Tämä tietojenkäsittelysopimus ("DPA") täydentää ja liitetään viittauksena Shipturtlen [käyttöehdot / pääpalvelusopimus / tilauslomake] (”Ehdot”). Se koskee automaattisesti kaikkia asiakkaita, jotka käyttävät palveluja, joissa Shipturtle käsittelee henkilötietoja asiakkaan puolesta. Mikäli tämän DPA:n ja Ehtojen välillä on ristiriitaa, DPA hallitsee henkilötietojen käsittelyssä.
Tässä DPA:ssa määritellään osapuolten velvoitteet liittyen Shipturtlen henkilötietojen käsittelyyn asiakkaan puolesta asiakkaan käyttäessä palveluita. Ellei toisin mainita, asiakas toimii rekisterinpitäjänä ja Shipturtle käsittelijänä tämän DPA:n alaisuudessa käsiteltyjen henkilötietojen osalta.
Soveltuvat tietosuojalait: Kaikki tietosuojan ja yksityisyyden lait, jotka koskevat henkilötietojen käsittelyä ehtojen mukaan (mukana GDPR, UK GDPR, Sveitsin FADP ja soveltuvat Yhdysvaltojen osavaltion tietosuojalait).
Asiakas: Mikä tahansa yksilö tai taho, joka käyttää tai hyötyy Palveluista ja on osapuoli Ehdoissa.
Henkilötiedot: Mitä tahansa tietoa, joka liittyy tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, tai kuten muuten on määritelty soveltuvissa tietosuojalainsäädännöissä.
Käsittely: Mikä tahansa toimenpide, joka tehdään Omatiedot -tiedolle (esim. keräys, säilytys, käyttö, paljastaminen, poistaminen).
Ala-prosessori: Mikään kolmas osapuoli, jota Shipturtle käyttää henkilötietojen käsittelyyn palveluissa.
Palvelut: Shipturtlen tarjoamat tuotteet ja/tai palvelut ehtojen mukaisesti.
Henkilötietojen tietoturvaloukkaus: Tietoturvaloukkaus, joka johtaa henkilökohtaisen tiedon vahingoittumiseen, menetykseen, muuttumiseen, luvattomaan paljastamiseen tai pääsyyn.
Aihe ja kesto. Shipturtle käsittelee henkilötietoja ainoastaan palveluiden tarjoamiseksi, turvaamiseksi ja tukemiseksi voimassaoloajan.
Ohjeet. Shipturtle käsittelee henkilötietoja vain asiakkaan asiakirjoissa määriteltyjen ohjeiden mukaan, kuten ehdoissa ja tässä DPA:ssa, ellei käsittelyä vaadita lain mukaan.
Asiakkaan vastuut. Asiakas on vastuussa henkilötietojen tarkkuudesta, laadusta ja laillisuudesta sekä tarvittavien ilmoitusten antamisesta ja lupien hankkimisesta.
Suorittimen käyttö. Shipturtle saattaa käsitellä henkilötietoja tarjotakseen, ylläpitääkseen ja parantaakseen palveluita; varmistaakseen turvallisuuden; estääkseen väärinkäytön; ja noudattaakseen lakia.
Shipturtle toteuttaa ja ylläpitää tarvittavia teknisiä ja organisatorisia toimenpiteitä ("TOMit") henkilötietojen suojaamiseksi vahingossa tai laittomasti tapahtuvilta tuhoamisilta, menetyksiltä, muutoksilta, luvattomilta paljastuksilta tai pääsyltä. Toimenpiteisiin kuuluu vähimmäisoikeus, salaus siirron aikana ja levossa, valvonta, haavoittuvuuden hallinta ja häiriönhallinta.
Asiakas valtuuttaa Shipturtlen käyttämään ali-prosessoreita. Shipturtle pitää yllä luetteloa ali-prosessoreista ja ilmoittaa muutoksista. Jos Asiakas vastustaa, Asiakkaan ainoa keino on irtisanoa palvelut. Shipturtle on edelleen vastuussa ali-prosessoreistaan.
Shipturtle auttaa asiakasta kohtuullisesti tiedonhakupyynnöissä ja sääntelyvelvoitteissa, jos asiakas ei voi hoitaa pyyntöjä suoraan palveluiden kautta. Shipturtle voi veloittaa asiakasta avustamisesta aiheutuvista kustannuksista.
