Deze Data Verwerkingsovereenkomst (“DPA”) aanvult en is opgenomen via verwijzing in de Shipturtle [Servicevoorwaarden / Hoofdovereenkomst / Bestelformulier] (de “Voorwaarden”). Deze is automatisch van toepassing op alle Klanten die de Diensten gebruiken waarbij Shipturtle Persoonsgegevens namens de Klant verwerkt. In het geval van conflicten tussen deze DPA en de Voorwaarden, heeft deze DPA voorrang met betrekking tot de Verwerking van Persoonsgegevens.
Deze DPA legt de verplichtingen van de Partijen vast met betrekking tot de verwerking van Persoonlijke Gegevens door Shipturtle namens de Klant in het kader van het gebruik van de Diensten door de Klant. Tenzij anders vermeld, fungeert de Klant als Verwerkingsverantwoordelijke en Shipturtle als Verwerker voor de Persoonlijke Gegevens die onder deze DPA worden verwerkt.
Toepasselijke Gegevensbeschermingswetten: Alle gegevensbeschermings- en privacywetten die van toepassing zijn op de verwerking van Persoonsgegevens onder de Voorwaarden (inclusief GDPR, UK GDPR, Zwitserse FADP en toepasselijke privacywetten van de VS).
Klant: Iedere persoon of entiteit die de Diensten gebruikt of ervan profiteert en een partij is bij de Voorwaarden.
Persoonlijke Gegevens: Alle informatie die betrekking heeft op een geïdentificeerde of identificeerbare natuurlijke persoon, of zoals anders gedefinieerd onder de Toepasbare Gegevensbeschermingswetten.
Verwerking: Elke handeling die op Persoonsgegevens wordt uitgevoerd (bijv. verzameling, opslag, gebruik, onthulling, verwijdering).
Sub-Verwerker: Elke derde partij die door Shipturtle is ingeschakeld om Persoonsgegevens te verwerken voor de Diensten.
Diensten: De producten en/of diensten die door Shipturtle worden geleverd onder de Voorwaarden.
Persoonlijke Gegevensinbreuk: Een inbreuk op de beveiliging die leidt tot onopzettelijke of onwettige vernietiging, verlies, wijziging, ongeautoriseerde openbaarmaking of toegang tot Persoonlijke Gegevens.
Onderwerp en Duur. Shipturtle verwerkt Persoonlijke Gegevens uitsluitend om de Diensten te bieden, te beveiligen en te ondersteunen, voor de duur van de Voorwaarden.
Instructies. Shipturtle verwerkt Persoonsgegevens alleen volgens de gedocumenteerde instructies van de Klant zoals uiteengezet in de Voorwaarden en deze DPA, tenzij verwerking wettelijk vereist is.
Verantwoordelijkheden van de Klant. De klant is verantwoordelijk voor de nauwkeurigheid, kwaliteit en wettigheid van Persoonlijke Gegevens en voor het geven van vereiste meldingen en het verkrijgen van benodigde toestemming.
Processor Gebruik. Shipturtle kan Persoonlijke Gegevens verwerken om de Diensten te bieden, onderhouden en verbeteren; de veiligheid te waarborgen; misbruik te voorkomen; en te voldoen aan de wet.
Shipturtle zal passende technische en organisatorische maatregelen (“TOMs”) implementeren en onderhouden om Persoonsgegevens te beschermen tegen ongeval of onrechtmatige vernietiging, verlies, wijziging, ongeautoriseerde openbaarmaking of toegang. Maatregelen omvatten toegang met minimale rechten, versleuteling tijdens verzending en in rust, monitoring, kwetsbaarheidsbeheer en incidentrespons.
Klant machtigt Shipturtle om Sub-verwerkers in te schakelen. Shipturtle houdt een lijst van Sub-verwerkers bij en informeert over wijzigingen. Als de Klant bezwaar maakt, is de enige oplossing voor de Klant om de Diensten te beëindigen. Shipturtle blijft verantwoordelijk voor zijn Sub-verwerkers.
