Shopify 데이터 프로세싱 계약

2025년 7월 25일부터 데이터 프로세싱 계약이 업데이트됩니다. 변경 사항을 검토하려면 여기를 클릭하세요.
최종 업데이트일: 2024년 9월 10일

Shopify 데이터 프로세싱 계약

I. 목적

이 Shopify 데이터 프로세싱 계약(“DPA”)은 Shopify 서비스 약관에 포함되며, 귀하(또는 “판매자”)와 Shopify 서비스 약관에 명시된 Shopify 계약 당사자(“Shopify”) 사이에 체결된 계약의 일부를 구성합니다. 이 DPA는 Shopify 서비스 약관 및 귀하가 선택하여 사용하는 추가 Shopify 서비스에 적용되는 모든 조건과 함께, DPA와 관련된 특정 비즈니스 목적 및 서비스를 규정합니다. 약관과 이 DPA 사이에 충돌이 발생하는 경우, 이 DPA는 귀하의 개인 데이터 처리와 관련하여 우선 적용됩니다.

이 DPA에 따른 개인 데이터 처리가 유럽 경제 지역(“EEA”), 영국(“UK”) 또는 스위스의 데이터 보호 요건에 적용되는 경우, ** 부록 C ** 는 이 DPA를 보완합니다. 본 DPA의 다른 조항과 부록 C 사이에 충돌이 발생하는 경우, 부록 C가 EEA, UK 및 스위스 개인정보 보호 요건에 따라 귀하의 개인 데이터 처리에 적용됩니다.

귀하와 Shopify(각각 “당사자”, 함께 “당사자들”)는 본 DPA가 본 약관 및 귀하의 서비스 이용과 관련된 귀하의 개인 데이터 처리에 적용되는 당사자들의 의무를 규정함을 동의합니다. 명확성을 위해, 본 DPA는 Shopify가 데이터 컨트롤러로서 처리하는 개인 데이터(예: 고객의 직접적인 관계 또는 Shopify와의 의도적인 상호작용을 통해 Shopify가 받는 고객의 개인 데이터 등)에는 적용되지 않습니다.

II. 정의

본 DPA에서 사용되었으나 정의되지 않은 대문자로 표시된 용어는 본 약관에서 동일한 의미를 갖습니다.

A. 적용 가능한 데이터 보호법: 약관, 해당 시행 규정 및 보조 법률에 따라 Shopify가 귀하의 개인 데이터를 처리하는 데 적용되는 모든 데이터 보호 또는 개인정보 보호법(해당되는 경우 판매자 및/또는 고객의 위치 또는 거주지에 따라 수시로 개정, 업데이트 또는 대체될 수 있음)을 포함합니다:

1. 캐나다 개인 정보 보호 및 전자 문서법 2000년(“PIPEDA”)

2. (a) 캘리포니아 소비자 개인정보 보호법(캘리포니아 개인정보 권리법으로 개정된 것)(“CCPA”), (b) 버지니아 소비자 데이터 보호법, (c) 콜로라도 개인정보 보호법, (d) 커네티컷 데이터 개인정보 보호법, (e) 유타 소비자 개인정보 보호법, (f) 오레곤 소비자 개인정보 보호법, (g) 텍사스 데이터 개인정보 및 보안법, (h) 몬태나 소비자 데이터 개인정보 보호법 및 (i) 효력이 발생할 경우 미국 다른 주에서 제정된 유사한 포괄적 개인정보 보호법(이하 “미국 데이터 보호법”)

3. 일반 데이터 보호 규정(EU 규정 2016/679)(“GDPR”) 및 적용 가능한 국가별 시행법

4. EU 전자개인정보 보호 지침(지침 2002/58/EC)(“전자개인정보 보호법”)

5. 영국 일반 데이터 보호 규정(“UK GDPR”) 및 영국 데이터 보호법 2018(“UK DPA”)

6. 싱가포르 개인 데이터 보호법 2012(“PDPA”) 및

7. 스위스 연방 데이터 보호법(“Swiss FDPA”)

