最后更新:2023年9月15日。
本《数据处理附录》(“DPA”)是您与您所代表的实体(“客户”、“您”或“您的”)与 Mapsly LLC(“MAPSLY”)之间的协议。本 DPA 补充了 MAPSLY 在以下位置提供的服务条款, https://mapsly.com/terms, 由客户与 MAPSLY 不时更新,或客户与 MAPSLY 之间其他管理客户使用 MAPSLY 服务的协议(“协议”)。
定义。本DPA中使用的所有大写术语,除非协议另有定义,否则具有以下所赋予的含义:
“API” 表示应用程序编程接口。
“适用的数据保护法” 指适用于并约束一方处理客户数据的所有法律和法规,包括(如适用)GDPR。
“企业约束规则” 具有GDPR中赋予的含义。
“控制器” 具有GDPR中赋予的含义。
“控制者到处理者条款” 指数据控制方与处理方之间用于数据传输的标准合同条款,该条款已获欧洲委员会于2021年6月4日批准的实施决定(EU)2021/914。
“客户数据” 指上传到客户 MAPSLY 账户下服务的个人数据。
“文档” 指当时当前位于以下位置的服务文档 https://help.mapsly.com (以及MAPSLY指定的任何继任位置)。
“EEA” 意指欧洲经济区。
“终端用户” 指客户的 Mapsly 账户用户,包括客户指派使用 Mapsly 的客户员工和承包商。
“GDPR” 指欧洲议会和理事会于2016年4月27日颁布的2016/679号法规,关于保护自然人就其个人数据的处理及该等数据的自由流通,并废除指令95/46/EC(通用数据保护条例)。
“MAPSLY 网络” 指位于 MAPSLY 控制范围内并用于提供服务的服务器、网络设备和主机软件系统(例如虚拟防火墙)。
“MAPSLY 设置控制台” 指的是 Mapsly 服务中主菜单“设置”下的设置部分。
“个人资料” 指个人数据、个人信息、可识别个人身份的信息或其他等效术语(各自均根据适用的数据保护法律定义)。
“处理中” 具有GDPR中赋予的含义,“处理”、“处理过程”和“已处理”将相应地进行解释。
“处理器” 具有GDPR中赋予的含义。
处理器到处理器条款 指由欧洲委员会于2021年6月4日批准的处理器间数据传输的标准合同条款(欧盟实施决定(EU) 2021/914).
安全事件 指MAPSLY的安全漏洞,导致客户数据意外或非法的销毁、丢失、篡改、未经授权的披露或访问。
服务控制 指服务提供的控制,包括安全功能和功能,如文档中所述。
标准合同条款” 指 (i) 控制者到处理者条款,或 (ii) 处理者到处理者条款,依据第9.2.1和9.2.2节的适用情况。
第三国 指欧洲经济区以外的国家,该国家未被欧盟委员会认定为提供适当个人数据保护水平(如《通用数据保护条例》所述)。
1. 数据处理。
1.1 范围与角色。 当 MAPSLY 处理客户数据时,本 DPA 适用。在此情境中,MAPSLY 将作为客户的数据处理者,而客户可作为客户数据的控制者或处理者。
1.2 客户控制 客户可以使用服务控制来协助其履行适用数据保护法下的义务,包括回应数据主体请求的义务。考虑到处理的性质,客户同意 MAPSLY 不太可能意识到根据标准合同条款转移的客户数据不准确或过时。然而,如果 MAPSLY 意识到根据标准合同条款转移的客户数据不准确或过时,它将毫不拖延地通知客户。MAPSLY 将通过提供客户可用来删除或更正客户数据的服务控制,与客户合作删除或更正根据标准合同条款转移的不准确或过时的客户数据。
1.3 数据处理详情。
1.3.1 主题。 本DPA下数据处理的主题是客户数据。
1.3.2 持续时间。 在 MAPSLY 与客户之间,本 DPA 下的数据处理期限由客户决定。
1.3.3 目的。 本DPA项下数据处理的目的是提供客户不时发起的服务。
1.3.4 处理的性质。 计算、存储及文档中描述的其他服务,由客户不时发起。
1.3.5 客户数据类型。 客户数据已上传至客户的 MAPSLY 账户下的服务中。
1.3.6 数据主体类别。 数据主体可能包括客户的客户、员工、供应商和终端用户。
1.4 遵守法律. 各方将遵守适用于其并对其有约束力的所有法律、规则和法规,以履行本DPA,包括适用的数据保护法律。
1.5 Mapsly 作为控制器。 客户承认 Mapsly 可能会收集有关客户终端用户的具体信息,如中所述 MAPSLY隐私政策(目前发布于 https://mapsly.com/privacy-policy)在任何此类数据被视为数据保护法下的个人信息的范围内,Mapsly 是该数据的控制者,并将根据本 DPA 将其作为客户数据的一部分进行处理。客户还授权 MAPSLY 为与服务的运营、支持和使用相关的合法业务目的(例如账单、账户管理、技术支持、产品开发、销售和营销)向内部及其子处理器披露此类数据。
