ข้อตกลงการประมวลผลข้อมูล (“DPA”) นี้เป็นส่วนเสริมและถูกรวมเข้ากับ [ข้อกำหนดบริการ / ข้อตกลงบริการหลัก / แบบฟอร์สคำสั่งซื้อ] ของ Shipturtle (“ข้อกำหนด”) โดยอัตโนมัติในการใช้บริการของลูกค้าทั้งหมดที่ Shipturtle ประมวลผลข้อมูลส่วนบุคคลในนามของลูกค้า หากมีข้อขัดแย้งระหว่าง DPA นี้กับข้อกำหนด DPA นี้จะมีอำนาจเหนือกว่าในด้านการประมวลผลข้อมูลส่วนบุคคล
DPA นี้กำหนดความรับผิดชอบของฝ่ายที่เกี่ยวข้องที่เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลของ Shipturtle ในฐานะตัวแทนของลูกค้าในการใช้บริการของลูกค้า โดยไม่ระบุเป็นอย่างอื่น ลูกค้าจะทำหน้าที่เป็นผู้ควบคุมข้อมูล และ Shipturtle จะเป็นผู้ประมวลผลข้อมูลส่วนบุคคลตามที่กำหนดใน DPA นี้
กฎหมายการคุ้มครองข้อมูลที่เกี่ยวข้อง: กฎหมายการคุ้มครองข้อมูลและความเป็นส่วนตัวทั้งหมดที่ใช้บังคับต่อการประมวลผลข้อมูลส่วนบุคคลตามข้อกำหนด (รวมถึง GDPR, UK GDPR, Swiss FADP และกฎหมายความเป็นส่วนตัวของรัฐในสหรัฐที่เกี่ยวข้อง)
ลูกค้า: บุคคลหรือหน่วยงานใด ๆ ที่ใช้หรือได้รับประโยชน์จากบริการและเป็นคู่สัญญาของข้อกำหนด
ข้อมูลส่วนบุคคล: ข้อมูลใดๆ ที่เกี่ยวข้องกับบุคคลธรรมชาติที่ระบุได้หรือสามารถระบุได้ หรือที่กำหนดไว้อื่นภายใต้กฎหมายการปกป้องข้อมูลที่เกี่ยวข้อง.
การประมวลผล: การดำเนินการใด ๆ ที่ทำต่อข้อมูลส่วนบุคคล (เช่น การเก็บรวบรวม, การจัดเก็บ, การใช้งาน, การเปิดเผย, การลบ).
ผู้ประมวลผล فرعية: บุคคลที่สามใด ๆ ที่ Shipturtle จ้างให้ประมวลผลข้อมูลส่วนบุคคลสำหรับบริการ
บริการ: ผลิตภัณฑ์และ/หรือบริการที่จัดให้โดย Shipturtle ตามเงื่อนไข
การละเมิดข้อมูลส่วนบุคคล: การละเมิดความปลอดภัยที่นำไปสู่วิธีการทำลาย สูญหาย เปลี่ยนแปลง เปิดเผยโดยไม่ได้รับอนุญาต หรือเข้าถึงข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต
หัวข้อและระยะเวลา Shipturtle ประมวลผลข้อมูลส่วนตัวเพียงเพื่อให้ บริการ ป้องกัน และสนับสนุนบริการ ตามระยะเวลาของข้อกำหนด
คำแนะนำ. Shipturtle จะประมวลผลข้อมูลส่วนบุคคลตามคำสั่งที่เป็นเอกสารของลูกค้าเท่านั้น ตามที่ระบุในข้อกำหนดและ DPA นี้ ยกเว้นกรณีที่กฎหมายกำหนดให้ต้องประมวลผล
ความรับผิดชอบของลูกค้า ลูกค้าต้องรับผิดชอบต่อความถูกต้อง คุณภาพ และความถูกต้องตามกฎหมายของข้อมูลส่วนบุคคล และต้องให้การแจ้งเตือนที่จำเป็นและขออนุญาตที่จำเป็น
