Este Acordo de Processamento de Dados (“DPA”) suplementa e é incorporado por referência aos [Termos de Serviço / Acordo de Serviços Master / Formulário de Pedido] do Shipturtle (os “Termos”). Aplica-se automaticamente a todos os Clientes que usam os Serviços onde o Shipturtle processa Dados Pessoais em nome do Cliente. Em caso de conflito entre este DPA e os Termos, este DPA prevalece em relação ao Processamento de Dados Pessoais.
Este DPA estabelece as obrigações das Partes em relação ao Processamento de Dados Pessoais pela Shipturtle em nome do Cliente, em conexão com o uso dos Serviços pelo Cliente. Salvo disposição em contrário, o Cliente atua como Controlador e a Shipturtle atua como Processador dos Dados Pessoais processados sob este DPA.
Leis de Proteção de Dados Aplicáveis: Todas as leis de proteção e privacidade de dados aplicáveis ao Processamento de Dados Pessoais sob os Termos (incluindo GDPR, UK GDPR, FADP suíço e leis de privacidade estaduais dos EUA aplicáveis).
Cliente: Qualquer indivíduo ou entidade que utiliza ou se beneficia dos Serviços e é parte dos Termos.
Dados Pessoais: Qualquer informação relacionada a uma pessoa física identificada ou identificável, ou conforme definido nas Leis de Proteção de Dados Aplicáveis.
Processamento: Qualquer operação realizada com Dados Pessoais (por exemplo, coleta, armazenamento, uso, divulgação, exclusão).
Subprocessador: Qualquer terceiro contratado pela Shipturtle para Processar Dados Pessoais para os Serviços.
Serviços: Os produtos e/ou serviços fornecidos pela Shipturtle conforme os Termos.
Violação de Dados Pessoais: Uma quebra de segurança que leva à destruição, perda, alteração, divulgação não autorizada ou acesso acidental a Dados Pessoais.
Assunto e Duração. A Shipturtle processa Dados Pessoais apenas para fornecer, garantir e apoiar os Serviços, durante o período dos Termos.
Instruções. A Shipturtle processará Dados Pessoais apenas conforme as instruções documentadas do Cliente, conforme estabelecido nos Termos e neste DPA, a menos que o Processamento seja exigido por lei.
Responsabilidades do Cliente. O Cliente é responsável pela precisão, qualidade e legalidade dos Dados Pessoais e por fornecer os avisos necessários e obter as permissões requeridas.
Uso de Processador. A Shipturtle pode processar Dados Pessoais para fornecer, manter e aprimorar os Serviços; garantir segurança; prevenir abusos; e cumprir com a legislação.
A Shipturtle implementará e manterá medidas técnicas e organizacionais adequadas (“TOMs”) para proteger os Dados Pessoais contra destruição, perda, alteração, divulgação ou acesso acidental ou ilegal. As medidas incluem acesso com privilégios mínimos, criptografia em trânsito e repouso, monitoramento, gerenciamento de vulnerabilidades e resposta a incidentes.
O Cliente autoriza a Shipturtle a contratar Subprocessadores. A Shipturtle manterá uma lista de Subprocessadores e informará sobre alterações. Se o Cliente discordar, o único recurso é encerrar os Serviços. A Shipturtle continua responsável por seus Subprocessadores.
A Shipturtle auxiliará razoavelmente o Cliente com Solicitações de Titulares de Dados e obrigações regulatórias, na medida em que o Cliente não conseguir atender às solicitações diretamente pelos Serviços. A Shipturtle pode cobrar do Cliente os custos materiais decorrentes dessa assistência.
A Shipturtle notificará o Cliente sem demora indevida após tomar conhecimento de uma Violação de Dados Pessoais e, em qualquer caso, dentro de um prazo que permita ao Cliente cumprir suas obrigações legais. A Shipturtle tomará medidas para conter, investigar e remediar.
Na medida em que Dados Pessoais são transferidos para fora do EEE/Reino Unido/Suíça para um país sem adequação, as Cláusulas Contratuais Padrão da UE (2021/914) se aplicam. O cliente aceita as CCTs "como estão". O Apêndice B (TOMs) preenche os Anexos. Em caso de conflito, as CCTs prevalecem.
Após a rescisão ou solicitação do Cliente, a Shipturtle excluirá ou anonimizará os Dados Pessoais em um prazo comercialmente razoável, não superior a 90 dias, a menos que a retenção seja exigida por lei. Os meios de backup serão excluídos em seu ciclo normal.
A responsabilidade sob este DPA é regida pelos Termos, exceto quando modificado expressamente aqui. Cada Parte continua responsável por sua própria conformidade com as Leis de Proteção de Dados Aplicáveis. Não obstante qualquer disposição em contrário, a responsabilidade total agregada da Shipturtle sob este DPA (incluindo Subprocessadores) não excederá as taxas totais realmente pagas (excluindo reembolsos/créditos) pelo Cliente à Shipturtle nos doze (12) meses anteriores ao evento. A Shipturtle não será responsável por danos indiretos, incidentais, especiais ou consequenciais. Essa limitação prevalece sobre qualquer disposição inconsistente nos Termos.
Ordem de Precedência. Este DPA controla assuntos de processamento de dados; os SCCs controlam em caso de conflito.
Alterações. A Shipturtle pode atualizar este DPA para refletir mudanças na legislação ou nos padrões do setor, publicando uma versão atualizada. Alterações materiais serão notificadas conforme necessário. O único recurso do Cliente para objeções é encerrar os Serviços.
Divisibilidade. Se alguma cláusula for inválida, o restante permanece em vigor.
Sujeitos de Dados: Clientes finais, usuários de conta, destinatários, contatos de fornecedores/ parceiros.
Categorias: Dados de contato, dados de pedidos/transações, dados de conta/uso, comunicações de suporte.
Categorias Especiais: Não destinado. Se enviado, o Cliente é responsável pela base legal.
Propósito: Provisão e suporte aos Serviços, sincronização, prevenção de fraudes, segurança, análise, conformidade legal.
Retenção: Conforme a Seção IX.
A Shipturtle mantém TOMs apropriados, incluindo: acesso baseado em funções, autenticação multifatorial, criptografia, segurança de rede, gerenciamento de vulnerabilidades, práticas de desenvolvimento seguras, testes de penetração, registro/monitoramento, resposta a incidentes, backups com verificações de integridade, treinamento de pessoal, gerenciamento de riscos de fornecedores e minimização de dados.
Onde as leis de privacidade dos estados dos EUA se aplicam, a Shipturtle atua como Provedor/Processador de Serviços e não venderá ou compartilhará Dados Pessoais, e ajudará com solicitações dos consumidores conforme necessário.
Para atividades limitadas necessárias para operar o negócio da Shipturtle (por exemplo, telemetria, registros de segurança, prevenção de fraudes, conformidade, análises), a Shipturtle atua como um Controlador Independente. Para esse Processamento, a Política de Privacidade da Shipturtle se aplica.