2. 客户说明。 双方同意,本数据处理协议(DPA)及协议(包括客户通过配置工具如 MAPSLY 设置控制台和 MAPSLY 为服务提供的 API 所提供的指令)构成客户关于 MAPSLY 处理客户数据的书面指示。记录的指令MAPSLY将仅按照书面指示处理客户数据(如果客户作为处理者,则可能基于其控制者的指示)。任何超出书面指示范围的额外指示(如有)均需MAPSLY与客户事先书面协议,包括就客户需支付给MAPSLY的执行该等指示的额外费用达成一致。若MAPSLY拒绝遵从客户要求的、超出或更改本数据处理协议(DPA)中所给或同意的指示,客户有权终止本DPA及协议。考虑到处理的性质,客户同意MAPSLY不太可能对书面指示是否违反适用的数据保护法律形成意见。如MAPSLY形成此类意见,将立即通知客户,在这种情况下,客户有权撤回或修改其书面指示。
3. 客户数据的机密性。 MAPSLY 不会访问、使用或向任何第三方披露任何客户数据,除非在每种情况下,为维护或提供服务所必需,或为遵守法律或政府机构(例如传票或法院命令)的有效且具有约束力的命令所必需。如果政府机构向 MAPSLY 发送客户数据的请求,MAPSLY 将尝试引导该政府机构直接向客户请求该数据。作为这一努力的一部分,MAPSLY 可能会向政府机构提供客户的基本联系信息。如果被迫向政府机构披露客户数据,MAPSLY 将合理通知客户该请求,以便客户寻求保护令或其他适当的救济,除非法律禁止 MAPSLY 这样做。
4. MAPSLY人员的保密义务。 MAPSLY 限制其人员在未获得 MAPSLY 授权的情况下处理客户数据。MAPSLY 对其人员施加适当的合同义务,包括有关保密、数据保护和数据安全的相关义务。
5. 数据处理的安全性
5.1 MAPSLY 已实施并将持续维护适当的技术和组织措施,以确保客户数据的安全性和机密性,符合 Mapsly 在本 PDA 中描述的安全标准及 MAPSLY 隐私政策。.
5.2 客户责任和可选安全功能. MAPSLY 提供多项服务控制,客户可以选择使用以进一步增强客户数据的安全性。客户负责 (a) 安全使用服务,包括保护其账户认证凭据的安全,(b) 保护传输至服务及从服务传输的客户数据的安全,(c) 采取适当措施安全加密或备份上传至服务的客户数据,(d) 正确配置服务和服务控制,及 (e) 采取客户认为适当的其他措施以确保客户数据的安全、保护和删除。
5.3. 安全事件通知。
5.3.1. 安全事件。 MAPSLY将在知晓安全事件后,(a)及时通知客户安全事件的发生,并且(b)采取适当措施应对安全事件,包括减轻安全事件可能导致的不利影响的措施。
5.3.2. MAPSLY 协助。 为了使客户能够向监管机构或数据主体(如适用)通报安全事件,MAPSLY将与客户合作并协助客户,在通报中包含MAPSLY能够向客户披露的有关安全事件的信息,同时考虑处理的性质、MAPSLY可用的信息及信息披露的任何限制,如保密性。考虑到处理的性质,客户同意其最有能力确定安全事件可能带来的后果。
5.3.3. 未成功的安全事件。 客户同意:
(i) 不成功的安全事件不受本第5.3节的约束。不成功的安全事件是指未导致对客户数据或存储客户数据的MAPSLY设备或设施的任何未经授权的访问的事件,可能包括但不限于针对防火墙或边缘服务器的ping及其他广播攻击、端口扫描、登录尝试失败、拒绝服务攻击、数据包嗅探(或其他未导致超出报头访问的流量数据的未经授权访问)或类似事件;
(ii) 根据本第5.3条款,MAPSLY报告或响应安全事件的义务,并不构成也不会被视为MAPSLY承认其对该安全事件有任何过错或责任。
5.3.4. 通信。 如果有安全事件的通知,将通过MAPSLY选择的任何方式(包括电子邮件)发送给客户的一位或多位管理员。客户有唯一责任确保其管理员在MAPSLY设置控制台上保持准确的联系信息,并始终保证传输安全。
5.3.5. 通知义务。 如果MAPSLY通知客户安全事件,或客户以其他方式获悉任何客户数据的意外或非法销毁、丢失、篡改、未授权披露或访问,客户将负责 (a) 确定是否根据适用的数据保护法律存在任何通知或其他义务,以及 (b) 采取必要措施履行这些义务。本条款不限制MAPSLY在第5.3节下的义务。
6. 分包处理。
