このデータ処理契約(「DPA」)は、Shipturtleの[サービス利用規約 / マスタサービス契約 / 注文書](「利用規約」)を補完し、参照として組み込まれます。Shipturtleが顧客の代わりに個人データを処理するサービスを利用するすべての顧客に自動的に適用されます。このDPAと利用規約の間に矛盾がある場合、個人データの処理に関してはこのDPAが優先します。
このDPAは、Shipturtleが顧客のサービス利用に関連して顧客のために個人データを処理する際の当事者の義務を定めています。特に明記されていない限り、顧客はコントローラーとして、ShipturtleはこのDPAに基づき処理される個人データのプロセッサーとして行動します。
適用されるデータ保護法: 本規約に基づく個人データの処理に適用される全てのデータ保護およびプライバシー法(GDPR、UK GDPR、スイスFADP、及び適用される米国州のプライバシー法を含む)。
顧客: サービスを利用する個人または団体で、利用規約の当事者です。
個人データ:特定の自然人または識別可能な自然人に関連する情報、または適用されるデータ保護法に基づくその他の定義。
処理中:個人データに対して行われるすべての操作(例:収集、保管、使用、開示、削除)。
サブプロセッサー: Shipturtleがサービスのために個人データを処理するために関与する第三者です。
サービス:利用規約に基づきShipturtleが提供する製品およびサービス。
個人データの侵害:個人データの偶発的または違法な破壊、損失、変更、無許可の開示、またはアクセスを引き起こすセキュリティの侵害。
対象事項と期間。Shipturtleは、サービスを提供、保護、サポートするためにのみ個人データを処理し、利用規約の期間中のみ保持します。
指示。Shipturtleは、法律で処理が求められない限り、契約条件およびこのDPAに示された顧客の文書による指示に基づいてのみ個人データを処理します。
顧客の責任。顧客は個人データの正確性、品質、合法性に責任を持ち、必要な通知を提供し、必要な権限を取得する責任があります。
プロセッサーの使用。Shipturtleは、サービスを提供・維持・改善するため、セキュリティを確保し、悪用を防ぎ、法律を遵守するために個人データを処理することがあります。
Shipturtleは、個人データを偶発的または違法な破壊、喪失、変更、無許可の開示またはアクセスから保護するための適切な技術的および組織的措置(「TOMs」)を実施・維持します。措置には、最小限の権限アクセス、転送中および保管中の暗号化、監視、脆弱性管理、インシデント対応が含まれます。
顧客はShipturtleにサブプロセッサーの利用を許可します。Shipturtleはサブプロセッサーのリストを維持し、変更を通知します。顧客が異議を唱えた場合、顧客の唯一の救済手段はサービスの終了です。Shipturtleはそのサブプロセッサーに対して責任を負います。
Shipturtleは、顧客がサービスを通じて直接リクエストを満たせない場合、データ主体のリクエストや法的義務に合理的に対応します。Shipturtleは、その支援から生じる実費を顧客に請求する場合があります。
Shipturtleは、個人データ侵害を把握した後、遅滞なく顧客に通知し、法的義務を果たすための時間内に行います。Shipturtleは、 containment、調査、修復の措置を講じます。
個人データがEEA/UK/スイスから適切性のない国に転送される場合、EU標準契約条項(2021/914)が適用されます。顧客はSCCを「そのまま」受け入れます。付録B(TOMs)が附属文書を補完します。不一致がある場合、SCCが優先します。
契約終了または顧客のリクエストに応じて、Shipturtleは法令での保持が必要でない限り、商業的に妥当な期間内(90日を超えない)に個人データを削除または匿名化します。バックアップメディアは通常のサイクルで消去されます。
このDPAにおける責任は、明示的にここで改定されている場合を除き、利用規約に従います。各当事者は、適用されるデータ保護法に対する遵守に自ら責任を持ちます。これに反するいかなる内容にもかかわらず、ShipturtleのこのDPA(サブプロセッサを含む)における総合的な責任は、クライアントがShipturtleに対して過去12か月間に実際に支払った総料金(返金/クレジットを除く)を超えません。Shipturtleは、間接的、偶発的、特別、または結果的損害について責任を負いません。この制限は、利用規約の矛盾する条項に優先します。
優先順位。 このDPAはデータ処理に関する事項を制御し、SCCは対立が発生した場合に制御します。
改訂。Shipturtleは、法律や業界基準の変更を反映するために、このDPAを更新することがあります。重要な変更については通知します。顧客が異議を唱える唯一の手段は、サービスを終了することです。
分離可能性。いずれかの条項が無効な場合、残りは有効です。
データ主体: 最終顧客、アカウントユーザー、受取人、ベンダー/パートナー担当者。
カテゴリ: 連絡先データ、注文/取引データ、アカウント/利用データ、サポートコミュニケーション。
特別カテゴリー:意図されていません。提出された場合、顧客は法的根拠に責任があります。
目的:サービスの提供とサポート、同期、詐欺防止、セキュリティ、分析、法的遵守。
保持: 第IX節に従います。
Shipturtleは、以下の適切なTOMを維持します:役割ベースのアクセス、二要素認証、暗号化、ネットワークセキュリティ、脆弱性管理、安全な開発手法、ペネトレーションテスト、ログ/モニタリング、インシデント対応、整合性チェック付きバックアップ、スタッフのトレーニング、ベンダーリスク管理、データ最小化。
米国の州のプライバシー法が適用される場合、Shipturtleはサービスプロバイダー/プロセッサーとして機能し、個人データを販売または共有せず、必要に応じて消費者からのリクエストに対応します。
Shipturtleは、事業運営に必要な限られた活動(例:テレメトリ、セキュリティログ、不正防止、コンプライアンス、分析)について、独立した管理者として行動します。この処理には、Shipturtleのプライバシーポリシーが適用されます。