最后更新时间:2023 年 9 月 15 日。
本数据处理附录(“DPA”)是您与您代表的实体(“客户”、“您”或“您的”)和 Mapsly LLC(“MAPSLY”)之间的协议。本 DPA 补充了 MAPSLY 服务条款,网址为 https://mapsly.com/terms,客户与 MAPSLY 之间不时更新的协议,或客户与 MAPSLY 之间管理客户使用 MAPSLY 服务的其他协议(“协议”)。
定义。除非协议中另有定义,本 DPA 中使用的所有大写术语均具有以下含义:
“API” 指应用程序编程接口。
“适用的数据保护法” 指适用于一方处理客户数据并对一方具有约束力的所有法律和法规,包括(如适用)GDPR。
“具有约束力的公司规则” 具有 GDPR 中赋予它的含义。
“控制器” 具有 GDPR 中赋予它的含义。
“控制器到处理器条款” 指 2021 年 6 月 4 日欧盟委员会实施决定 (EU) 2021/914 批准的数据传输控制者和处理者之间的标准合同条款。
“客户数据” 指上传到客户 MAPSLY 帐户下的服务的个人数据。
“文档” 指当时有效的服务文档,位于 https://help.mapsly.com (以及 MAPSLY 指定的任何后续地点)。
“欧洲经济区” 指欧洲经济区。
“终端用户” 指客户 Mapsly 帐户的用户,包括客户指定使用 Mapsly 的客户员工和承包商。
“通用数据保护条例” 指欧洲议会和理事会 2016 年 4 月 27 日颁布的关于在个人数据处理和此类数据自由流动方面保护自然人的第 2016/679 号条例,并废除了第 95/46/EC 号指令(通用数据保护条例)。
“地图网络” 指在 MAPSLY 控制范围内并用于提供服务的服务器、网络设备和主机软件系统(例如虚拟防火墙)。
“MAPSLY 设置控制台” 指主菜单“设置”下的 Mapsly 服务中的设置部分。
“个人资料” 指个人数据、个人信息、个人身份信息或其他同等术语(均按适用数据保护法定义)。
“加工” 具有 GDPR 中赋予的含义,“流程”、“流程”和“已处理”将进行相应解释。
“处理器” 具有 GDPR 中赋予它的含义。
“处理器到处理器条款” 指 2021 年 6 月 4 日欧盟委员会实施决定 (EU) 2021/914 批准的数据传输处理者之间的标准合同条款.
“安全事件” 指违反 MAPSLY 安全性导致客户数据意外或非法破坏、丢失、更改、未经授权披露或访问。
“服务控制” 指服务提供的控制,包括安全特性和功能,如文档中所述。
“标准合同条款” 指 (i) 控制者到处理者条款,或 (ii) 处理者到处理者条款,根据第 9.2.1 和 9.2.2 条适用。
“第三国” 指欧洲经济区以外未被欧盟委员会认可为个人数据提供足够水平保护的国家(如 GDPR 中所述)。
1. 数据处理。
1.1 范围和角色。 当 MAPSLY 处理客户数据时,本 DPA 适用。在这种情况下,MAPSLY 将充当客户的处理者,客户可以充当客户数据的控制者或处理者。
1.2 客户控制。 客户可以使用服务控制来协助其履行适用数据保护法规定的义务,包括响应数据主体请求的义务。考虑到处理的性质,客户同意 MAPSLY 不太可能意识到根据标准合同条款传输的客户数据不准确或过时。尽管如此,如果 MAPSLY 发现根据标准合同条款传输的客户数据不准确或过时,它将立即通知客户。 MAPSLY 将与客户合作,通过提供客户可用于删除或纠正客户数据的服务控制来删除或纠正根据标准合同条款传输的不准确或过时的客户数据。
1.3 数据处理的详细信息。
1.3.1 主题。 本 DPA 下的数据处理的主题是客户数据。
1.3.2 期间。 在 MAPSLY 和客户之间,本 DPA 下的数据处理持续时间由客户决定。
1.3.3 目的。 本 DPA 下的数据处理的目的是提供客户不时发起的服务。
1.3.4 处理的性质。 计算、存储和文档中描述的以及客户不时发起的此类其他服务。
1.3.5 客户数据的类型。 客户数据上传到客户 MAPSLY 帐户下的服务。
1.3.6 数据主体的类别。 数据主体可能包括客户的客户、员工、供应商和最终用户。
1.4 遵守法律. 各方在履行本 DPA 时均应遵守适用于其并对其具有约束力的所有法律、规则和法规,包括适用的数据保护法。
1.5 Mapsly 作为控制器。 客户承认 Mapsly 可能会收集有关客户最终用户的特定信息,如 MAPSLY 隐私政策(当前发布于 https://mapsly.com/privacy-policy)。如果任何此类数据根据数据保护法被视为个人信息,则 Mapsly 是此类数据的控制者,并应根据本 DPA 将其作为客户数据的一部分进行处理。客户还授予 MAPSLY 在内部及其子处理者披露此类数据的权利,以用于与服务的运营、支持和使用相关的合法商业目的,例如计费、账户管理、技术支持、产品开发、销售和服务。营销。
