Este Acuerdo de Procesamiento de Datos (“DPA”) complementa e incorpora por referencia los [Términos de Servicio / Acuerdo de Servicios Maestros / Formulario de Pedido] de Shipturtle (los “Términos”). Se aplica automáticamente a todos los Clientes que utilizan los Servicios donde Shipturtle procesa Datos Personales en nombre del Cliente. En caso de conflicto entre este DPA y los Términos, este DPA prevalecerá en lo que respecta al Procesamiento de Datos Personales.
Este DPA establece las obligaciones de las Partes en relación con el Procesamiento de Datos Personales por parte de Shipturtle en nombre del Cliente en conexión con el uso de los Servicios por parte del Cliente. A menos que se indique lo contrario, el Cliente actúa como Controlador y Shipturtle actúa como Procesador de los Datos Personales procesados bajo este DPA.
Leyes de Protección de Datos Aplicables: Todas las leyes de protección de datos y privacidad aplicables al Tratamiento de Datos Personales bajo los Términos (incluyendo GDPR, UK GDPR, Swiss FADP y leyes de privacidad estatales de EE. UU. aplicables).
Cliente: Cualquier persona o entidad que utiliza o se beneficia de los Servicios y es parte de los Términos.
Datos personales: Cualquier información relacionada con una persona natural identificada o identificable, o según lo definido en las leyes de protección de datos aplicables.
Proceso(sando): Cualquier operación realizada sobre Datos Personales (por ejemplo, recopilación, almacenamiento, uso, divulgación, eliminación).
Subprocesador: Cualquier tercero contratado por Shipturtle para procesar Datos Personales para los Servicios.
Servicios: Los productos y/o servicios proporcionados por Shipturtle bajo los Términos.
Violación de Datos Personales: Una violación de seguridad que resulta en la destrucción, pérdida, alteración, divulgación no autorizada o acceso no permitido a Datos Personales.
Asunto y duración. Shipturtle procesa datos personales únicamente para proporcionar, asegurar y apoyar los Servicios, durante la vigencia de los Términos.
Instrucciones. Shipturtle procesará Datos Personales solo conforme a las instrucciones documentadas del Cliente según se establece en los Términos y este DPA, a menos que el procesamiento sea requerido por ley.
Responsabilidades del Cliente. El Cliente es responsable de la precisión, calidad y legalidad de los Datos Personales y de proporcionar los avisos necesarios y obtener los permisos requeridos.
Uso del procesador. Shipturtle puede procesar Datos Personales para ofrecer, mantener y mejorar los Servicios; garantizar la seguridad; prevenir abusos; y cumplir con la ley.
Shipturtle implementará y mantendrá medidas técnicas y organizativas adecuadas (“MTOs”) para proteger los Datos Personales contra destrucción, pérdida, alteración, divulgación no autorizada o acceso accidental o ilegal. Las medidas incluyen acceso con el menor privilegio, cifrado en tránsito y en reposo, monitoreo, gestión de vulnerabilidades y respuesta a incidentes.
El Cliente autoriza a Shipturtle a contratar Sub-Procesadores. Shipturtle mantendrá una lista de Sub-Procesadores y notificará sobre cambios. Si el Cliente se opone, su única solución será terminar los Servicios. Shipturtle sigue siendo responsable de sus Sub-Procesadores.
Shipturtle ayudará razonablemente al Cliente con Solicitudes de Sujetos de Datos y obligaciones regulatorias, en la medida en que el Cliente no pueda cumplir las solicitudes directamente a través de los Servicios. Shipturtle puede cobrar al Cliente por los costos materiales derivados de dicha asistencia.
Shipturtle notificará al Cliente sin demora indebida una vez que tenga conocimiento de una Violación de Datos Personales, y en cualquier caso dentro de un plazo que permita al Cliente cumplir con sus obligaciones legales. Shipturtle tomará medidas para contener, investigar y remediar.
En la medida en que los Datos Personales se transfieran fuera del EEE/Reino Unido/Suiza a un país sin adecuación, se aplican las Cláusulas Contractuales Estándar de la UE (2021/914). El cliente acepta las CCE "tal cual". El Apéndice B (TOMs) completa los Anexos. En caso de conflicto, prevalecen las CCE.
Al finalizar o a solicitud del Cliente, Shipturtle eliminará o anonimizará los Datos Personales en un plazo comercialmente razonable, no superior a 90 días, a menos que la retención sea requerida por ley. Los medios de respaldo se eliminarán en su ciclo normal.
La responsabilidad bajo este DPA está regida por los Términos, salvo que se modifique expresamente aquí. Cada Parte sigue siendo responsable de su propio cumplimiento con las Leyes de Protección de Datos Aplicables. No obstante cualquier disposición en contrario, la responsabilidad total acumulada de Shipturtle bajo este DPA (incluyendo Sub-Procesadores) no excederá los honorarios totales efectivamente pagados (excluyendo reembolsos/créditos) por el Cliente a Shipturtle en los doce (12) meses anteriores al evento. Shipturtle no será responsable por daños indirectos, incidentales, especiales o consecuentes. Esta limitación prevalece sobre cualquier disposición inconsistente en los Términos.
Orden de Precedencia. Este DPA regula las cuestiones de procesamiento de datos; los SCCs se encargan si surge un conflicto.
Enmiendas. Shipturtle puede actualizar este DPA para reflejar cambios en la ley o en los estándares de la industria publicando una versión actualizada. Los cambios importantes se notificarán según sea necesario. El único recurso del Cliente para objeción es cancelar los Servicios.
Divisibilidad. Si alguna disposición es inválida, el resto permanece en vigor.
Sujeto de Datos: Clientes finales, usuarios de cuentas, destinatarios, contactos de proveedores/asociados.
Categorías: Datos de contacto, datos de pedido/transacción, datos de cuenta/uso, comunicaciones de soporte.
Categorías Especiales: No destinadas. Si se envían, el Cliente es responsable de la base legal.
Propósito: Provisión y soporte de servicios, sincronización, prevención de fraudes, seguridad, análisis, cumplimiento legal.
Retención: Según la Sección IX.
Shipturtle mantiene TOMs apropiados que incluyen: acceso basado en roles, autenticación multifactor, encriptación, seguridad de red, gestión de vulnerabilidades, prácticas de desarrollo seguras, pruebas de penetración, registro/monitoreo, respuesta a incidentes, copias de seguridad con verificaciones de integridad, capacitación del personal, gestión de riesgos de proveedores y minimización de datos.
Donde se aplican las leyes de privacidad de los estados de EE. UU., Shipturtle actúa como Proveedor/Procesador de Servicios y no venderá ni compartirá Datos Personales, y ayudará con las solicitudes de los consumidores según sea necesario.
Para las actividades limitadas necesarias para operar el negocio de Shipturtle (por ejemplo, telemetría, registros de seguridad, prevención de fraude, cumplimiento, análisis), Shipturtle actúa como un Controlador Independiente. Para este procesamiento, se aplica la Política de Privacidad de Shipturtle.