Niniejsza Umowa Przetwarzania Danych („DPA”) uzupełnia i jest włączona przez odniesienie do [Warunków Usługi / Umowy Ramowej / Formularza Zamówienia] Shipturtle („Warunki”). Automatycznie dotyczy wszystkich Klientów korzystających z Usług, w których Shipturtle przetwarza Dane Osobowe w imieniu Klienta. W przypadku jakiejkolwiek sprzeczności pomiędzy tą DPA a Warunkami, DPA ma pierwszeństwo w zakresie Przetwarzania Danych Osobowych.
Niniejsza DPA określa obowiązki Stron związane z przetwarzaniem Danych Osobowych przez Shipturtle w imieniu Klienta w związku z korzystaniem przez Klienta z Usług. O ile nie stwierdzono inaczej, Klient działa jako Administrator, a Shipturtle jako Procesor dla Danych Osobowych przetwarzanych na podstawie tej DPA.
Obowiązujące przepisy o ochronie danych: Wszelkie przepisy o ochronie danych i prywatności dotyczące przetwarzania danych osobowych zgodnie z Warunkami (w tym RODO, brytyjskie RODO, szwajcarska FADP oraz obowiązujące przepisy o prywatności w stanach USA).
Klient: Każda osoba lub podmiot, który korzysta z Usług lub odnosi z nich korzyści i jest stroną Warunków.
Dane osobowe: Jakiekolwiek informacje związane z zidentyfikowaną lub identyfikowalną osobą fizyczną, lub inaczej zdefiniowane zgodnie z Obowiązującymi przepisami dotyczącymi ochrony danych.
Przetwarzanie: Każda operacja wykonana na Danych Osobowych (np. zbieranie, przechowywanie, użycie, ujawnienie, usunięcie).
Podwykonawca: Każda strona trzecia zaangażowana przez Shipturtle do przetwarzania Danych Osobowych w ramach Usług.
Usługi: Produkty i/lub usługi świadczone przez Shipturtle na podstawie Warunków.
Naruszenie danych osobowych: Naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmiany, nieautoryzowanego ujawnienia lub dostępu do danych osobowych.
Tematyka i czas trwania. Shipturtle przetwarza dane osobowe wyłącznie w celu świadczenia, zabezpieczania i wsparcia Usług, przez czas trwania Warunków.
Instrukcje. Shipturtle będzie przetwarzać Dane Osobowe tylko zgodnie z pisemnymi instrukcjami Klienta określonymi w Warunkach i tej DPA, chyba że przetwarzanie jest wymagane przez prawo.
Obowiązki klienta. Klient jest odpowiedzialny za dokładność, jakość i legalność Danych Osobowych oraz za dostarczenie wymaganych powiadomień i uzyskanie niezbędnych zgód.
Wykorzystanie procesora. Shipturtle może przetwarzać Dane Osobowe, aby świadczyć, utrzymywać i ulepszać Usługi; zapewnić bezpieczeństwo; zapobiegać nadużyciom; oraz przestrzegać prawa.
Shipturtle wdroży i utrzyma odpowiednie środki techniczne i organizacyjne („TOM”) w celu ochrony Danych Osobowych przed przypadkowym lub bezprawnym zniszczeniem, utratą, zmianą, nieautoryzowanym ujawnieniem lub dostępem. Środki obejmują dostęp na zasadzie minimalnych uprawnień, szyfrowanie w trakcie przesyłania i w spoczynku, monitoring, zarządzanie podatnościami oraz reakcję na incydenty.
Klient upoważnia Shipturtle do angażowania Podwykonawców. Shipturtle prowadzi listę Podwykonawców i poinformuje o zmianach. Jeśli Klient się sprzeciwi, jedynym sposobem rozwiązania sprawy jest zakończenie Usług. Shipturtle ponosi odpowiedzialność za swoich Podwykonawców.
Shipturtle rozsądnie pomoże Klientowi w Żądaniach Osoby, której dane dotyczą, oraz obowiązkach regulacyjnych, w zakresie, w jakim Klient nie może spełnić żądań bezpośrednio za pośrednictwem Usług. Shipturtle może obciążyć Klienta kosztami materiałowymi związanymi z taką pomocą.
