Este Acordo de Processamento de Dados (“DPA”) complementa e é incorporado por referência nos [Termos de Serviço / Acordo de Serviços Principal / Formulário de Pedido] da Shipturtle (os “Termos”). Aplica-se automaticamente a todos os Clientes que utilizam os Serviços onde a Shipturtle processa Dados Pessoais em nome do Cliente. Em caso de conflito entre este DPA e os Termos, este DPA prevalece no que diz respeito ao Processamento de Dados Pessoais.
Este DPA define as obrigações das Partes em relação ao Processamento de Dados Pessoais da Shipturtle em nome do Cliente, na utilização dos Serviços. Salvo indicação em contrário, o Cliente atua como Controlador e a Shipturtle como Processador dos Dados Pessoais processados ao abrigo deste DPA.
Leis de Proteção de Dados Aplicáveis: Todas as leis de proteção de dados e privacidade aplicáveis ao Tratamento de Dados Pessoais sob os Termos (incluindo o GDPR, o UK GDPR, a LDP suíça e as leis de privacidade estaduais dos EUA aplicáveis).
Cliente: Qualquer indivíduo ou entidade que utiliza ou beneficia dos Serviços e é parte dos Termos.
Dados Pessoais: Qualquer informação relacionada a uma pessoa singular identificada ou identificável, ou conforme definido nas Leis de Proteção de Dados Aplicáveis.
Processar: Qualquer operação realizada sobre Dados Pessoais (por exemplo, recolha, armazenamento, uso, divulgação, eliminação).
Subprocessador: Qualquer terceiro contratado pela Shipturtle para Processar Dados Pessoais para os Serviços.
Serviços: Os produtos e/ou serviços fornecidos pela Shipturtle sob os Termos.
Violação de Dados Pessoais: Uma violação de segurança que leva à destruição, perda, alteração, divulgação não autorizada ou acesso acidental a Dados Pessoais.
Assunto e Duração. A Shipturtle Processa Dados Pessoais apenas para fornecer, assegurar e suportar os Serviços, durante a vigência dos Termos.
Instruções. A Shipturtle processará Dados Pessoais apenas de acordo com as instruções documentadas do Cliente, conforme estabelecido nos Termos e neste DPA, a menos que o Processamento seja exigido por lei.
Responsabilidades do Cliente. O Cliente é responsável pela precisão, qualidade e legalidade dos Dados Pessoais, bem como por fornecer os avisos necessários e obter as permissões adequadas.
Uso de Processador. A Shipturtle pode processar Dados Pessoais para fornecer, manter e melhorar os Serviços; garantir a segurança; prevenir abusos; e cumprir a lei.
A Shipturtle irá implementar e manter medidas técnicas e organizacionais adequadas (“MTOs”) para proteger os Dados Pessoais contra destruição, perda, alteração, divulgação não autorizada ou acesso acidental ou ilegal. As medidas incluem acesso com o mínimo de privilégios, encriptação em trânsito e em repouso, monitorização, gestão de vulnerabilidades e resposta a incidentes.
O Cliente autoriza a Shipturtle a envolver Sub-Processadores. A Shipturtle manterá uma lista de Sub-Processadores e notificará sobre alterações. Se o Cliente se opuser, o único remédio do Cliente é rescindir os Serviços. A Shipturtle continua responsável pelos seus Sub-Processadores.
A Shipturtle assistirá razoavelmente o Cliente com os Pedidos de Titularidade de Dados e obrigações regulamentares, na medida em que o Cliente não consiga atender aos pedidos diretamente através dos Serviços. A Shipturtle pode cobrar ao Cliente os custos materiais decorrentes dessa assistência.
A Shipturtle notificará o Cliente sem demora injustificada após tomar conhecimento de uma Violação de Dados Pessoais e, em qualquer caso, dentro de um prazo que permita ao Cliente cumprir as suas obrigações legais. A Shipturtle tomará medidas para conter, investigar e remediar.
Na medida em que os Dados Pessoais sejam transferidos para fora do EEA/Reino Unido/Suíça para um país sem adequação, aplicam-se as Cláusulas Contratuais Padrão da UE (2021/914). O Cliente aceita as CCPs "como estão". O Anexo B (TOMs) preenche os Anexos. Em caso de conflito, as CCPs prevalecem.
Após a rescisão ou a pedido do Cliente, o Shipturtle eliminará ou anonimizará os Dados Pessoais dentro de um prazo comercialmente razoável, não superior a 90 dias, a menos que a retenção seja exigida por lei. Os suportes de backup serão eliminados de acordo com o seu ciclo normal.
A responsabilidade sob este DPA é regida pelos Termos, exceto quando expressamente alterada neste documento. Cada Parte continua responsável pela sua própria conformidade com as Leis de Proteção de Dados Aplicáveis. Não obstante qualquer disposição em contrário, a responsabilidade total agregada da Shipturtle sob este DPA (incluindo Subprocessadores) não excederá os totais de taxas efetivamente pagas (exceto reembolsos/créditos) pelo Cliente à Shipturtle nos doze (12) meses anteriores ao evento. A Shipturtle não será responsável por danos indiretos, acidentais, especiais ou consequenciais. Esta limitação prevalece sobre qualquer disposição inconsistente nos Termos.
Ordem de Precedência. Este DPA controla questões de processamento de dados; os SCCs controlam se surgir conflito.
Alterações. A Shipturtle pode atualizar este DPA para refletir mudanças na lei ou nas normas do setor, disponibilizando uma versão atualizada. Alterações significativas serão comunicadas conforme necessário. O único remédio do Cliente para objeções é terminar os Serviços.
Divisibilidade. Se alguma disposição for inválida, o restante permanece em vigor.
Sujetos de Dados: Clientes finais, utilizadores de conta, destinatários, contactos de fornecedores/parceiros.
Categorias: Dados de contacto, dados de encomenda/negócio, dados de conta/utilização, comunicações de suporte.
Categorias Especiais: Não destinado. Se enviado, o Cliente é responsável pela base legal.
Propósito: Fornecimento e suporte de Serviços, sincronização, prevenção de fraudes, segurança, análise, conformidade legal.
Retenção: Conforme a Secção IX.
A Shipturtle mantém os TOMs apropriados que incluem: acesso baseado em funções, autenticação multifator, encriptação, segurança de rede, gestão de vulnerabilidades, práticas de desenvolvimento seguro, testes de penetração, registos/monitorização, resposta a incidentes, backups com verificações de integridade, formação de pessoal, gestão de risco de fornecedores e minimização de dados.
Onde as leis de privacidade dos Estados Unidos se aplicam, a Shipturtle atua como Prestador de Serviços/Processador e não venderá nem partilhará Dados Pessoais, além de ajudar com pedidos de consumidores conforme necessário.
Para atividades limitadas necessárias para operar o negócio da Shipturtle (por exemplo, telemetria, registos de segurança, prevenção de fraudes, conformidade, análises), a Shipturtle atua como Controlador Independente. Para esse tratamento, aplica-se a Política de Privacidade da Shipturtle.