B. 고객: 귀하의 스토어를 방문하거나, 상호작용하거나, 제품, 상품 또는 서비스를 구매하는 개인 또는 단체.

C. 개인 데이터: 적용되는 데이터 보호 법률에 따라 '개인 데이터', '개인 정보', 또는 '개인 식별 가능 정보'(또는 이와 유사한 용어)로 정의된 정보 또는 데이터로, 귀하(또는 귀하를 대신하여 행동하는 타사)가 서비스 이용 과정에서 Shopify(또는 Shopify를 대신하여 행동하는 타사)에게 제공한 귀하의 고객에 관한 정보, 그리고 서비스 이용 과정에서 귀하가 Shopify와 공유하기로 선택한 귀하의 고객에 관한 기타 개인 데이터. 명확성을 위해, Shopify가 데이터 컨트롤러로서 처리하거나 고객의 Shopify 또는 다른 Shopify 판매자와의 직접적인 관계 또는 의도적인 상호작용을 통해 수신한 고객에 대한 개인 데이터는 개인 데이터에 포함되지 않습니다.

D. 데이터 권리 요청: 적용 가능한 데이터 보호법에 따라 개인이 개인 데이터와 관련된 가용한 권리를 행사하기 위해 제출한 유효하고 법적인 요청.

E. 데이터 관리자: 개인 데이터의 처리 목적 및 방법을 결정하는 당사자 또는 적용 가능한 데이터 보호법에 따라 달리 정의된 당사자.

F. 데이터 처리자 또는 서비스 제공자: 당사자 또는 데이터 컨트롤러의 지시 및 지시에 따라 개인 데이터를 대신하여 서비스를 제공하고 처리하는 기타 법인 또는 사업체로서, 해당 데이터 보호법에 따라 해석되어야 합니다.

G. 개인 데이터 유출: 귀하의 개인 데이터와 관련하여, 적용되는 데이터 보호법에 따라 해석됩니다.

H.처리,” “처리,” 또는 “처리”: (a) 개인 데이터 또는 개인 데이터 집합에 대해 자동화된 수단 여부와 관계없이 수행되는 모든 작업 또는 작업의 집합, 예를 들어 수집, 기록, 조직화, 구조화, 저장, 적응 또는 변경, 검색, 조회, 사용, 전송을 통한 공개, 배포 또는 기타 방법으로 제공, 일치 또는 결합, 제한, 삭제 또는 파기 또는 (b) 적용되는 데이터 보호법에 따라 해당 용어에 부여된 정의.

I.하위 처리자”: Shopify의 지시에 따라 서비스를 제공하기 위해 개인 데이터를 처리할 수 있는 계열사 또는 타사 데이터 처리자 또는 서비스 제공자.

J.귀하,” “귀하의,” 또는 “판매자”: Shopify와 서비스 약관의 당사자로서 서비스를 사용하는 기업을 의미합니다.

III. 처리의 성격 및 당사자의 역할

Shopify는 귀하에게 서비스를 제공하기 위해 귀하의 개인 데이터를 수신하고 처리하며, 아래에 달리 명시된 경우를 제외합니다. 귀하가 요청하거나 사용하는 서비스에 따라 Shopify는 **부록 A,**에 명시된 개인 데이터 범주를 해당 부록에 포함된 방식 및 근거에 따라 처리합니다.

Shopify는 귀하의 개인 데이터를 서비스 제공 및 개선을 위해 필요한 범위 내에서 데이터 처리자 또는 서비스 제공자로서 처리하거나, 적용되는 데이터 보호 법규에 따라 허용되는 경우에만 처리합니다. 서비스 제공 및 지속적인 개선의 일환으로 Shopify는 귀하의 개인 데이터를 집계, 익명화 또는 식별 불가능하게 처리할 수 있습니다.

Shopify가 귀하로부터 익명화된 개인 데이터를 수신한 경우, Shopify는 해당 데이터를 익명화된 형태로만 유지 및 사용합니다.

IV. 당사자의 의무

다음 섹션은 본 DPA에 적용되는 개인 데이터의 처리와 관련하여 당사자의 각각의 의무를 설명합니다.

A. 일반 규정 준수

1. 당사자는 적용되는 데이터 보호법에 따른 각각의 의무를 준수합니다.

