Denne databehandlingsavtalen (“DPA”) supplerer og er inkorporert ved referanse i Shipturtles [Vilkår for tjenesten / Hovedtjenesteavtale / Bestillingsskjema] (”Vilkårene”). Den gjelder automatisk for alle Kunder som bruker Tjenestene der Shipturtle behandler Personopplysninger på Kundens vegne. I tilfelle av konflikt mellom denne DPA og Vilkårene, har denne DPA forrang når det gjelder behandling av Personopplysninger.
Denne DPA fastsetter partenes forpliktelser knyttet til Shipturtles behandling av personopplysninger på vegne av kunden i forbindelse med kundens bruk av tjenestene. Med mindre annet er uttrykkelig angitt, handler kunden som behandlingansvarlig og Shipturtle som databehandler for personopplysninger behandlet under denne DPA-en.
Gjeldende databeskyttelseslover: Alle databeskyttelses- og personvernlovgivninger som gjelder for behandling av personopplysninger under vilkårene (inkludert GDPR, UK GDPR, sveitsisk FADP, og gjeldende personvernlovgivninger i amerikanske delstater).
Kunde: Enhver enkeltperson eller enhet som bruker eller drar nytte av tjenestene og er part i vilkårene.
Personopplysninger: Enhver informasjon knyttet til en identifisert eller identifiserbar fysisk person, eller som ellers definert under gjeldende databeskyttelseslover.
Behandling: Enhver operasjon som utføres på Personopplysninger (f.eks. innsamling, lagring, bruk, offentliggjøring, sletting).
Underleverandør: Enhver tredjepart som Shipturtle engasjerer for å behandle personopplysninger for tjenestene.
Tjenester: Produktene og/eller tjenestene levert av Shipturtle under vilkårene.
Personvernbrudd: Et brudd på sikkerheten som fører til utilsiktet eller ulovlig ødeleggelse, tap, endring, uautorisert avsløring av eller tilgang til personopplysninger.
Emne og varighet. Shipturtle behandler personopplysninger utelukkende for å levere, sikre og støtte tjenestene, i løpet av vilkårenes varighet.
Instruksjoner. Shipturtle vil behandle Personopplysninger kun etter Kundens dokumenterte instruksjoner som angitt i Vilkårene og denne DPA, med mindre behandling er påkrevd ved lov.
Kundens ansvar. Kunden er ansvarlig for nøyaktigheten, kvaliteten og lovligheten av personopplysninger, samt for å gi nødvendige varsler og innhente nødvendige tillatelser.
Behandling av prosessor. Shipturtle kan behandle Personopplysninger for å tilby, vedlikeholde og forbedre Tjenestene; sikre sikkerhet; forhindre misbruk; og overholde loven.
Shipturtle vil iverksette og vedlikeholde passende tekniske og organisatoriske tiltak ("TOM-er") for å beskytte personopplysninger mot tilfeldig eller ulovlig ødeleggelse, tap, endring, uautorisert avsløring eller tilgang. Tiltakene inkluderer minste privilegium tilgang, kryptering under transport og lagring, overvåking, sårbarhetsforvaltning og hendelsesrespons.
Kunden gir Shipturtle tillatelse til å engasjere underleverandører. Shipturtle vil opprettholde en liste over underleverandører og varsle om endringer. Hvis kunden protesterer, er kundens eneste løsning å avslutte tjenestene. Shipturtle er fortsatt ansvarlig for sine underleverandører.
Shipturtle vil rimelig hjelpe Kunden med forespørsel om registrerte data og regulatoriske forpliktelser, så lenge Kunden ikke kan oppfylle forespørslene direkte via Tjenestene. Shipturtle kan ta betalt fra Kunden for vesentlige kostnader knyttet til slik hjelp.
Shipturtle vil varsle Kunden uten unødig forsinkelse etter å ha blitt klar over et brudd på personopplysninger, og uansett innen en tidsramme som lar Kunden oppfylle sine juridiske forpliktelser. Shipturtle vil ta skritt for å inneholde, undersøke og rette opp.
I den grad personopplysninger overføres utenfor EØS/UK/Sveits til et land uten tilstrekkelighet, gjelder EU Standard Contractual Clauses (2021/914). Kunden aksepterer SCC-ene "som de er." Vedlegg B (TOMs) fyller ut vedleggene. I tilfelle konflikt har SCC-ene forrang.
Ved avslutning eller forespørsel fra kunden vil Shipturtle slette eller anonymisere personopplysninger innen en rimelig tidsperiode, som ikke overstiger 90 dager, med mindre oppbevaring kreves ved lov. Sikkerhetskopier vil bli slettet i henhold til sin normale syklus.
Ansvar under denne DPA reguleres av vilkårene, med mindre det uttrykkelig er endret her. Hver part er ansvarlig for sin egen overholdelse av gjeldende databeskyttelseslover. Til tross for noe annet, skal Shipturtles totale samlede ansvar under denne DPA (inkludert underbehandlere) ikke overstige de totale avgiftene som faktisk er betalt (ekskludert refusjoner/kreditter) av Kunden til Shipturtle i de tolv (12) månedene som går før hendelsen. Shipturtle er ikke ansvarlig for indirekte, tilfeldige, spesielle eller følgeskader. Denne begrensningen gjelder over enhver inkonsekvent bestemmelse i vilkårene.
Rekkefølge av prioritet. Denne DPAen styrer databehandlingssaker; SCCene styrer ved eventuell konflikt.
Endringer. Shipturtle kan oppdatere denne DPA-en for å reflektere endringer i lovgivning eller bransjestandarder ved å legge ut en oppdatert versjon. Materielle endringer vil bli varslet som påkrevd. Kundens eneste rettsmiddel ved innsigelse er å avslutte tjenestene.
Separabilitet. Hvis en bestemmelse er ugyldig, forblir resten gyldig.
Datasubjekter: Sluttkunder, konto-brukere, mottakere, leverandør/partner-kontakter.
Kategorier: Kontaktdata, ordre-/transaksjonsdata, konto-/bruksdata, støttekommunikasjon.
Spesielle kategorier: Ikke ment for dette. Hvis sendt inn, er kunden ansvarlig for lovlig grunnlag.
Formål: Tilveiebringelse og støtte av tjenester, synkronisering, svindelforebygging, sikkerhet, analyse, juridisk etterlevelse.
Beholdelse: I henhold til seksjon IX.
Shipturtle opprettholder passende TOM-er inkludert: rollebasert tilgang, to-faktor autentisering, kryptering, nettverksikkerhet, sårbarhetsstyring, sikre utviklingspraksiser, penetrasjonstesting, logging/overvåking, hendelseshåndtering, sikkerhetskopier med integritetskontroller, opplæring av ansatte, leverandørrisiko, og dataminimering.
Der hvor amerikanske staters personvernlovgivning gjelder, fungerer Shipturtle som tjenesteleverandør/prosessor og vil ikke selge eller dele personopplysninger, og vil hjelpe med forbrukerhenvendelser etter behov.
For nødvendige aktiviteter for å drive Shipturtle sin virksomhet (f.eks. telemetri, sikkerhetslogger, svindelforebygging, samsvar, analyse), fungerer Shipturtle som en Uavhengig Behandlingsansvarlig. Shipturtle sin personvernerklæring gjelder for slik behandling.