Denne databehandlingsaftale ("DPA") suppleres og indgår ved henvisning i Shipturtle [brugerbetingelser / hovedaftale / bestillingsformular] (de "betingelser"). Den gælder automatisk for alle kunder, der bruger tjenesterne, hvor Shipturtle behandler personoplysninger på kundens vegne. I tilfælde af konflikt mellem denne DPA og betingelserne, har denne DPA forrang i forhold til behandlingen af personoplysninger.
Denne DPA fastlægger parternes forpligtelser vedrørende Shipturtles behandling af personoplysninger på vegne af kunden i forbindelse med kundens brug af tjenesterne. Medmindre andet er udtrykkeligt angivet, fungerer kunden som dataansvarlig og Shipturtle som databehandler for de personoplysninger, der behandles under denne DPA.
Anvendelige databeskyttelseslove: Alle databeskyttelses- og privatlivslove, der gælder for behandling af persondata under vilkårene (herunder GDPR, UK GDPR, schweizisk FADP og gældende amerikanske statslove om privatliv).
Kunde: Enhver person eller enhed, der bruger eller har fordel af tjenesterne og er part i vilkårene.
Personlige data: Enhver information relateret til en identificeret eller identificerbar fysisk person, eller som ellers defineret under gældende databeskyttelseslove.
Behandling: Enhver handling udført på personoplysninger (f.eks. indsamling, opbevaring, brug, videregivelse, sletning).
Underbehandler: Enhver tredjepart, der er engageret af Shipturtle til at behandle Personoplysninger for Tjenesterne.
Tjenester: De produkter og/eller tjenester, der leveres af Shipturtle i henhold til vilkårene.
Brud på persondata: En sikkerhedsbrud, der fører til utilsigtet eller ulovlig ødelæggelse, tab, ændring, uautoriseret afsløring af eller adgang til persondata.
Emne og Varighed. Shipturtle behandler personlige data udelukkende for at levere, sikre og understøtte tjenesterne i hele aftaleperioden.
Instruktioner. Shipturtle vil kun behandle personlige oplysninger i henhold til kundens dokumenterede instrukser som angivet i vilkårene og denne DPA, medmindre behandling er påkrævet ved lov.
Kundeansvar. Kunden er ansvarlig for nøjagtigheden, kvaliteten og lovligheden af Personoplysninger samt for at give nødvendige meddelelser og indhente de nødvendige tilladelser.
Behandling af processor. Shipturtle kan behandle Personlige Data for at levere, vedligeholde og forbedre tjenesterne; sikre sikkerhed; forhindre misbrug; og overholde lovgivningen.
Shipturtle vil implementere og opretholde passende tekniske og organisatoriske foranstaltninger (“TOMs”) for at beskytte Personoplysninger mod utilsigtet eller ulovlig ødelæggelse, tab, ændring, uautoriseret videregivelse eller adgang. Foranstaltningerne inkluderer adgang med mindst mulige rettigheder, kryptering under transport og i hvile, overvågning, sårbarhedshåndtering og hændelsesrespons.
Kunden godkender, at Shipturtle engagerer underbehandlere. Shipturtle vil opretholde en liste over underbehandlere og give besked om ændringer. Hvis kunden indvender, er kundens eneste løsning at opsige tjenesterne. Shipturtle forbliver ansvarlig for sine underbehandlere.
Shipturtle vil hjælpe Kunden rimeligt med anmodninger fra registrerede personer og overholdelse af regler, så længe Kunden ikke kan opfylde anmodninger direkte via Tjenesterne. Shipturtle kan opkræve Kunden for de materialomkostninger, der følger af sådan hjælp.
Shipturtle vil underrette Kunden uden unødig forsinkelse, så snart vi bliver opmærksomme på et brud på persondata. I alle tilfælde vil det ske inden for en tidsramme, der gør det muligt for Kunden at opfylde sine juridiske forpligtelser. Shipturtle vil tage skridt til at inddæmme, undersøge og afhjælpe.
I det omfang, at personoplysninger overføres uden for EEA/UK/Sverige til et land uden tilstrækkelighed, gælder EU's Standardkontraktbestemmelser (2021/914). Kunden accepterer SCC'erne "som de er." Bilag B (TOM'er) udfylder bilagene. Hvor der er konflikt, gælder SCC'erne.
Ved opsigelse eller anmodning fra kunden vil Shipturtle slette eller anonymisere persondata inden for en rimelig periode, der ikke overstiger 90 dage, medmindre loven kræver opbevaring. Backupmedier vil blive slettet efter deres normale cyklus.
Ansvar under denne DPA er reguleret af Vilkårene, medmindre andet er udtrykkeligt angivet heri. Hver Part er ansvarlig for egen overholdelse af gældende databeskyttelseslove. Uanset modsatrettede bestemmelser må Shipturtles samlede ansvar under denne DPA (inklusive underbehandlere) ikke overstige de samlede gebyrer, der faktisk er betalt (eksklusive tilbagebetalinger/kreditter) af Kunden til Shipturtle i de tolv (12) måneder, der går forud for hændelsen. Shipturtle er ikke ansvarlig for indirekte, tilfældige, særlige eller følgeskader. Denne begrænsning gælder frem for enhver inkonsekvent bestemmelse i Vilkårene.
Prioritetsrækkefølge. Denne DPA styrer databehandlingsanliggender; SCC'erne styrer i tilfælde af konflikt.
Ændringer. Shipturtle kan opdatere denne DPA for at afspejle ændringer i lovgivning eller industristandarder ved at offentliggøre en opdateret version. Væsentlige ændringer vil blive meddelt som påkrævet. Kundens eneste mulighed for indsigelse er at opsige tjenesterne.
Adskillelse. Hvis en bestemmelse er ugyldig, forbliver resten i kraft.
Datapersoner: Slutkunder, kontobrukere, modtagere, leverandør/partnerkontakter.
Kategorier: Kontaktdata, ordre-/transaktionsdata, konto-/brugsdata, supportkommunikation.
Særlige kategorier: Ikke beregnet til. Hvis indsendt, er kunden ansvarlig for lovligt grundlag.
Formål: Levering og støtte af tjenester, synkronisering, forebyggelse af bedrageri, sikkerhed, analyse, juridisk overholdelse.
Opbevaring: I henhold til sektion IX.
Shipturtle opretholder de relevante TOM'er, herunder: rollebaseret adgang, multifaktorautentifikation, kryptering, netværkssikkerhed, sårbarhedshåndtering, sikre udviklingspraksis, penetrationstest, logning/overvågning, hændelsesrespons, sikkerhedskopier med integritetskontroller, personaleuddannelse, leverandør risikostyring og dataminimering.
Hvor det amerikanske delstatslovgivning om privatliv gælder, fungerer Shipturtle som tjenesteudbyder/processor og vil ikke sælge eller dele personoplysninger, og vil hjælpe med forbrugeranmodninger som krævet.
For begrænsede aktiviteter nødvendige for at drive Shipturtle's forretning (f.eks. telemetri, sikkerhedslogger, forebyggelse af svindel, overholdelse af regler, analyse) fungerer Shipturtle som en uafhængig kontrolperson. Shipturtles privatlivspolitik gælder for denne behandling.