2. Shopify는 적용되는 데이터 보호 법률에 따른 귀하의 의무를 해석하거나 조언할 의무가 없습니다. 이는 본 DPA에 적용되는 개인 데이터에 대한 의무도 포함됩니다. 귀하는 기술적 및 조직적 조치가 귀하의 독립적인 법적 및 규제 의무와 일치하는지 평가하는 것을 포함하여, 귀하의 법적 및 규제 의무를 결정하는 데 전적으로 책임집니다.

B. Shopify의 의무

1. 데이터 보안
Shopify는 부록 B에 명시된 바와 같이 귀하의 개인 데이터를 무단 또는 불법적인 처리로부터 보호하고, 우발적인 손실, 파괴, 손상, 도난, 변경 또는 공개로부터 보호하기 위해 적절한 기술적 및 조직적 조치를 구현하고 유지합니다.

2. 개인 데이터 침해 통지 및 조사
a) 관련 데이터 보호법에서 요구하는 바에 따라 Shopify는 개인 데이터 침해가 확인되면 귀하에게 통지를 제공합니다.

b) 해당 통지에는 Shopify가 합리적으로 입수 가능한 범위 내에서 적용되는 데이터 보호 법률에서 요구하는 정보가 포함됩니다. Shopify의 개인 데이터 유출에 대한 응답 또는 통지는 Shopify의 과실 또는 책임 인정으로 해석되지 않습니다.

c) Shopify는 모든 개인 데이터 침해를 조사하고 그 영향을 식별, 예방, 완화 및 해결하기 위해 상업적으로 합리적인 노력을 기울이는 데 동의합니다.

3. 데이터 권리 요청
a) 적용 가능한 데이터 보호 법률에서 요구하는 범위 내에서, Shopify는 귀사가 서비스 사용과 관련하여 고객으로부터 받은 데이터 권리 요청을 처리하고 응답할 수 있도록 지원합니다.

b) 이러한 데이터 권리 요청에 대응하는 데 도움을 받으려면 Shopify가 다른 메커니즘을 통지하지 않는 한, Shopify 판매자 관리 콘솔/포털을 통해 요청을 Shopify에 전달하십시오.

C. 개인 데이터에 대한 귀하의 의무

1. 개인정보 고지 및 투명성: 귀하는 본 약관 및 서비스 이용과 관련하여 개인 데이터를 처리하는 과정에서 적용되는 모든 개인정보 보호법상의 고지 및 투명성 의무를 준수하고 있음을 보증합니다. 적용 가능한 데이터 보호법에 따라 필요한 경우, 귀하는 Shopify가 본 DPA와 관련하여 개인 데이터를 법적으로 공정하게 처리하기 위해 필요한 모든 공개 사항을 관련 개인에게 통지해야 하며, 이는 Shopify의 개인정보처리방침 또는 귀하의 자체 개인정보처리방침
으로의 링크를 제공하는 것을 포함합니다.

2. 고객의 권리와 동의: 귀하는 본 약관, 귀하가 받는 서비스의 이용 및 적용 가능한 데이터 보호법에 따라 Shopify에 개인 데이터를 제공하기 위해 필요한 모든 권리, 동의 및 허가를 보유하고 있음을 진술하고 보증합니다.

3. 데이터 권리 요청: 귀하는 적용 가능한 데이터 보호법에 따라 Shopify가 처리하는 모든 개인 데이터에 대해 귀하가 데이터 컨트롤러인 경우, 귀하의 고객이 데이터 권리 요청을 행사할 수 있도록 하는 기능을 제공한다는 것을 진술하고 보증합니다.

4. 규제 기관의 문의: 적용 가능한 법률에 의해 금지되지 않는 한, 귀하는 서비스 이용과 관련하여 정부, 규제 기관 또는 기타 타사로부터 받은 문의 또는 불만 사항을 약관의 통지 조항에 따라 즉시 당사에게 통지합니다.

V. 미국 데이터 보호 법률

이 조항은 다음 조건이 모두 충족되는 경우에만 적용됩니다. (i) 귀하의 서비스 사용과 관련하여 미국 데이터 보호법이 적용되며 (ii) 다음 조항이 미국 데이터 보호법에 의해 요구되며, 귀하가 해당 법률에 따른 “사업자” 또는 “처리자”에 해당합니다.

