本數據處理協議(“DPA”)補充並參照納入Shipturtle的[服務條款 / 主服務協議 / 訂單表](“條款”)。它自動適用於所有使用服務的客戶,當Shipturtle代表客戶處理個人數據時生效。如果本DPA與條款之間存在衝突,則在個人數據處理方面以本DPA為準。
本DPA列出了雙方關於Shipturtle為客戶處理個人資料的義務,這是與客戶使用服務有關的。除非另有明確說明,客戶作為控制者,Shipturtle作為根據本DPA處理的個人資料的處理者。
適用的資料保護法:所有適用於根據條款處理個人資料的資料保護和隱私法(包括GDPR、英國GDPR、瑞士FADP及適用的美國州隱私法)。
客戶:任何使用或受益於服務的個人或實體,並且是本條款的當事方。
個人資料:任何與已識別或可識別的自然人相關的信息,或根據適用的數據保護法律的其他定義。
處理:對個人資料所進行的任何操作(例如:收集、儲存、使用、披露、刪除)。
子處理者:Shipturtle 受聘的任何第三方,用於處理服務所需的個人數據。
服務:Shipturtle 根據條款提供的產品和/或服務。
個人資料洩漏:因安全漏洞導致意外或非法的資料毀損、遺失、更改、未經授權的披露或存取個人資料。
主題與期間。Shipturtle 僅為提供、保障及支持服務而處理個人數據,並遵守條款期間內進行。
指示。 Shipturtle 僅根據客戶在條款和本 DPA 中的書面指示處理個人數據,除非法律要求進行處理。
客戶責任。客戶需負責個人資料的準確性、品質和合法性,並提供必要的通知及獲得所需的許可。
處理器使用。Shipturtle 可能會處理個人資料以提供、維護和改善服務;確保安全;防止濫用;並遵守法律。
Shipturtle 將實施並維護適當的技術性和組織性措施(“TOMs”),以保護個人資料免受意外或非法的損毀、遺失、變更、未經授權的披露或訪問。措施包括最小權限訪問、傳輸和靜止時的加密、監控、漏洞管理和事件響應。
客戶授權 Shipturtle 聘用次處理者。Shipturtle 會維護次處理者名單並通報變更。如客戶有異議,唯一的補救措施是終止服務。Shipturtle 對其次處理者仍負責。
Shipturtle 將根據客戶的需求合理協助處理數據主體請求及法規義務,當客戶無法直接通過服務滿足請求時。Shipturtle 可能會對這類協助收取材料成本。
Shipturtle 會在得知個人數據洩露後立即通知客戶,並在任何情況下都會在可讓客戶履行法律義務的時間範圍內通知。Shipturtle 將採取措施進行控制、調查和修復。
在將個人數據轉移到非充分性國家的情況下,歐盟標準合同條款 (2021/914) 适用。客戶接受該條款“按原樣”。附錄 B(TOMs)填充了附錄。若有衝突,則以標準合同條款為準。
在終止或客戶要求下,Shipturtle 將在不超過 90 天的商業合理期限內刪除或匿名化個人數據,除非法律要求保留。備份媒介將按照正常週期被清除。
本DPA下的責任受條款約束,除非此處明確修改。每一方仍需對其遵守適用的數據保護法律負責。儘管有相反規定,Shipturtle在本DPA(包括子處理器)下的總責任不超過客戶在事件發生前12個月內實際支付的總費用(不包括退款/抵扣)。Shipturtle不對間接、附帶、特殊或後果性損害負責。此限制優先於條款中的任何不一致條款。
優先順序。本資料處理協議(DPA)控制數據處理事項;標準合約條款(SCCs)在發生衝突時控制。
修訂。Shipturtle 可透過發布更新版本來反映法律或行業標準的變更。重大變更會根據需要通知。客戶對異議的唯一補救措施是終止服務。
可分性。如果任何條款無效,其餘條款仍然有效。
數據主體:最終客戶、帳戶使用者、收件人、供應商/合作夥伴聯絡人。
類別:聯絡資料、訂單/交易資料、帳戶/使用資料、支援通訊。
特殊類別:不予承認。如有提交,客戶需承擔合法依據的責任。
目的:提供和支援服務、同步、預防詐騙、安全性、分析、法律合規。
保留:根據第九條。
Shipturtle 保持適當的 TOMs,包括:基於角色的訪問、雙重身份驗證、加密、網絡安全、漏洞管理、安全開發實踐、滲透測試、日誌/監控、事件響應、帶完整性檢查的備份、員工培訓、供應商風險管理,以及數據最小化。
在美國州隱私法適用的地方,Shipturtle 充當服務提供者/處理者,將不會出售或分享個人資料,並會協助滿足消費者的要求。
對於運營 Shipturtle 業務所需的有限活動(例如,遙測、安全日誌、欺詐防範、遵循法規、分析),Shipturtle 作為獨立控制者。在此類處理中,適用 Shipturtle 的隱私政策。