本数据处理协议(“DPA”)补充并通过引用纳入Shipturtle [服务条款 / 主服务协议 / 订单表格](“条款”)。它自动适用于所有使用Shipturtle服务并由其代表客户处理个人数据的客户。如果本DPA与条款之间存在任何冲突,处理个人数据时以本DPA为准。
本数据处理协议(DPA)规定了双方在客户使用服务时,Shipturtle 代表客户处理个人数据的义务。除非另有明确说明,客户作为控制者,Shipturtle 作为处理者,处理本 DPA 下的个人数据。
适用的数据保护法律:根据条款处理个人数据时适用的所有数据保护和隐私法律(包括GDPR、英国GDPR、瑞士FADP和相关美国州隐私法)。
客户:使用或受益于服务并成为条款一方的个人或实体。
个人数据:指与已识别或可识别的自然人相关的任何信息,或根据相关数据保护法律的其他定义。
处理:对个人数据执行的任何操作(例如:收集、存储、使用、披露、删除)。
子处理者:Shipturtle 为服务而雇佣的任何第三方,负责处理个人数据。
服务:Shipturtle根据条款提供的产品和/或服务。
个人数据泄露:由于安全漏洞导致的意外或非法销毁、丢失、变更、未经授权披露或访问个人数据。
主题和持续时间。Shipturtle 仅在服务条款的有效期内处理个人数据,以提供、保障和支持服务。
说明。Shipturtle 仅会根据客户在条款和本 DPA 中的书面指示处理个人数据,除非法律要求进行处理。
客户责任。客户需确保个人数据的准确性、质量和合法性,并提供所需的通知及获取必要的权限。
处理器使用。Shipturtle 可能会处理个人数据,以提供、维护和改进服务;确保安全;防止滥用;并遵守法律。
Shipturtle将实施和维护适当的技术和组织措施(“TOMs”)以保护个人数据免遭意外或非法的破坏、丢失、篡改、未经授权的披露或访问。措施包括最小权限访问、传输和静态加密、监控、漏洞管理和事件响应。
客户授权 Shipturtle 雇佣次处理者。Shipturtle 会维护次处理者名单并通知变更。如客户有异议,客户唯一的补救方式是终止服务。Shipturtle 对其次处理者仍承担责任。
Shipturtle将合理协助客户处理数据主体请求和合规义务,前提是客户无法通过服务直接满足请求。Shipturtle可能会对这种协助收取材料费用。
Shipturtle将在意识到个人数据泄露后立即通知客户,并确保在客户能够履行法律义务的时间范围内。Shipturtle将采取措施进行控制、调查和修复。
在个人数据被转移到没有充足性保障的国家(非EEA/UK/瑞士)时,将适用欧盟标准合同条款(2021/914)。客户接受标准合同条款的现有版本。附录B(TOMs)填充附录内容。如有冲突,以标准合同条款为准。
在终止或客户请求下,Shipturtle将在合理的商业期限内删除或匿名化个人数据,最长不超过90天,除非法律要求保留。备份介质将根据正常周期进行清除。
本数据处理协议的责任受条款的约束,除非本协议中另有明确修改。各方仍然对其遵守适用的数据保护法律负责。尽管有相反规定,Shipturtle在本数据处理协议下(包括子处理方)的总责任不超过客户在事件发生前十二(12)个月内实际支付给Shipturtle的总费用(不包括退款/抵扣)。Shipturtle 不对间接、偶发、特殊或衍生损害负责。此限制优先于条款中任何不一致的规定。
优先顺序。此数据处理协议(DPA)控制数据处理事务;如果出现冲突,则由标准合同条款(SCCs)控制。
修订。Shipturtle 可能会通过发布更新版本来反映法律或行业标准的变化。重大变更将按要求通知。客户的唯一补救措施是终止服务。
可分性。如果任何条款无效,其余条款仍然有效。
数据主体:最终客户、账户用户、收件人、供应商/合作伙伴联系人。
分类:联系人数据,订单/交易数据,账户/使用数据,支持沟通。
特别类别:非预期。如果提交,客户需对合法依据负责。
目的:提供和支持服务,数据同步,防止欺诈,安全,分析,法律合规。
保留:根据第九节。
Shipturtle 维护适当的安全管理措施,包括:基于角色的访问权限、多因素认证、加密、网络安全、漏洞管理、安全开发实践、渗透测试、日志/监控、事件响应、完整性检查的备份、人员培训、供应商风险管理和数据最小化。
在美国州隐私法适用的情况下,Shipturtle 作为服务提供商/处理者,不会出售或分享个人数据,并将根据要求协助处理消费者请求。
对于运营 Shipturtle 业务所需的有限活动(例如,遥测、安全日志、欺诈预防、合规、分析),Shipturtle 作为独立控制者。在此类处理过程中,适用 Shipturtle 的隐私政策。