A. Shopify는 다음을 수행하지 않습니다. (i) 본 DPA 및/또는 이용 약관에 명시된 제한적이고 특정된 목적 외의 목적으로 귀하와의 직접적인 사업 관계 외에서 해당 개인 데이터를 보관, 사용 또는 공개하지 않으며, 특히 본 DPA 및/또는 이용 약관에 명시된 제한적이고 특정된 목적 외의 상업적 목적으로 해당 개인 데이터를 보관, 사용 또는 공개하지 않습니다. (ii) ” 판매” 또는 ‘공유’하지 않을 것이며, (iii) 해당 개인 데이터를 다른 출처에서 받은 개인 데이터와 결합하지 않을 것입니다. 단, 미국 데이터 보호 법률에 따라 허용되는 경우를 제외합니다.

B. Shopify는 (i) 해당 법률이 기업 또는 데이터 컨트롤러에게 요구하는 동일한 수준의 개인정보 보호를 제공하며, 해당 의무를 더 이상 이행할 수 없다고 판단하는 경우 귀하에게 통지하며, 이 경우 귀하는 해당 개인 데이터의 무단 처리를 중단하거나 시정하기 위해 합리적이고 적절한 조치를 취할 수 있습니다. (ii) 개인 데이터를 처리하도록 권한을 부여한 인력이 서면 비밀 유지 계약을 체결하거나 법적 비밀 유지 의무에 따르도록 보장합니다. (iii) 합리적인 서면 요청 시, Shopify가 해당 개인 데이터를 미국 데이터 보호 법령과 일치하는 방식으로 사용하도록 귀사가 합리적이고 적절한 조치를 취할 수 있도록 지원하기 위해, Shopify의 정보 보안 프로그램에 대한 합리적인 평가를 보여주는 SOC2 보고서를 제공하며 (iv) 귀사에 대한 서비스 종료 시, Shopify는 개인 데이터를 삭제하거나 익명화하기 위한 삭제 절차를 시작합니다.

C. 귀하는 귀하가 존중하기로 약속한 옵트아웃 권리를 행사한 개인의 개인 데이터 또는 해당 민감한 데이터의 처리에 동의하지 않은 개인의 민감한 개인 데이터를 Shopify와 공유하지 않을 것을 진술하고 보증합니다.

VI. 기타

A. 글로벌 데이터 전송
귀하는 Shopify, 그 계열사 또는 타사 서비스 제공업체가 위치한 국가(싱가포르 및 캐나다 포함)로 개인 데이터가 전송 및 처리될 수 있음을 인정합니다. 이러한 수신자에게 개인 데이터를 전송하는 경우 적용되는 데이터 보호법에 따라 수행됩니다. Shopify가 유럽 경제 지역(EEA), 영국 또는 스위스에서 개인정보 보호 요건을 준수해야 하는 경우 국제 데이터 전송에 대한 자세한 내용은 부록 C의 II(B)(8)항을 참조하십시오.

B. 법적 요청에 대한 대응

  1. 귀하는 Shopify가 귀하에게 서비스를 제공하는 과정에서 귀하의 개인 데이터를 (i) 법적 요구사항을 준수하거나 법원 명령 또는 기타 유사한 정부 또는 규제 기관의 요구에 응답하기 위해 또는 (ii) 사기, 신체적 안전에 대한 위협, 불법 활동, 계약 위반(예: 약관) 또는 당사의 정책(예: 적절한 사용 정책) 위반을 방지하거나 조사하기 위해 공유할 수 있음을 인정합니다.

