSLY đã triển khai và sẽ duy trì các biện pháp tổ chức và kỹ thuật phù hợp để đảm bảo tính bảo mật và bảo mật của Dữ liệu khách hàng, phù hợp với các tiêu chuẩn bảo mật của Mapsly được mô tả trong PDA này và trong Chính sách quyền riêng tư của MAPSLY.

5.2 Trách nhiệm của Khách hàng và Tính năng Bảo mật Tùy chọn. MAPSLY cung cấp nhiều Kiểm soát dịch vụ mà Khách hàng có thể chọn sử dụng để tăng cường hơn nữa tính bảo mật của Dữ liệu khách hàng. Khách hàng chịu trách nhiệm về (a) việc sử dụng Dịch vụ một cách an toàn, bao gồm bảo mật thông tin xác thực tài khoản của mình, (b) bảo vệ tính bảo mật của Dữ liệu khách hàng khi truyền đến và đi từ Dịch vụ, (c) thực hiện mọi bước thích hợp để mã hóa hoặc bảo mật một cách an toàn. sao lưu Dữ liệu khách hàng được tải lên Dịch vụ, (d) định cấu hình đúng Dịch vụ và Kiểm soát dịch vụ và (e) thực hiện các bước khác mà Khách hàng cho là phù hợp để đảm bảo tính bảo mật, bảo vệ và xóa Dữ liệu khách hàng.

5.3. Thông báo sự cố an ninh.

5.3.1. Sự cố an ninh. MAPSLY sẽ (a) thông báo ngay cho Khách hàng về Sự cố bảo mật sau khi biết về Sự cố bảo mật và (b) thực hiện các biện pháp thích hợp để giải quyết Sự cố bảo mật, bao gồm các biện pháp giảm thiểu mọi tác động bất lợi do Sự cố bảo mật gây ra.

5.3.2. Hỗ trợ BẢN ĐỒ. Để cho phép Khách hàng thông báo Sự cố bảo mật cho cơ quan giám sát hoặc chủ thể dữ liệu (nếu có), MAPSLY sẽ hợp tác và hỗ trợ Khách hàng bằng cách đưa vào thông báo những thông tin như vậy về Sự cố bảo mật mà MAPSLY có thể tiết lộ cho Khách hàng, có tính đến bản chất của quá trình xử lý, thông tin có sẵn cho MAPSLY và mọi hạn chế trong việc tiết lộ thông tin, chẳng hạn như tính bảo mật. Khi tính đến bản chất của quá trình xử lý, Khách hàng đồng ý rằng có thể xác định tốt nhất các hậu quả có thể xảy ra của Sự cố bảo mật.

5.3.3. Sự cố bảo mật không thành công. Khách hàng đồng ý rằng:

(Tôi) một Sự cố Bảo mật không thành công sẽ không phải tuân theo Mục 5.3 này. Sự cố bảo mật không thành công là sự cố dẫn đến việc không có quyền truy cập trái phép vào Dữ liệu khách hàng hoặc vào bất kỳ thiết bị hoặc phương tiện nào của MAPSLY lưu trữ Dữ liệu khách hàng và có thể bao gồm nhưng không giới hạn ở các lệnh ping và các cuộc tấn công phát sóng khác vào tường lửa hoặc máy chủ biên, quét cổng, ghi nhật ký không thành công -khi cố gắng, tấn công từ chối dịch vụ, đánh hơi gói (hoặc truy cập trái phép khác vào dữ liệu lưu lượng truy cập mà không dẫn đến quyền truy cập ngoài tiêu đề) hoặc các sự cố tương tự; Và

(ii) Nghĩa vụ của MAPSLY trong việc báo cáo hoặc phản hồi Sự cố bảo mật theo Mục 5.3 này không và sẽ không được hiểu là sự thừa nhận của MAPSLY về bất kỳ lỗi hoặc trách nhiệm pháp lý nào của MAPSLY đối với Sự cố bảo mật.

5.3.4. Giao tiếp. (Các) thông báo về Sự cố bảo mật, nếu có, sẽ được gửi tới một hoặc nhiều quản trị viên của Khách hàng bằng bất kỳ phương tiện nào mà MAPSLY chọn, bao gồm cả qua email. Trách nhiệm duy nhất của Khách hàng là đảm bảo quản trị viên của Khách hàng luôn duy trì thông tin liên hệ chính xác trên bảng điều khiển Thiết lập MAPSLY và đường truyền an toàn mọi lúc.

5.3.5. Nghĩa vụ thông báo. Nếu MAPSLY thông báo cho Khách hàng về Sự cố bảo mật hoặc Khách hàng biết về bất kỳ sự phá hủy, mất mát, thay đổi, tiết lộ hoặc truy cập trái phép vào Dữ liệu Khách hàng một cách vô tình hoặc bất hợp pháp, Khách hàng sẽ chịu trách nhiệm (a) xác định xem có bất kỳ kết quả nào không thông báo hoặc nghĩa vụ khác theo Luật bảo vệ dữ liệu hiện hành và (b) thực hiện hành động cần thiết để tuân thủ các nghĩa vụ đó. Điều này không giới hạn nghĩa vụ của MAPSLY theo Mục 5.3 này.

