이 데이터 처리 계약("DPA")은 Shipturtle의 [서비스 이용 약관 / 기본 서비스 계약 / 주문서](이하 "약관")에 추가되며, 참고하여 포함됩니다. 이는 Shipturtle이 고객을 대신하여 개인 데이터를 처리하는 서비스를 사용하는 모든 고객에게 자동으로 적용됩니다. DPA와 약관 간에 충돌이 있을 경우, 개인 데이터 처리와 관련하여 본 DPA가 우선 적용됩니다.
이 DPA는 고객의 서비스 이용과 관련하여 Shipturtle이 고객을 대신하여 개인 데이터를 처리하는 데 대한 당사자들의 의무를 명시합니다. 달리 명시되지 않는 한, 고객은 컨트롤러로, Shipturtle은 이 DPA에 따라 처리되는 개인 데이터의 프로세서로 활동합니다.
적용 가능한 데이터 보호 법률: 조건에 따라 개인 데이터 처리에 적용되는 모든 데이터 보호 및 개인 정보 법률(식별: GDPR, UK GDPR, 스위스 FADP 및 적용되는 미국 주의 개인 정보 법률 포함).
고객: 서비스 이용 또는 혜택을 받는 개인 또는 단체로, 약관의 당사자입니다.
개인 데이터: 식별된 또는 식별 가능한 자연인과 관련된 정보 또는 적용 가능한 데이터 보호법에 따라 정의된 정보.
처리: 개인 데이터에 대한 모든 작업 (예: 수집, 저장, 사용, 공개, 삭제).
서브 프로세서: Shipturtle이 서비스를 위해 개인 데이터를 처리하기 위해 고용한 제3자.
서비스: 약관에 따라 Shipturtle에서 제공하는 제품 및/또는 서비스.
개인 데이터 유출: 개인 데이터의 우발적 또는 불법적인 파괴, 손실, 변경, 무단 공개 또는 접근으로 인한 보안 침해입니다.
주제 및 기간. Shipturtle은 서비스 제공, 보안, 지원을 위해 개인 데이터를 처리하며, 이용 약관 기간 동안 유지됩니다.
지침. Shipturtle은 법률에 의해 처리해야 하는 경우를 제외하고, 약관 및 이 DPA에 명시된 고객의 문서화된 지침에 따라 개인 데이터를 처리합니다.
고객의 책임. 고객은 개인 데이터의 정확성, 품질 및 법적 준수에 대한 책임이 있으며, 필요한 통지를 제공하고 필요한 허가를 받아야 합니다.
프로세서 사용. Shipturtle은 서비스 제공, 유지 및 개선, 보안 확보, 남용 방지, 법률 준수를 위해 개인 데이터를 처리할 수 있습니다.
Shipturtle는 개인 데이터를 우발적이거나 불법적인 파괴, 손실, 변경, 무단 공개 또는 접근으로부터 보호하기 위해 적절한 기술적 및 조직적 조치를(“TOMs”) 구현하고 유지합니다. 조치에는 최소 권한 접근, 전송 및 저장 중 암호화, 모니터링, 취약점 관리, 사고 대응이 포함됩니다.
고객은 Shipturtle이 하위 프로세서를 이용하는 것을 허가합니다. Shipturtle은 하위 프로세서 목록을 유지하고 변경 사항을 통지합니다. 고객이 이의 제기할 경우, 고객의 유일한 remedy는 서비스를 종료하는 것입니다. Shipturtle은 하위 프로세서에 대해 여전히 책임을 집니다.
Shipturtle는 고객이 서비스 통해 요청을 직접 처리할 수 없는 경우, 데이터 주체 요청 및 규제 의무에 대해 합리적으로 도와줍니다. Shipturtle은 이러한 지원에 따라 발생하는 실질 비용을 고객에게 청구할 수 있습니다.
Shipturtle는 개인 데이터 유출 상황을 인지한 후 고객에게 지체 없이 알리며, 고객이 법적 의무를 이행할 수 있는 시간 내에 통지합니다. Shipturtle은 해당 문제를 차단하고 조사하며 해결하기 위한 조치를 취합니다.
개인 데이터가 적정성이 없는 국가로 EEA/UK/스위스 외부로 이전되는 경우, EU 표준 계약 조항(SCCs, 2021/914)이 적용됩니다. 고객은 SCC를 "있는 그대로" 수락합니다. 부록 B(TOMs)는 부속 문서를 채웁니다. 충돌이 발생할 경우 SCC가 우선합니다.
계약 종료 또는 고객 요청 시, Shipturtle은 법적으로 보존이 필요하지 않는 한, 상업적으로 합리적인 기간 내에 90일을 초과하지 않는 기간 내에 개인 데이터를 삭제 또는 익명화합니다. 백업 매체는 정상 주기에 따라 삭제됩니다.
이 DPA에 따른 책임은 본 약관에 따라 규정되며, 여기에서 명시적으로 수정된 경우를 제외합니다. 각 당사자는 해당 데이터 보호 법규 준수에 대해 책임을 집니다. 다르게 명시된 사항이 있더라도, Shipturtle의 DPA에 따른 총 책임(부프로세서 포함)은 사건 발생 전 12개월 동안 클라이언트가 Shipturtle에 실제로 지불한 총 수수료(환불/크레딧 제외)를 초과하지 않습니다. Shipturtle은 간접적, 우연적, 특별 또는 결과적 손해에 대해 책임을 지지 않습니다. 이 제한은 약관의 불일치하는 조항보다 우선합니다.
우선 순위. 이 DPA는 데이터 처리 사항을 제어하며, 충돌이 발생할 경우 SCC가 적용됩니다.
수정. Shipturtle은 법률이나 산업 표준의 변화를 반영하기 위해 이 DPA를 업데이트할 수 있으며, 업데이트된 버전을 게시합니다. 중요한 변경 사항은 필요에 따라 통지됩니다. 고객의 유일한 이의 제기 방법은 서비스 종료입니다.
분리 가능성. 어떤 조항이 무효일 경우 나머지는 유효합니다.
데이터 주체: 최종 고객, 계정 사용자, 수신자, 공급업체/파트너 연락처.
카테고리: 연락처 데이터, 주문/거래 데이터, 계정/사용 데이터, 지원 커뮤니케이션.
특별 카테고리: 의도하지 않음. 제출 시 고객이 법적 근거에 대한 책임을 집니다.
목적: 서비스 제공 및 지원, 동기화, 사기 방지, 보안, 분석, 법적 준수.
보유: 섹션 IX에 따라.
Shipturtle는 역할 기반 접근, 다단계 인증, 암호화, 네트워크 보안, 취약점 관리, 안전한 개발 관행, 침투 테스트, 로깅/모니터링, 사건 대응, 무결성 검사 포함 백업, 직원 교육, 공급업체 위험 관리 및 데이터 최소화를 포함한 적절한 TOM을 유지합니다.
미국 주의 개인정보 보호법이 적용되는 경우, Shipturtle는 서비스 제공자/처리자로 활동하며 개인정보를 판매하거나 공유하지 않으며, 요청된 소비자 요청을 도와드립니다.
Shipturtle는 비즈니스 운영에 필요한 제한된 활동(예: 원격 모니터링, 보안 로그, 사기 예방, 규정 준수, 분석)에 대해 독립적 관리자로 활동합니다. 이러한 처리에 대해서는 Shipturtle의 개인정보 보호정책이 적용됩니다.