  2. Shopify는 해당 개인 데이터를 제공하기 전에 해당 공개가 적용되는 데이터 보호 법률에 따라 허용되며, 적용되는 법적 프레임워크에 따라 기밀 정보로 처리되도록 합리적인 노력을 기울일 것입니다.

C. 기업 거래 시의 공개
귀하는 Shopify가 귀하에게 서비스를 제공하는 과정에서 기업 또는 구조조정 거래의 잠재적 상대방과 개인 데이터를 공유해야 할 수 있음을 인정합니다.

D. Shopify의 하위 처리자/서비스 제공자 사용

  1. 귀하는 Shopify가 귀하에게 서비스를 제공하는 과정에서 개인 데이터를 처리하기 위해 하위 처리자를 사용할 수 있음을 인정합니다. Shopify는 사용 중인 모든 하위 처리자의 최신 목록을 유지합니다. 적용 가능한 데이터 보호 법률이 귀하에게 해당 권리를 부여하는 경우, 귀하는 Shopify의 하위 처리자 사용에 반대할 수 있으며, Shopify가 해당 요청을 수용할 수 없거나 거부하는 경우, 귀하는 해당 법률에 따라 해당 통지 후 30일 이내에 영향을 받은 서비스의 사용을 종료할 수 있습니다.

  2. Shopify가 귀하가 제공한 개인 데이터를 처리하기 위해 하위 처리업체를 사용하는 경우, 이는 적용 가능한 데이터 보호법에 준수하여 이루어집니다. Shopify가 하위 처리업체를 고용하는 경우, Shopify는 해당 하위 처리업체와 본 DPA에 명시된 계약상 의무와 실질적으로 동일한 의무를 부과하는 서면 계약을 체결합니다.

E. DPA 개정
귀하는 Shopify가 본 DPA를 수시로 개정할 수 있으며, 해당 개정된 DPA는 Shopify의 웹사이트 https://shopify.com/legal/dpa에 게시됨과 동시에 효력을 발생함을 인정하고 동의합니다. Shopify의 웹사이트에 개정된 DPA가 게시된 후에도 서비스를 계속 사용하는 것은 귀하가 개정된 DPA에 동의하고 이를 수용하는 것으로 간주됩니다. DPA의 변경 사항에 동의하지 않는 경우, 서비스를 계속 사용하지 마십시오.

VII 부록

  1. 부록 A - 개인 데이터의 범주
  2. 부록 B - 데이터 보안
  3. 부록 C - GDPR, 영국 GDPR 및 스위스 데이터 프로세싱 계약

부록 A: 개인 데이터의 범주

귀하의 서비스 사용의 일부로, 그리고 귀하가 사용하는 서비스에 따라 당사는 서비스를 제공하기 위해 다음 범주의 개인 데이터를 수신하고 처리할 수 있습니다.

  • 고객 이름, 이메일, 연락처, 결제 및 배송 정보.
  • 귀하의 스토어에서 발생한 구매 및 기타 거래 정보.
  • 귀하 또는 귀하의 스토어와의 거래 상태에 대한 업데이트.
  • 귀하의 스토어에서의 고객 활동, 포함하여 조회된 제품 및/또는 쇼핑 카트에 추가된 제품.
  • 고객 선호도 신호, 포함하여 글로벌 개인정보 제어(“GPC”), 옵트아웃 및 옵트인 신호.
  • 귀하의 스토어를 방문할 때 사용된 기기 정보(IP 주소, 브라우저, 네트워크 활동 등).
  • 고객의 귀하와의 상호작용에 관한 기타 정보.
  • Shopify와 공유하기로 선택한 기타 개인 데이터.

부록 B: 데이터 보안

Shopify는 다음을 목적으로 설계된 정보 보안 프로그램을 유지합니다. (a) 귀하의 개인 데이터를 무단 또는 불법적인 처리로부터 보호하고, 우발적인 손실, 파괴, 손상, 도난, 변경 또는 공개로부터 보호하기 위해 (b) 귀하가 받는 서비스의 보안 및 가용성에 대한 합리적으로 예측 가능한 위험을 식별하기 위해 및 (c) 서비스에 대한 보안 위험을 최소화하기 위해.

I. Shopify의 정보 보안 프로그램에는 다음 보안 조치가 포함됩니다.

A. 논리적 보안

  1. 접근 제어 Shopify는 시스템에 대한 접근을 승인된 인원에게만 제한하며, 서비스의 유지보수 및 제공을 위해 필요한 경우에만 허용합니다. Shopify는 방화벽 및 기타 기술 또는 인증 제어 수단을 포함하여 시스템 접근 권한을 관리하기 위한 접근 제어 및 정책을 유지합니다.