Shipturtle ilmoittaa Asiakkaalle viipymättä henkilökohtaisen tietovuodon tapahtumisesta ja joka tapauksessa aikarajassa, joka mahdollistaa Asiakkaan täyttää lain mukaiset velvoitteensa. Shipturtle ryhtyy toimiin tilanteen hallitsemiseksi, tutkimiseksi ja korjaamiseksi.
Siltä osin kuin henkilötietoja siirretään EEA:n/UK:n/Sveitsin ulkopuolelle maahan, jossa ei ole riittävää suojaa, sovelletaan EU:n standardisopimuslausekkeita (2021/914). Asiakas hyväksyy SCC:t sellaisina kuin ne ovat. Liite B (TOMs) täyttää liitteet. Jos ristiriitoja ilmenee, SCC:t ovat etusijalla.
Sopimuksen päättymisen tai asiakkaan pyynnön myötä Shipturtle poistaa tai anonymisoi Henkilötiedot kohtuullisessa ajassa, kuitenkin enintään 90 päivässä, elleivät lain vaatimukset edellytä säilytystä. Varmuuskopioita käsitellään normaalin aikataulun mukaisesti.
Tämän DPA:n mukaiset vastuukysymykset määräytyvät Ehtojen mukaan, ellei toisin ole nimenomaisesti muutettu. Kumpikin osapuoli on vastuussa omasta vaatimushyväksynnästään sovellettavien tietosuojalakien mukaan. Ristiriitaisista säännöksistä huolimatta Shipturtlen kokonaisvastuu tämän DPA:n mukaan (mukaan lukien alihankkijat) ei ylitä niitä kokonaiskuluja, jotka Asiakas on maksanut Shipturtlelle edeltäneiden kahdentoista (12) kuukauden aikana. Shipturtle ei ole vastuussa epäsuorista, satunnaisista, erityisistä tai seurannaisvahingoista. Tämä rajoitus on voimassa Ehtojen mahdollisista ristiriitaisista säännöksistä huolimatta.
Etusijajärjestys. Tämä DPA ohjaa tietojenkäsittelykysymyksiä; SCC:t määräävät, jos ristiriitoja syntyy.
Muokkaukset. Shipturtle voi päivittää tätä DPA:ta lainsäädännön tai alan standardien muutosten mukaisesti julkaisemalla päivitetyn version. Merkittävistä muutoksista ilmoitetaan tarpeen mukaan. Asiakkaan ainoa korvausvalinta valituksessa on palvelujen lopettaminen.
Erotettavuus. Jos jokin määräys on mitätön, muu osa pysyy voimassa.
Tietoaineistot: Loppuasiakkaat, tilin käyttäjät, vastaanottajat, toimittaja/partneriyhteydet.
Kategoriat: Yhteystiedot, tilaus/kuittaus tiedot, tili/käyttötiedot, tukiviestintä.
Erityiset kategoriat: Ei tarkoitettu. Jos lähetetään, asiakas on vastuussa lainmukaisesta perusteesta.
Tarkoitus: Palveluiden tarjoaminen ja tuki, synkronointi, petosten ehkäisy, turvallisuus, analytiikka, lainmukaisuus.
Säilyttäminen: Kappale IX:n mukaisesti.
Shipturtle ylläpitää sopivia TOM:ia, mukaan lukien: roolipohjainen pääsy, monivaiheinen tunnistautuminen, salaaminen, verkon turvallisuus, haavoittuvuuksien hallinta, turvalliset kehittämiskäytännöt, penetraatiotestaus, lokitus/valvonta, häiriötilanteisiin reagointi, varmuuskopiot aitoustarkastuksilla, henkilöstön koulutus, toimittajariskien hallinta ja tiedon minimointi.
Missä Yhdysvaltojen osavaltioiden tietosuojalakeja sovelletaan, Shipturtle toimii palveluntarjoajana/prosessina eikä myy tai jaa henkilötietoja, ja auttaa kuluttaja-pyyntöjen käsittelyssä tarpeen mukaan.
Rajoitettujen toimintojen osalta, jotka ovat tarpeen Shipturtlen liiketoiminnan ylläpitämiseksi (esim. telemetria, tietoturvalokit, petosten ehkäisy, vaatimustenmukaisuus, analytiikka), Shipturtle toimii itsenäisenä rekisterinpitäjänä. Tällöin sovelletaan Shipturtlen tietosuojakäytäntöä.