การใช้โปรเซสเซอร์ Shipturtle อาจประมวลผลข้อมูลส่วนบุคคลเพื่อให้บริการ รักษา และปรับปรุงบริการ; ป้องกันความปลอดภัย; ป้องกันการละเมิด; และปฏิบัติตามกฎหมาย
Shipturtle จะดำเนินการและรักษามาตรการทางเทคนิคและองค์การที่เหมาะสม (“TOMs”) เพื่อปกป้องข้อมูลส่วนบุคคลจากการทำลาย สูญหาย เปลี่ยนแปลง การเปิดเผยโดยไม่ได้รับอนุญาต หรือการเข้าถึง มาตรการรวมถึงการเข้าถึงตามสิทธิขั้นต่ำ การเข้ารหัสระหว่างการส่งและเมื่อเก็บ การตรวจสอบ การจัดการช่องโหว่ และการตอบสนองต่อเหตุการณ์
ลูกค้าอนุญาตให้ Shipturtle ใช้งานผู้ประมวลผลย่อย Shipturtle จะรักษารายชื่อผู้ประมวลผลย่อยและแจ้งการเปลี่ยนแปลง หากลูกค้าไม่เห็นด้วย ทางเลือกเดียวของลูกค้าคือการยกเลิกบริการ Shipturtle ยังคงรับผิดชอบต่อผู้ประมวลผลย่อยของตน
Shipturtle จะช่วยลูกค้าในเรื่องคำขอข้อมูลและข้อกำหนดทางกฎหมายตามสมควร เมื่อ ลูกค้าไม่สามารถดำเนินการขอข้อมูลตรงๆ ผ่านบริการได้ Shipturtle อาจเรียกเก็บค่าบริการจากลูกค้าเพื่อค่าใช้จ่ายที่เกิดขึ้นจากการช่วยเหลือดังกล่าว
Shipturtle จะแจ้งให้ลูกค้าทราบโดยเร็วที่สุดเมื่อทราบถึงการละเมิดข้อมูลส่วนบุคคล และในกรณีใด ๆ จะต้องอยู่ในกรอบเวลาที่ลูกค้าสามารถปฏิบัติตามข้อกำหนดทางกฎหมายได้ Shipturtle จะดำเนินการเพื่อควบคุม ตรวจสอบ และแก้ไขปัญหา.
ถ้าข้อมูลส่วนตัวถูกโอนออกจาก EEA/UK/สวิสเซอร์แลนด์ไปยังประเทศที่ไม่มีความเพียงพอ จะใช้ข้อกำหนดสัญญามาตรฐานของสหภาพยุโรป (2021/914) ลูกค้าตกลงรับ SCCs "ตามที่เป็น" ภาคผนวก B (TOMs) จะกรอกในภาคผนวก หากมีข้อขัดแย้ง SCCs จะมีผลเหนือกว่า
เมื่อสิ้นสุดหรือมีคำขอจากลูกค้า Shipturtle จะลบหรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุได้ภายในระยะเวลาที่เหมาะสมทางการค้า ไม่เกิน 90 วัน เว้นแต่กฎหมายกำหนดให้ต้องเก็บรักษา สื่อสำรองจะถูกลบตามรอบปกติของพวกเขา
ความรับผิดชอบภายใต้ DPA นี้อยู่ภายใต้ข้อกำหนด ยกเว้นจะมีการแก้ไขโดยชัดแจ้งที่นี่ ทุกฝ่ายยังคงรับผิดชอบต่อการปฏิบัติตามกฎหมายการปกป้องข้อมูลที่เกี่ยวข้องของตน โดยไม่คำนึงถึงสิ่งใดที่ขัดแย้งกัน ความรับผิดชอบรวมทั้งหมดของ Shipturtle ภายใต้ DPA นี้ (รวมถึงผู้ประมวลผลรอง) จะไม่เกินค่าธรรมเนียมรวมที่ชำระจริง (ไม่รวมการคืนเงิน/เครดิต) โดยลูกค้าให้กับ Shipturtle ในสิบสอง (12) เดือนก่อนหน้านี้ Shipturtle จะไม่รับผิดชอบต่อความเสียหายทางอ้อม อุบัติเหตุ พิเศษ หรือผลที่ตามมา ข้อตกลงนี้มีความสำคัญเหนือกว่าข้อกำหนดใด ๆ ที่ไม่สอดคล้องกันในข้อกำหนด.