  2. 제한된 사용자 액세스 Shopify는 (i) 직원 직무 기능에 따라 최소 권한 원칙에 따라 시스템 액세스를 할당하고 제한하며, (ii) 시스템 액세스에 대해 두 단계 인증(2FA)을 요구합니다.

  3. 취약점 평가 Shopify는 서비스에서 식별된 문제를 조사하고 해결하기 위해 취약점 평가 및 침투 테스트 프로그램을 유지합니다.

  4. 응용 프로그램 보안 Shopify는 서비스에 대한 응용 프로그램 보안 위협으로부터 보호하기 위해 응용 프로그램 보안 프로그램을 유지합니다.

  5. 변경 관리 Shopify는 기존 서비스 리소스에 대한 변경을 기록, 승인, 테스트, 승인 및 문서화하기 위해 설계된 통제 조치를 유지하며, 변경 세부 사항을 변경 관리 또는 배포 도구 내에 문서화합니다. Shopify는 생산 환경으로의 마이그레이션 전에 변경 사항을 변경 관리 표준에 따라 테스트합니다.

  6. 데이터 무결성 Shopify는 서비스 내 데이터 전송, 저장 및 처리 과정에서 데이터 무결성을 보장하기 위해 설계된 통제 조치를 유지합니다.

  7. 가용성 Shopify는 (i) 서비스의 고장으로 인한 영향을 최소화하기 위해 적절한 경우 서비스에 중복성을 구현하며, (ii) 서비스가 고장을anticipate하고 견딜 수 있도록 설계하며, (iii) 고장으로부터 복구하기 위해 필요한 경우 개인 데이터 트래픽을 영향을 받은 영역에서 이동시키기 위한 적절한 프로세스를 구현합니다.

  8. 비즈니스 연속성 및 재해 복구 Shopify는 Shopify가 제공하는 서비스를 방해하거나 중대하게 저해할 수 있는 사건에 대비하여 핵심 비즈니스 기능의 연속성을 지원하기 위한 위험 관리 프로그램을 유지합니다. 이 프로그램에는 해당 사건의 식별, 대응, 복구를 위한 프로세스 및 절차가 포함됩니다.

  9. 사고 관리 Shopify는 보안 또는 가용성 사고를 보고하고, 보안 또는 가용성 관련 질문을 제기하며, 잠재적인 보안 또는 가용성 문제에 대한 정보를 제출할 수 있도록 문서화를 제공합니다. Shopify는 서비스에 대한 잠재적인 보안 위협을 탐지, 완화, 조사 및 대응하기 위해 설계된 시정 조치 계획 및 사고 대응 계획을 유지합니다.

B. 물리적 보안 서비스 보호를 위해 필요한 경우 Shopify는 (i) 서비스에 대한 무단 물리적 접근, 손상 또는 방해를 방지하기 위해 합리적인 조치를 구현하며, (ii) 서비스에 대한 물리적 접근을 해당 접근이 필요한 정당한 업무 목적의 승인된 인원에게만 제한하도록 설계된 적절한 제어 장치를 사용하며, (iii) 이러한 기준 준수 여부를 검증하기 위해 정기적인 검토를 수행합니다.

C. Shopify 직원 개인 데이터에 접근 권한이 있는 Shopify 직원은 고용 계약의 일부로 기밀 유지 의무를 준수해야 합니다. Shopify는 Shopify 정보 보안 요구사항에 대한 직원 보안 교육 프로그램을 수립하고 유지합니다. 보안 인식 교육 프로그램은 정기적으로 검토 및 업데이트됩니다.

II. 본 부록의 수정 사항

Shopify는 수시로 보안 조치를 검토하고 단독 재량으로 본 부록을 업데이트할 수 있습니다. 이러한 업데이트는 Shopify가 업데이트된 버전을 게시하는 날짜를 기준으로 본 부록의 이전 버전을 대체합니다.

부록 C: GDPR, 영국 GDPR 및 스위스 데이터 프로세싱 계약

개인 데이터의 처리가 유럽 경제 지역(“EEA”), 영국(“UK”), 또는 스위스(집합적으로 “유럽 데이터 보호 법령”)의 데이터 보호 요건에 적용되는 경우, 부록 C는 이 DPA를 보완합니다.

