Detta Databehandlingsavtal (“DPA”) kompletterar och ingår genom referens i Shipturtles [Användarvillkor / Ramavtal / Beställningsformulär] (”Villkoren”). Det gäller automatiskt för alla Kunder som använder Tjänsterna där Shipturtle behandlar Personuppgifter å Kundens vägnar. Vid eventuell konflikt mellan detta DPA och Villkoren gäller detta DPA avseende Behandlingen av Personuppgifter.
Denna DPA anger parternas skyldigheter relaterade till Shipturtles behandling av personuppgifter för kundens räkning i samband med kundens användning av tjänsterna. Om inte annat anges agerar kunden som personuppgiftsansvarig och Shipturtle agerar som personuppgiftsbiträde för personuppgifter som behandlas enligt denna DPA.
Tillämpbara dataskyddslagar: Alla dataskydds- och integritetslagar som gäller för behandling av personuppgifter enligt villkoren (inklusive GDPR, UK GDPR, schweizisk FADP och tillämpliga amerikanska delstatslagar om integritet).
Kund: En individ eller enhet som använder eller får nytta av Tjänsterna och är part i Villkoren.
Personuppgifter: All information som rör en identifierad eller identifierbar fysisk person, eller enligt annan definition enligt tillämpliga dataskyddslagar.
Behandling: Alla åtgärder som utförs på personuppgifter (t.ex. insamling, lagring, användning, avslöjande, radering).
Underleverantör: Valfri tredje part som Shipturtle anlitar för att behandla personuppgifter för tjänsterna.
Tjänster: Produkterna och/eller tjänsterna som tillhandahålls av Shipturtle enligt villkoren.
Personuppgiftsincident: En säkerhetsöverträdelse som leder till oavsiktlig eller olaglig förstöring, förlust, förändring, obehörig avslöjande av eller åtkomst till personuppgifter.
Ämnesområde och varaktighet. Shipturtle behandlar personuppgifter enbart för att tillhandahålla, säkra och stödja tjänsterna, under hela avtalets varaktighet.
Instruktioner. Shipturtle kommer endast att bearbeta personuppgifter enligt Kundens dokumenterade instruktioner som anges i Villkoren och denna DPA, om inte bearbetning krävs enligt lag.
Kundens ansvar. Kunden ansvarar för noggrannheten, kvaliteten och lagligheten av personuppgifter samt för att ge nödvändiga meddelanden och inhämta erforderliga tillstånd.
Processoranvändning. Shipturtle kan behandla Personuppgifter för att tillhandahålla, underhålla och förbättra tjänsterna; säkerställa säkerhet; förebygga missbruk; och följa lagar.
Shipturtle kommer att införa och upprätthålla lämpliga tekniska och organisatoriska åtgärder (“TOMs”) för att skydda personuppgifter mot oavsiktlig eller olaglig förstörelse, förlust, ändring, obehörig avslöjande eller åtkomst. Åtgärderna inkluderar åtkomst med minimi-rättigheter, kryptering under överföring och i vila, övervakning, hantering av sårbarheter och incidentrespons.
Kunden ger Shipturtle tillstånd att använda Underprocessorer. Shipturtle kommer att hålla en lista över Underprocessorer och informera om ändringar. Om Kunden motsätter sig detta är den enda åtgärden att säga upp Tjänsterna. Shipturtle förblir ansvarig för sina Underprocessorer.
Shipturtle kommer rimligt att hjälpa Kunden med begäran från registrerade personer och regulatoriska skyldigheter, i den mån Kunden inte kan uppfylla begärningar direkt via Tjänsterna. Shipturtle kan ta ut avgifter från Kunden för kostnader som uppstår på grund av sådan hjälp.
Shipturtle kommer att meddela Kunden utan onödiga förseningar efter att ha blivit medveten om en personuppgiftsöverträdelse, och i alla fall inom en tidsram som gör att Kunden kan uppfylla sina juridiska skyldigheter. Shipturtle kommer att vidta åtgärder för att begränsa, undersöka och åtgärda.
I den mån personuppgifter överförs utanför EEA/UK/Schweiz till ett land utan adekvat skydd tillämpas EU:s standardavtalsklausuler (2021/914). Kunden accepterar SCC:erna "som de är." Bilaga B (TOMs) fyller i bilagorna. Vid konflikt gäller SCC:erna.
Vid uppsägning eller på begäran av kunden kommer Shipturtle att radera eller anonymisera personuppgifter inom en rimlig tidsram, högst 90 dagar, om inte lagring krävs. Backupmedia raderas enligt sin vanliga cykel.
Ansvar enligt detta DPA regleras av Villkoren, utom där annat uttryckligen anges här. Varje Part är fortsatt ansvarig för sin egen efterlevnad av gällande dataskyddslagstiftning. Oavsett vad som sägs i motsats här till får Shipturtle’s totala ansvar under detta DPA (inklusive Underleverantörer) inte överskrida de totala avgifter som faktiskt betalats (exklusive återbetalningar/krediter) av Klienten till Shipturtle under de tolv (12) månader som föregår händelsen. Shipturtle ansvarar inte för indirekta, tillfälliga, särskilda eller följdskador. Denna begränsning gäller före eventuella motstridiga bestämmelser i Villkoren.
Prejudikatordning. Denna DPA styr databehandlingsfrågor; SCCs styr vid eventuell konflikt.
Ändringar. Shipturtle kan uppdatera denna DPA för att återspegla lagändringar eller branschstandarder genom att publicera en uppdaterad version. Väsentliga ändringar kommer att meddelas vid behov. Kundens enda åtgärd vid invändningar är att avsluta tjänsterna.
Skilljaktighet. Om någon bestämmelse är ogiltig, förblir resten i kraft.
Datapunkter: Slutkunder, kontoanvändare, mottagare, leverantörs-/partnerkontakter.
Kategorier: Kontaktinformation, order-/transaktionsdata, konto-/användningsdata, supportkommunikation.
Särskilda kategorier: Ej avsett. Om inlämnat, ansvarar kunden för laglig grund.
Syfte: Tillhandahållande och stöd av tjänster, synkronisering, bedrägeriförebyggande, säkerhet, analys, rättslig efterlevnad.
Retention: Enligt avsnitt IX.
Shipturtle upprätthåller lämpliga TOM:ar inklusive: rollbaserad åtkomst, flerfaktorsautentisering, kryptering, nätverkssäkerhet, sårbarhetsförvaltning, säkra utvecklingsmetoder, penetrationstestning, loggning/Övervakning, incidentrespons, säkerhetskopior med integritetskontroller, personalutbildning, leverantörsriskhantering och dataminimering.
Där USA:s delstatliga integritetslagar gäller fungerar Shipturtle som tjänsteleverantör/processor och kommer inte att sälja eller dela personlig data, och kommer att hjälpa till med konsumentförfrågningar vid behov.
För begränsade aktiviteter som är nödvändiga för att driva Shipturtles verksamhet (t.ex. telemetri, säkerhetsloggar, bedrägeribekämpning, efterlevnad, analyser) agerar Shipturtle som en oberoende personuppgiftsansvarig. Shipturtles integritetspolicy gäller för sådan behandling.