2. 客户指示。 双方同意,本 DPA 和协议(包括客户通过 MAPSLY 设置控制台和 MAPSLY 为服务提供的 API 等配置工具提供的说明)构成客户关于 MAPSLY 处理客户数据的书面说明(“书面说明”)。 MAPSLY 将仅根据书面说明处理客户数据(如果客户作为处理者,则可以基于其控制者的指示)。书面说明范围之外的其他说明(如有)需要 MAPSLY 与客户之间事先达成书面协议,包括就客户为执行此类说明而应向 MAPSLY 支付的任何附加费用达成一致。如果 MAPSLY 拒绝遵循客户要求的超出本 DPA 范围或更改的指示,则客户有权终止本 DPA 和本协议。考虑到处理的性质,客户同意 MAPSLY 不太可能就书面指令是否违反适用的数据保护法形成意见。如果 MAPSLY 形成此类意见,它将立即通知客户,在这种情况下,客户有权撤回或修改其书面指令。
3. 客户数据的保密性。 MAPSLY 不会访问或使用任何客户数据,也不会向任何第三方披露任何客户数据,除非是维护或提供服务所必需的,或者遵守法律或政府有效且具有约束力的命令所必需的。机构(例如传票或法院命令)。如果政府机构向 MAPSLY 发送客户数据请求,MAPSLY 将尝试重定向政府机构以直接向客户请求该数据。作为这项工作的一部分,MAPSLY 可能会向政府机构提供客户的基本联系信息。如果被迫向政府机构披露客户数据,则 MAPSLY 将向客户发出合理的通知,以允许客户寻求保护令或其他适当的补救措施,除非法律禁止 MAPSLY 这样做。
4. MAPSLY 人员的保密义务。 未经 MAPSLY 授权,MAPSLY 限制其人员处理客户数据。 MAPSLY 对其人员施加适当的合同义务,包括有关保密、数据保护和数据安全的相关义务。
5. 数据处理的安全性
5.1 MAPSLY 已实施并将维持适当的技术和组织措施,以确保客户数据的安全性和机密性,符合本 PDA 和 MAPSLY 隐私政策中所述的 Mapsly 安全标准.
5.2 客户责任和可选的安全功能. MAPSLY 提供许多服务控制,客户可以选择使用这些服务控制来进一步加强客户数据的安全性。客户负责 (a) 安全使用服务,包括保护其帐户身份验证凭证的安全,(b) 保护客户数据在服务传输时的安全,(c) 采取任何适当的措施安全加密或备份上传到服务的客户数据,(d) 正确配置服务和服务控制,以及 (e) 采取客户认为足以确保客户数据的安全、保护和删除的其他步骤。
5.3. 安全事件通知。
5.3.1. 安全事件。 MAPSLY 将 (a) 在了解安全事件后立即通知客户安全事件,并且 (b) 采取适当措施解决安全事件,包括减轻安全事件造成的任何不利影响的措施。
5.3.2. MAPSLY 协助。 为了使客户能够向监管机构或数据主体(如适用)通知安全事件,MAPSLY 将与客户合作并协助客户,在通知中包含 MAPSLY 能够向客户披露的有关安全事件的信息,同时考虑到处理的性质、MAPSLY 可用的信息以及披露信息的任何限制(例如保密性)。考虑到处理的性质,客户同意最好能够确定安全事件的可能后果。
5.3.3. 不成功的安全事件。 客户同意:
(我) 不成功的安全事件不受本第 5.3 条的约束。不成功的安全事件是指未经授权访问客户数据或存储客户数据的任何 MAPSLY 设备或设施的事件,可能包括但不限于对防火墙或边缘服务器的 ping 和其他广播攻击、端口扫描、不成功的日志- 尝试、拒绝服务攻击、数据包嗅探(或其他未经授权的流量数据访问,但不会导致访问超出标头)或类似事件;和
(二) MAPSLY 根据第 5.3 条报告或响应安全事件的义务现在和将来都不会被解释为 MAPSLY 承认 MAPSLY 与安全事件相关的任何过失或责任。
5.3.4. 沟通。 安全事件通知(如有)将通过 MAPSLY 选择的任何方式(包括通过电子邮件)发送给一位或多位客户管理员。客户全权负责确保客户管理员始终在 MAPSLY 设置控制台上维护准确的联系信息并确保传输安全。
5.3.5. 通知义务。 如果 MAPSLY 向客户通知安全事件,或者客户以其他方式意识到任何意外或非法破坏、丢失、更改、未经授权的披露或访问客户数据,客户将负责 (a) 确定是否存在任何由此产生的后果通知或适用数据保护法规定的其他义务,以及 (b) 采取必要行动遵守这些义务。这并不限制 MAPSLY 在第 5.3 条下的义务。
6. 分加工。