ลำดับความสำคัญ ข้อตกลงนี้ควบคุมเรื่องการประมวลผลข้อมูล; SCCs จะควบคุมในกรณีที่เกิดความขัดแย้ง
การแก้ไข Shipturtle อาจอัพเดต DPA นี้เพื่อสะท้อนการเปลี่ยนแปลงในกฎหมายหรือมาตรฐานอุตสาหกรรมโดยการโพสต์เวอร์ชันที่อัปเดต การเปลี่ยนแปลงที่สำคัญจะมีการแจ้งเตือนตามที่กำหนด วิธีการแก้ไขเพียงอย่างเดียวของลูกค้าในการคัดค้านคือการยกเลิกบริการ
การแบ่งแยก หากบทบัญญัติใดไม่ถูกต้อง บทบัญญัติที่เหลือจะยังคงมีผลบังคับใช้
กลุ่มข้อมูล: ลูกค้าทั่วไป, ผู้ใช้บัญชี, ผู้รับ, ติดต่อผู้ขาย/พันธมิตร.
หมวดหมู่: ข้อมูลการติดต่อ, ข้อมูลการสั่งซื้อ/ธุรกรรม, ข้อมูลบัญชี/การใช้งาน, การสื่อสารสนับสนุน.
หมวดหมู่พิเศษ: ไม่ได้ตั้งใจ หากส่งข้อมูล ลูกค้าจะเป็นผู้รับผิดชอบต่อฐานทางกฎหมาย.
วัตถุประสงค์: การจัดเตรียมและสนับสนุนบริการ การซิงโครไนซ์ การป้องกันการฉ้อโกง ความปลอดภัย การวิเคราะห์ และการปฏิบัติตามกฎหมาย
การรักษา: ตามข้อที่ IX.
Shipturtle รักษามาตรการ TOM ที่เหมาะสม ได้แก่: การเข้าถึงตามบทบาท, การยืนยันตัวตนแบบหลายปัจจัย, การเข้ารหัส, ความปลอดภัยของเครือข่าย, การจัดการช่องโหว่, แนวทางการพัฒนาสถานที่ที่ปลอดภัย, การทดสอบเจาะระบบ, การบันทึก/การตรวจสอบ, การตอบสนองต่อเหตุการณ์, การสำรองข้อมูลพร้อมการตรวจสอบความถูกต้อง, การฝึกอบรมบุคลากร, การจัดการความเสี่ยงของผู้ขาย และการลดข้อมูล.
เมื่อกฎหมายคุ้มครองความเป็นส่วนตัวของรัฐในสหรัฐฯ มีผลบังคับใช้ Shipturtle จะทำหน้าที่เป็นผู้ให้บริการ/ประมวลผลและจะไม่ขายหรือแบ่งปันข้อมูลส่วนบุคคล และจะช่วยเหลือในคำขอของผู้ใช้ตามที่กำหนด
สำหรับกิจกรรมที่จำกัดซึ่งจำเป็นต่อการดำเนินธุรกิจของ Shipturtle (เช่น การเก็บข้อมูลเทเลเมตริก ไฟล์บันทึกความปลอดภัย การป้องกันการฉ้อโกง การปฏิบัติตามกฎระเบียบ การวิเคราะห์) Shipturtle จะทำหน้าที่เป็นผู้ควบคุมข้อมูลอิสระ สำหรับการประมวลผลดังกล่าว นโยบายความเป็นส่วนตัวของ Shipturtle จะเป็นใช้บังคับ