6.1 授权的子处理器。 客户授权 MAPSLY 使用子处理方代表客户处理客户数据的活动子处理者") 根据本节规定。MAPSLY 网站(目前发布于 https://mapsly.com/sub-processors/) 列出了当前由 MAPSLY 使用的子处理器。MAPSLY 在使用子处理器前至少提前 30 天更新相关网站,并为客户提供获取该更新通知的机制。若客户反对某子处理器,可采取以下措施:(i) 停止使用 MAPSLY 服务中涉及该子处理器的功能,或 (ii) 根据协议条款终止协议。
6.2 子处理者义务。 当 MAPSLY 授权子处理方,如第6.1节所述:
(i) MAPSLY 将限制子处理者对客户数据的访问,仅限于根据文档提供或维护服务所必需的范围,且 MAPSLY 将禁止子处理者出于其他目的访问客户数据;
(ii) MAPSLY 将与分处理方签订书面协议,并且,在分处理方执行与 MAPSLY 在本 DPA 下提供的相同数据处理服务的范围内,MAPSLY 将对分处理方施加与 MAPSLY 在本 DPA 下所承担的相同合同义务;并且,
(iii) MAPSLY 将继续对其遵守本数据保护协议(DPA)中的义务负责,并对因分包处理方的任何行为或疏忽导致 MAPSLY 违反本DPA条款的情况承担责任。
7. MAPSLY 协助处理数据主体请求。 考虑到处理的性质,服务控制是MAPSLY协助客户履行其根据适用数据保护法律对数据主体请求做出响应的义务所采取的技术和组织措施。如果数据主体向MAPSLY提出请求,MAPSLY在确认请求来自客户负责的数据主体后,将立即将该请求转发给客户。客户授权代表其本人及其作为处理方时的控制者,授权MAPSLY向任何向MAPSLY提出请求的数据主体确认MAPSLY已将请求转发给客户。双方同意,客户使用服务控制以及MAPSLY根据本节将数据主体请求转发给客户,代表了客户所需协助的范围和程度。
8. 合规验证。
8.1 MAPSLY 审计。 MAPSLY 使用外部审计师来验证其安全措施的充分性。此审计:(a)至少每年进行一次;(b)按照广泛认可的标准进行;(c)由 MAPSLY 选择并承担费用的独立第三方安全专业人员执行;(d)将生成审计报告。报告“),将成为MAPSLY的机密信息。
8.2 审计报告。 根据客户的书面请求,且双方签有适用的保密协议,MAPSLY 将向客户提供报告副本,以使客户能够合理地核实 MAPSLY 是否遵守该数据保护协议中的义务。
8.3 隐私影响评估及事先咨询。 考虑到处理的性质及MAPSLY可获得的信息,MAPSLY将通过提供本第8节下MAPSLY提供的信息,协助客户遵守客户关于数据保护影响评估和先行咨询的义务。
9. 个人数据的转移。
9.1 位置。 MAPSLY 可能会在美国或欧洲经济区(EEA)内的 MAPSLY 网络中传输和处理客户数据。除非为提供客户发起的服务或为遵守法律或政府机构有效且具有约束力的命令所必需,MAPSLY 不会将客户数据传输到 EEA 和美国之外。
9.2 标准合同条款的适用。 根据第9.3条款,标准合同条款只适用于受GDPR管辖的客户数据,该数据被直接或通过转移的方式转移至任何第三国(每个“数据传输).
9.2.1 当客户作为数据控制者时,控制者与处理者条款将适用于数据传输。
9.2.2 当客户作为处理者行事时,处理者对处理者条款将适用于数据传输。考虑到处理的性质,客户同意MAPSLY不太可能知道客户的控制者身份,因为MAPSLY与客户的控制者没有直接关系,因此,客户将履行MAPSLY根据处理者对处理者条款对客户的控制者承担的义务。
9.3 替代传输机制。 如果 MAPSLY 已采用针对处理方的约束性公司规则或其他公认的合法数据传输合规标准,标准合同条款将不适用于数据传输。
10. 终止DPA。 本DPA将持续有效,直到协议终止(“终止日期).
11. 客户数据删除. 在协议终止或到期时,MAPSLY应应客户要求删除客户数据,但不迟于90天内,除非且在MAPSLY根据适用法律被要求保留部分或全部客户数据的范围内,MAPSLY应根据适用的保留期限安全隔离并存储该数据。MAPSLY将保护该数据免受任何进一步处理,除非适用法律要求。
12. 告知义务。 当客户数据在由第三方进行的破产或资不抵债程序或类似措施中处于被扣押状态时,且由MAPSLY处理时,MAPSLY将不延误地通知客户。MAPSLY将不延误地通知该行动中所有相关方(例如,债权人、破产受托人),任何受该程序影响的客户数据均为客户的财产和责任范围,且客户数据由客户独自支配。
13. 完整协议;冲突. 本DPA通过引用纳入标准合同条款。除非本DPA另有修订,协议将继续全面有效。如果协议与本DPA存在冲突,以本DPA的条款为准,但服务条款优先于本DPA。本文件中的内容不对标准合同条款进行任何变更或修改。