Shipturtle zal de Klant redelijk helpen met Verzoeken van Betrokkenen en nalevingsverplichtingen, voor zover de Klant deze verzoeken niet direct via de Diensten kan vervullen. Shipturtle kan de Klant kosten aanrekenen voor materiële kosten die voortkomen uit deze hulp.
Shipturtle zal de Klant zonder onnodige vertraging informeren zodra we op de hoogte zijn van een Gegevenslek, en in elk geval binnen een termijn die de Klant in staat stelt aan zijn wettelijke verplichtingen te voldoen. Shipturtle zal stappen ondernemen om te beheersen, onderzoeken en herstellen.
Voor zover Persoonsgegevens buiten de EEA/UK/Zwitserland naar een land zonder adequaatheid worden overgedragen, zijn de EU Standaardcontractbepalingen (2021/914) van toepassing. Klant accepteert de SCC's "zoals ze zijn." Bijlage B (TOM's) vult de Bijlagen in. In geval van tegenstrijdigheid prevaleren de SCC's.
Bij beëindiging of op verzoek van de Klant zal Shipturtle Persoonsgegevens verwijderen of anonimiseren binnen een redelijke termijn, niet langer dan 90 dagen, tenzij wettelijke bewaring vereist is. Back-upmedia worden volgens hun normale cyclus gewist.
Aansprakelijkheid onder deze DPA wordt geregeld door de Voorwaarden, tenzij hier uitdrukkelijk anders aangegeven. Elke Partij blijft verantwoordelijk voor zijn eigen naleving van de toepasselijke gegevensbeschermingswetten. Ongeacht enige tegenstrijdige bepaling, is de totale aansprakelijkheid van Shipturtle onder deze DPA (inclusief subverwerkers) beperkt tot de totale kosten die daadwerkelijk door de Klant aan Shipturtle zijn betaald (exclusief terugbetalingen/tegoed) in de twaalf (12) maanden voorafgaand aan het voorval. Shipturtle is niet aansprakelijk voor indirecte, incidentele, bijzondere of gevolgschade. Deze beperking heeft voorrang boven enige inconsistente bepaling in de Voorwaarden.
Volgorde van Prioriteit. Deze DPA regelt gegevensverwerking; SCC's regelen bij conflicten.
Wijzigingen. Shipturtle kan deze DPA bijwerken om wijzigingen in wetgeving of sectorstandaarden weer te geven door een bijgewerkte versie te plaatsen. Materiële wijzigingen zullen zoals vereist worden aangekondigd. De enige oplossing voor de klant bij bezwaar is het beëindigen van de diensten.
Scheiding. Als een bepaling ongeldig is, blijft de rest van kracht.
Gegevensonderwerpen: Eindklanten, accountgebruikers, ontvangers, contactpersonen van leveranciers/partners.
Categorieën: Contactgegevens, bestel-/transactiegegevens, account-/gebruikersgegevens, ondersteuningscommunicatie.
Speciale Categorie: Niet bedoeld. Indien ingediend, is de Klant verantwoordelijk voor de wettelijke basis.
Doel: Levering en ondersteuning van diensten, synchronisatie, fraudepreventie, beveiliging, analytics, juridische naleving.
Behoud: Volgens Sectie IX.
Shipturtle hanteert passende TOM's, waaronder: role-based toegang, multi-factor authenticatie, encryptie, netwerkbeveiliging, kwetsbaarheidsbeheer, veilige ontwikkelingspraktijken, penetratietesten, logging/monitoring, incidentrespons, back-ups met integriteitscontroles, personeelsopleiding, leveranciersrisicobeheer en dataminimalisatie.
Waar de privacywetten van de VS van toepassing zijn, fungeert Shipturtle als Dienstverlener/Verwerker en zal geen Persoonlijke Gegevens verkopen of delen, en zal helpen met consumentenverzoeken zoals vereist.
Voor beperkte activiteiten die noodzakelijk zijn voor het functioneren van Shipturtle’s bedrijf (bijv. telemetrie, beveiligingslogs, fraudepreventie, naleving, analyses), treedt Shipturtle op als een Onafhankelijke Verwerkingsverantwoordelijke. Voor deze verwerking is het Privacybeleid van Shipturtle van toepassing.