6.1 授权分处理者。 客户向 MAPSLY 使用子处理者提供一般授权,以代表客户对客户数据进行处理活动(“子处理者”)根据本节。 MAPSLY 网站(当前发布于 https://mapsly.com/sub-processors/) 列出了 MAPSLY 当前聘用的分处理者。在 MAPSLY 聘请分处理者之前至少 30 天,MAPSLY 将更新适用的网站,并向客户提供获取该更新通知的机制。要反对子处理者,客户可以:(i) 停止使用 MAPSLY 聘请子处理者提供的 MAPSLY 服务的功能,或 (ii) 根据协议条款终止协议。
6.2 子处理者的义务。 如果 MAPSLY 按第 6.1 条所述授权子处理者:
(我) MAPSLY 将限制子处理者对客户数据的访问仅限于根据文档提供或维护服务所需的范围,并且 MAPSLY 将禁止子处理者出于任何其他目的访问客户数据;
(二) MAPSLY 将与分处理者签订书面协议,如果分处理者执行 MAPSLY 根据本 DPA 提供的相同数据处理服务,则 MAPSLY 将向分处理者施加与 MAPSLY 具有的相同合同义务根据本 DPA;和
(三) MAPSLY 将继续负责遵守本 DPA 的义务,以及分处理者任何导致 MAPSLY 违反本 DPA 规定的 MAPSLY 义务的行为或不作为。
7. MAPSLY 协助处理数据主体请求。 考虑到处理的性质,服务控制是 MAPSLY 将协助客户履行客户义务,响应适用数据保护法规定的数据主体请求的技术和组织措施。如果数据主体向 MAPSLY 提出请求,一旦 MAPSLY 确定该请求来自客户负责的数据主体,MAPSLY 将立即将该请求转发给客户。客户授权 MAPSLY 代表其以及在客户作为处理者时代表其控制者响应向 MAPSLY 提出请求的任何数据主体,以确认 MAPSLY 已将请求转发给客户。双方同意,客户对服务控制的使用以及 MAPSLY 根据本节向客户转发数据主体的请求代表了客户所需协助的范围和程度。
8. 合规性验证。
8.1 MAPSLY 审核。 MAPSLY 使用外部审计员来验证其安全措施的充分性。该审计: (a) 至少每年进行一次; (b) 将按照广泛认可的标准执行; (c) 将由独立的第三方安全专业人员执行,费用由 MAPSLY 选择并承担费用; (d) 将生成审计报告(“报告”),这将是 MAPSLY 的机密信息。
8.2 审计报告。 根据客户的书面请求,并且在双方签订了适用的 NDA 的情况下,MAPSLY 将向客户提供报告副本,以便客户能够合理地验证 MAPSLY 是否遵守了本 DPA 规定的义务。
8.3 隐私影响评估和事先咨询。 考虑到处理的性质和 MAPSLY 可获得的信息,MAPSLY 将通过提供 MAPSLY 根据本第 8 条提供的信息,协助客户履行在数据保护影响评估和事先咨询方面的客户义务。
9. 个人数据的传输。
9.1 地点。 MAPSLY 可以在美国或欧洲经济区的 MAPSLY 网络内传输和处理客户数据。 MAPSLY 不会将客户数据传输到欧洲经济区和美国以外的地区,除非是为了提供客户发起的服务所必需的,或者是为了遵守法律或政府机构有效且具有约束力的命令所必需的。
9.2 标准合同条款的应用。 根据第 9.3 条,标准合同条款仅适用于直接或通过转发传输至任何第三国(每个“数据传输”)。
9.2.1 当客户充当控制者时,控制者到处理者条款将适用于数据传输。
9.2.2 当客户充当处理者时,处理者到处理者条款将适用于数据传输。考虑到处理的性质,客户同意 MAPSLY 不太可能知道客户控制者的身份,因为 MAPSLY 与客户控制者没有直接关系,因此,客户将根据处理者到-处理器条款。
9.3 替代转移机制。 如果 MAPSLY 采用了针对处理者的约束性公司规则或合法数据传输的替代公认合规标准,则标准合同条款将不适用于数据传输。
10. DPA 的终止。 本 DPA 将继续有效,直至本协议终止(“终止日期”)。
11. 删除客户数据. 协议终止或到期后,MAPSLY 应根据客户的要求删除客户数据,但不得迟于 90 天内,除非适用法律要求 MAPSLY 保留部分或全部客户数据,其中MAPSLY 应根据适用的保留期限安全地隔离和存储该数据。 MAPSLY 将保护该数据免遭任何进一步处理,适用法律要求的范围除外。
12. 告知义务。 如果客户数据在 MAPSLY 处理期间在破产或清盘程序或类似措施期间被第三方没收,MAPSLY 将立即通知客户。 MAPSLY 将立即通知此类诉讼中的所有相关方(例如债权人、破产受托人),接受这些程序的任何客户数据均属于客户的财产和责任范围,并且客户数据由客户自行处置。
13. 整个协议;冲突. 本 DPA 通过引用纳入了标准合同条款。除非经本 DPA 修订,否则本协议仍具有完全效力。如果本协议与本 DPA 之间存在冲突,则以本 DPA 的条款为准,但服务条款优先于本 DPA。本文档中的任何内容均不会改变或修改标准合同条款。