Shipturtle powiadomi Klienta bez zbędnej zwłoki po stwierdzeniu naruszenia danych osobowych, a w każdym przypadku w terminie pozwalającym Klientowi na spełnienie jego obowiązków prawnych. Shipturtle podejmie kroki w celu ograniczenia, zbadania i naprawienia sytuacji.
W zakresie, w jakim Dane Osobowe są przekazywane poza EEA/WB/Szwajcarią do kraju bez odpowiednich zabezpieczeń, stosuje się Standardowe Klauzule Umowne UE (2021/914). Klient akceptuje SCC „tak jak są”. Załącznik B (TOM) wypełnia Aneksy. W przypadku konfliktu, pierwszeństwo mają SCC.
Po zakończeniu umowy lub na żądanie Klienta, Shipturtle usunie lub zanonimizuje Dane Osobowe w rozsądnym czasie, nieprzekraczającym 90 dni, chyba że retention jest wymagana przez prawo. Nośniki zapasowe będą usuwane zgodnie z normalnym cyklem.
Odpowiedzialność na mocy tej DPA podlega Warunkom, chyba że wyraźnie zmieniono to w niniejszym dokumencie. Każda Strona pozostaje odpowiedzialna za zgodność z Obowiązującymi Przepisami Ochrony Danych. Nie mniej jednak, całkowita odpowiedzialność Shipturtle na mocy tej DPA (w tym Podwykonawców) nie może przekroczyć całkowitych opłat faktycznie zapłaconych (z wyłączeniem zwrotów/kredytów) przez Klienta do Shipturtle w ciągu dwunastu (12) miesięcy poprzedzających zdarzenie. Shipturtle nie ponosi odpowiedzialności za szkody pośrednie, przypadkowe, specjalne ani wynikowe. To ograniczenie ma pierwszeństwo przed wszelkimi sprzecznymi postanowieniami w Warunkach.
Kolejność Priorytetów. Ta DPA reguluje kwestie przetwarzania danych; SCC kontrolują w przypadku konfliktu.
Zmiany. Shipturtle może zaktualizować ten DPA, aby odzwierciedlić zmiany w przepisach lub standardach branżowych, publikując zaktualizowaną wersję. O istotnych zmianach powiadomimy zgodnie z wymaganiami. Jedynym środkiem zaradczym Klienta w przypadku sprzeciwu jest rozwiązanie Usług.
Niezależność postanowień. Jeśli jakiekolwiek postanowienie jest nieważne, pozostałe pozostają w mocy.
Osoby danych: końcowi klienci, użytkownicy konta, odbiorcy, kontakty dostawców/partnerów.
Kategorie: Dane kontaktowe, dane zamówień/transakcji, dane konta/użytkowania, komunikacje wsparcia.
Kategorie specjalne: Nieprzeznaczone. Jeśli zostaną przesłane, klient odpowiada za podstawę prawną.
Cel: Zapewnienie i wsparcie usług, synchronizacja, zapobieganie oszustwom, bezpieczeństwo, analizy, zgodność prawna.
Zatrzymanie: Zgodnie z sekcją IX.
Shipturtle utrzymuje odpowiednie TOM, w tym: dostęp oparty na rolach, uwierzytelnianie wieloskładnikowe, szyfrowanie, bezpieczeństwo sieci, zarządzanie podatnościami, bezpieczne praktyki programistyczne, testy penetracyjne, rejestrowanie/monitorowanie, reagowanie na incydenty, kopie zapasowe z kontrolą integralności, szkolenie personelu, zarządzanie ryzykiem dostawców oraz minimalizację danych.
Gdzie obowiązują przepisy o prywatności stanów USA, Shipturtle działa jako Dostawca/Processor i nie będzie sprzedawać ani udostępniać Danych Osobowych, a także pomoże w realizacji wniosków konsumenckich zgodnie z wymaganiami.
W przypadku ograniczonych działań niezbędnych do prowadzenia działalności Shipturtle (np. telemetry, logi bezpieczeństwa, zapobieganie oszustwom, zgodność, analizy), Shipturtle działa jako Niezależny Administrator. Do takiego przetwarzania ma zastosowanie Polityka Prywatności Shipturtle.