Cet Accord de Traitement des Données (“ATD”) complète et est intégré par référence dans les [Conditions d'Utilisation / Accord-cadre de Services / Bon de Commande] de Shipturtle (les “Conditions”). Il s'applique automatiquement à tous les Clients qui utilisent les Services lorsque Shipturtle traite des Données Personnelles pour le compte du Client. En cas de conflit entre cet ATD et les Conditions, cet ATD prévaut concernant le Traitement des Données Personnelles.
Ce DPA définit les obligations des Parties concernant le traitement des Données Personnelles par Shipturtle pour le compte du Client dans le cadre de l'utilisation des Services par le Client. Sauf indication contraire, le Client agit en tant que Responsable et Shipturtle en tant que Sous-traitant pour les Données Personnelles traitées selon ce DPA.
Lois sur la protection des données applicables : Toutes les lois sur la protection des données et la vie privée applicables au traitement des données personnelles selon les conditions (y compris le RGPD, le RGPD britannique, la LPD suisse et les lois sur la vie privée des États américains applicables).
Client : Toute personne ou entité qui utilise ou bénéficie des Services et qui est partie aux Conditions.
Données personnelles : Toute information se rapportant à une personne physique identifiée ou identifiable, ou comme autrement défini par les lois sur la protection des données applicables.
Traitement : Toute opération effectuée sur des données personnelles (par ex. collecte, stockage, utilisation, divulgation, suppression).
Sous-traitant : Tout tiers engagé par Shipturtle pour traiter des Données Personnelles pour les Services.
Services : Les produits et/ou services fournis par Shipturtle selon les Conditions.
Violation de données personnelles : Une violation de la sécurité entraînant la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès à des données personnelles de manière accidentelle ou illégale.
Objet et Durée. Shipturtle traite des données personnelles uniquement pour fournir, sécuriser et soutenir les Services, pendant la durée des Conditions.
Instructions. Shipturtle traitera les Données Personnelles uniquement selon les instructions documentées du Client telles que définies dans les Conditions et ce DPA, sauf si le traitement est requis par la loi.
Responsabilités du client. Le client est responsable de l'exactitude, de la qualité et de la légalité des données personnelles, ainsi que de fournir les avis requis et d'obtenir les autorisations nécessaires.
Utilisation du processeur. Shipturtle peut traiter des Données Personnelles pour fournir, maintenir et améliorer les Services ; assurer la sécurité ; prévenir les abus ; et se conformer à la loi.
Shipturtle mettra en œuvre et maintiendra des mesures techniques et organisationnelles appropriées (“TOMs”) pour protéger les Données Personnelles contre la destruction, la perte, l'altération, la divulgation ou l'accès non autorisé. Les mesures comprennent l'accès avec les droits minimaux, le chiffrement en transit et au repos, la surveillance, la gestion des vulnérabilités et la réponse aux incidents.
Le Client autorise Shipturtle à engager des Sous-Traitants. Shipturtle tiendra une liste des Sous-Traitants et notifiera les changements. Si le Client s'y oppose, son unique recours est de résilier les Services. Shipturtle reste responsable de ses Sous-Traitants.
Shipturtle aidera raisonnablement le Client avec les Demandes de Sujets de Données et les obligations réglementaires, dans la mesure où le Client ne peut pas traiter les demandes directement via les Services. Shipturtle peut facturer au Client les coûts matériels liés à cette assistance.
Shipturtle informera le Client sans délai excessif après avoir pris connaissance d'une violation de données personnelles, et en tout cas dans un délai permettant au Client de respecter ses obligations légales. Shipturtle prendra des mesures pour contenir, enquêter et remédier.
Dans la mesure où les données personnelles sont transférées en dehors de l'EEE/RU/Suisse vers un pays sans adéquation, les Clauses contractuelles types de l'UE (2021/914) s'appliquent. Le client accepte les CCT "en l'état." L'annexe B (TOM) remplit les annexes. En cas de conflit, les CCT prévalent.
En cas de résiliation ou à la demande du client, Shipturtle supprimera ou anonymisera les données personnelles dans un délai commercialement raisonnable, ne dépassant pas 90 jours, sauf si la loi impose leur conservation. Les supports de sauvegarde seront purgés selon leur cycle normal.
La responsabilité en vertu de ce DPA est régie par les Conditions, sauf indication expresse contraire. Chaque Partie reste responsable de sa propre conformité aux Lois de Protection des Données Applicables. Nonobstant toute disposition contraire, la responsabilité totale de Shipturtle en vertu de ce DPA (y compris les Sous-Traitants) ne dépassera pas le montant total des frais réellement payés (hors remboursements/crédits) par le Client à Shipturtle au cours des douze (12) mois précédant l'événement. Shipturtle ne sera pas responsable des dommages indirects, accessoires, spéciaux ou consécutifs. Cette limitation prévaut sur toute disposition incompatible dans les Conditions.
Ordre de priorité. Ce DPA régit les questions de traitement des données ; les SCC contrôlent en cas de conflit.
Modifications. Shipturtle peut mettre à jour ce DPA pour refléter des changements législatifs ou des normes de l'industrie en publiant une version mise à jour. Les changements importants seront notifiés comme requis. Le seul recours du client en cas d'opposition est de mettre fin aux services.
Divisibilité. Si une disposition est invalide, le reste demeure en vigueur.
Sujets de données : clients finaux, utilisateurs de compte, destinataires, contacts de fournisseurs/partenaires.
Catégories : Données de contact, données de commande/transaction, données de compte/utilisation, communications de support.
Catégories spéciales : Non prévu. En cas de soumission, le client est responsable de la base légale.
Objet : Fourniture et support des services, synchronisation, prévention de la fraude, sécurité, analyse, conformité légale.
Conservation : Selon la Section IX.
Shipturtle maintient des TOM appropriés, y compris : contrôle d'accès basé sur les rôles, authentification multi-facteurs, chiffrement, sécurité réseau, gestion des vulnérabilités, pratiques de développement sécurisées, tests de pénétration, journalisation/surveillance, réponse aux incidents, sauvegardes avec vérifications d'intégrité, formation du personnel, gestion des risques fournisseurs et minimisation des données.
Lorsque les lois sur la confidentialité des États-Unis s'appliquent, Shipturtle agit en tant que fournisseur de services/processeur et ne vendra ni ne partagera les données personnelles, et assistera les demandes des consommateurs comme requis.
Pour les activités limitées nécessaires au fonctionnement de l'entreprise Shipturtle (par ex., télémétrie, journaux de sécurité, prévention de la fraude, conformité, analyses), Shipturtle agit en tant que Contrôleur Indépendant. La Politique de Confidentialité de Shipturtle s'applique à ce traitement.