6. Xử lý phụ.

6.1 Người xử lý phụ được ủy quyền. Khách hàng cấp quyền chung cho việc MAPSLY sử dụng bộ xử lý phụ để cung cấp các hoạt động xử lý Dữ liệu khách hàng thay mặt cho Khách hàng (“Bộ xử lý phụ”) theo quy định tại Mục này. Trang web MAPSLY (hiện được đăng tại https://mapsly.com/sub-processors/) liệt kê các Bộ xử lý phụ hiện đang được MAPSLY tham gia. Ít nhất 30 ngày trước khi MAPSLY thuê Đơn vị xử lý phụ, MAPSLY sẽ cập nhật trang web hiện hành và cung cấp cho Khách hàng cơ chế nhận thông báo về cập nhật đó. Để phản đối Bộ xử lý phụ, Khách hàng có thể: (i) ngừng sử dụng chức năng của Dịch vụ MAPSLY mà MAPSLY đã thuê Bộ xử lý phụ hoặc (ii) chấm dứt Thỏa thuận theo các điều khoản của Thỏa thuận.

6.2 Nghĩa vụ của người xử lý phụ. Trường hợp MAPSLY ủy quyền cho Bộ xử lý phụ như được mô tả trong Phần 6.1:

(Tôi) MAPSLY sẽ hạn chế quyền truy cập của Bộ xử lý phụ vào Dữ liệu khách hàng chỉ ở những gì cần thiết để cung cấp hoặc duy trì Dịch vụ theo Tài liệu và MAPSLY sẽ cấm Bộ xử lý phụ truy cập Dữ liệu khách hàng cho bất kỳ mục đích nào khác;

(ii) MAPSLY sẽ ký kết một thỏa thuận bằng văn bản với Bộ xử lý phụ và trong phạm vi Bộ xử lý phụ thực hiện các dịch vụ xử lý dữ liệu tương tự do MAPSLY cung cấp theo DPA này, MAPSLY sẽ áp dụng cho Bộ xử lý phụ các nghĩa vụ hợp đồng tương tự mà MAPSLY có theo DPA này; Và

(iii) MAPSLY sẽ vẫn chịu trách nhiệm về việc tuân thủ các nghĩa vụ của DPA này và đối với mọi hành động hoặc thiếu sót của Đơn vị xử lý phụ khiến MAPSLY vi phạm bất kỳ nghĩa vụ nào của MAPSLY theo DPA này.

7. Hỗ trợ MAPSLY với các yêu cầu về chủ đề dữ liệu. Xét đến bản chất của quá trình xử lý, Kiểm soát dịch vụ là các biện pháp kỹ thuật và tổ chức mà qua đó MAPSLY sẽ hỗ trợ Khách hàng thực hiện nghĩa vụ của Khách hàng trong việc đáp ứng yêu cầu của chủ thể dữ liệu theo Luật bảo vệ dữ liệu hiện hành. Nếu chủ thể dữ liệu đưa ra yêu cầu tới MAPSLY, MAPSLY sẽ nhanh chóng chuyển tiếp yêu cầu đó tới Khách hàng sau khi MAPSLY xác định rằng yêu cầu đó là từ chủ thể dữ liệu mà Khách hàng chịu trách nhiệm. Khách hàng ủy quyền thay mặt cho mình và thay mặt cho người kiểm soát của mình khi Khách hàng đóng vai trò là Bên xử lý, MAPSLY phản hồi bất kỳ chủ thể dữ liệu nào gửi yêu cầu tới MAPSLY để xác nhận rằng MAPSLY đã chuyển tiếp yêu cầu đến Khách hàng. Các bên đồng ý rằng việc Khách hàng sử dụng Kiểm soát dịch vụ và chuyển tiếp yêu cầu của đối tượng dữ liệu MAPSLY tới Khách hàng theo phần này thể hiện phạm vi và mức độ hỗ trợ cần thiết của Khách hàng.

8. Xác minh tuân thủ.

8.1 Kiểm toán BẢN ĐỒ. MAPSLY sử dụng các kiểm toán viên bên ngoài để xác minh tính đầy đủ của các biện pháp bảo mật. Cuộc kiểm toán này: (a) sẽ được thực hiện ít nhất hàng năm; (b) sẽ được thực hiện theo tiêu chuẩn được công nhận rộng rãi; (c) sẽ được thực hiện bởi các chuyên gia bảo mật bên thứ ba độc lập với sự lựa chọn và chi phí của MAPSLY; và (d) sẽ tạo ra một báo cáo kiểm toán (“Báo cáo”), đây sẽ là Thông tin bí mật của MAPSLY.

8.2 Báo cáo kiểm toán. Theo yêu cầu bằng văn bản của Khách hàng và với điều kiện là các bên đã có NDA hiện hành, MAPSLY sẽ cung cấp cho Khách hàng bản sao Báo cáo để Khách hàng có thể xác minh một cách hợp lý sự tuân thủ của MAPSLY với các nghĩa vụ của mình theo DPA này.

8.3 Đánh giá tác động đến quyền riêng tư và tư vấn trước. Có tính đến tính chất của quá trình xử lý và thông tin có sẵn cho MAPSLY, MAPSLY sẽ hỗ trợ Khách hàng tuân thủ các nghĩa vụ của Khách hàng liên quan đến đánh giá tác động bảo vệ dữ liệu và tư vấn trước bằng cách cung cấp thông tin MAPSLY cung cấp theo Mục 8 này.

9. Chuyển dữ liệu cá nhân.

9.1 Địa điểm. MAPSLY có thể chuyển và xử lý Dữ liệu khách hàng trong Mạng lưới MAPSLY ở Hoa Kỳ hoặc EEA. MAPSLY sẽ không chuyển Dữ liệu khách hàng ra ngoài EEA và Hoa Kỳ trừ khi cần thiết để cung cấp Dịch vụ do Khách hàng khởi xướng hoặc khi cần thiết để tuân thủ luật pháp hoặc lệnh ràng buộc và hợp lệ của cơ quan chính phủ.

9.2 Áp dụng các điều khoản hợp đồng tiêu chuẩn. Theo Mục 9.3, Điều khoản hợp đồng tiêu chuẩn sẽ chỉ áp dụng cho Dữ liệu khách hàng tuân theo GDPR được chuyển trực tiếp hoặc thông qua chuyển tiếp tới bất kỳ Quốc gia thứ ba nào (mỗi “Truyền dữ liệu”).

9.2.1 Khi Khách hàng đóng vai trò là Bên kiểm soát, các Điều khoản giữa Bên kiểm soát với Bên xử lý sẽ áp dụng cho việc Truyền dữ liệu.

9.2.2 Khi Khách hàng đóng vai trò là Bên xử lý, các Điều khoản từ Bên xử lý đến Bên xử lý sẽ áp dụng cho việc Truyền dữ liệu. Khi tính đến bản chất của quá trình xử lý, Khách hàng đồng ý rằng MAPSLY khó có thể biết danh tính của Bộ điều khiển của Khách hàng vì MAPSLY không có mối quan hệ trực tiếp với Bộ điều khiển của Khách hàng và do đó, Khách hàng sẽ thực hiện nghĩa vụ của MAPSLY đối với Bộ điều khiển của Khách hàng theo Bộ xử lý với- Điều khoản bộ xử lý.

9.3 Cơ chế chuyển giao thay thế. Các điều khoản hợp đồng tiêu chuẩn sẽ không áp dụng cho việc Truyền dữ liệu nếu MAPSLY đã áp dụng Quy tắc ràng buộc công ty dành cho Nhà xử lý hoặc tiêu chuẩn tuân thủ thay thế được công nhận cho việc Truyền dữ liệu hợp pháp.

10. Chấm dứt DPA. DPA này sẽ tiếp tục có hiệu lực cho đến khi chấm dứt Thỏa thuận (“Ngày kết thúc”).

11. Xóa dữ liệu khách hàng. Sau khi chấm dứt hoặc hết hạn Thỏa thuận, MAPSLY sẽ xóa Dữ liệu khách hàng theo yêu cầu của Khách hàng nhưng không muộn hơn trong khoảng thời gian 90 ngày, ngoại trừ và trong phạm vi luật hiện hành của MAPSLY yêu cầu giữ lại một số hoặc tất cả Dữ liệu khách hàng, trong đó MAPSLY sẽ cách ly và lưu trữ Dữ liệu này một cách an toàn theo thời gian lưu giữ hiện hành. MAPSLY sẽ bảo vệ Dữ liệu này khỏi mọi hoạt động xử lý tiếp theo, ngoại trừ trong phạm vi được luật hiện hành yêu cầu.

12. Nghĩa vụ thông báo. Trong trường hợp Dữ liệu của Khách hàng có thể bị tịch thu trong quá trình tố tụng phá sản hoặc mất khả năng thanh toán hoặc các biện pháp tương tự bởi các bên thứ ba trong khi được MAPSLY xử lý, MAPSLY sẽ thông báo cho Khách hàng ngay lập tức. MAPSLY sẽ, không chậm trễ quá mức, thông báo cho tất cả các bên liên quan trong hành động đó (ví dụ: chủ nợ, người được ủy thác phá sản) rằng mọi Dữ liệu khách hàng phải tuân theo các thủ tục tố tụng đó là tài sản và phạm vi trách nhiệm của Khách hàng và Dữ liệu khách hàng đó là do Khách hàng tùy ý sử dụng.

13. Toàn bộ thỏa thuận; Xung đột. DPA này kết hợp các Điều khoản hợp đồng tiêu chuẩn bằng cách tham chiếu. Trừ khi được DPA này sửa đổi, Thỏa thuận sẽ vẫn có đầy đủ hiệu lực. Nếu có xung đột giữa Thỏa thuận và DPA này thì các điều khoản của DPA này sẽ chi phối, ngoại trừ Điều khoản dịch vụ sẽ chi phối DPA này. Không có nội dung nào trong tài liệu này thay đổi hoặc sửa đổi các Điều khoản hợp đồng tiêu chuẩn.