I. 처리의 성격 및 당사자의 역할

A. 개인 데이터

  1. 본 부록에서 귀하는 귀하의 개인 데이터 처리에 대해 데이터 컨트롤러로서, Shopify는 데이터 프로세서로서 역할을 수행합니다. 이는 부록 1에 명시된 대로 귀하의 개인 데이터를 처리하여 계약에 명시된 비즈니스 목적을 달성하고 귀하가 선택한 서비스를 제공하기 위해 필요한 범위 내에서 적용됩니다.
  2. 명확성을 위해, Shopify는 고객의 직접적인 관계 또는 Shopify와의 의도적인 상호작용을 통해 Shopify가 받는 고객에 관한 개인 데이터에 대해 독립된 데이터 관리자로서 역할을 수행합니다. 이는 Shopify의 개인정보처리방침에 설명된 바와 같습니다.

II. 당사자의 의무

A. 귀하의 의무

귀하는 다음을 준수해야 합니다.

  • 본 부록 이행 시 귀하에게 적용되는 유럽 데이터 보호 법규 및
  • DPA에 명시된 귀하의 의무(본 부록에 명시된 의무를 포함함).

귀하는 개인 데이터(Shopify에 제공되는 데이터 포함)를 처리하는 데 유효한 법적 근거를 보유하고 있으며, 유럽 데이터 보호법에 따라 Shopify에 개인 데이터를 공개하는 것과 관련하여 필요한 동의, 권리 및 승인을 획득하고 개인에게 필요한 통지를 제공했음을 진술하고 보증합니다. 이는 Shopify가 서비스를 제공하기 위해 개인 데이터를 처리할 수 있도록 하기 위함입니다.

B. Shopify의 의무

1. 데이터 관리자의 지시 및 유럽 데이터 보호법 위반

a) 당사자들은 본 약관과 본 DPA가 Shopify의 귀하의 개인 데이터 처리와 관련한 귀하의 문서화된 지시사항을 구성함을 동의합니다. (“문서화된 지시사항”)

b) Shopify는 처리자로서 개인 데이터를 다음과 같이 처리합니다. (i) 귀하의 문서화된 지시에 따라, 또는 (ii) Shopify가 적용되는 법률에 따른 의무를 준수하기 위해, 단 유럽 연합 또는 유럽 연합 회원국의 법률에 따른 통지 요건이 적용되는 경우를 제외합니다.

c) Shopify는 귀하의 지시가 유럽 데이터 보호 법규를 위반한다고 합리적으로 판단하는 경우 귀하에게 통지합니다(그러나 Shopify는 귀하의 유럽 데이터 보호 법규 준수 여부를 적극적으로 모니터링할 의무는 없습니다).

2. 기밀 유지 의무

Shopify는 개인 데이터를 처리하도록 권한을 부여한 자들이 서면 기밀 유지 계약을 체결하거나 법적 기밀 유지 의무에 따르도록 보장합니다.

3. 보안 조치

a) Shopify는 부록 2에 명시된 바와 같이 귀하의 개인 데이터를 무단 또는 불법적인 처리, 우발적인 손실, 파괴, 손상, 도난, 무단 접근, 변경 또는 공개로부터 보호하기 위해 적절한 기술적 및 조직적 조치를 구현하고 유지합니다.

b) 개인 데이터의 성격 및 관련 처리 내용을 고려하여, Shopify는 귀사가 유럽 데이터 보호 법규에 따른 보안 의무를 이행하는 데 필요한 합리적인 지원을 제공할 것입니다.

c) Shopify는 귀하의 개인 데이터가 전송, 저장 또는 기타 방법으로 처리되는 과정에서 보안 침해로 인해 우발적 또는 불법적인 파괴, 손실, 변경, 무단 공개 또는 접근이 발생한 경우, 이를 인지한 즉시 귀하에게 통지합니다.

d) Shopify는 이러한 보안 침해를 조사하고 상업적으로 합리적인 노력을 기울여 그 영향을 완화합니다.

4. 하위 처리자

a) 귀하는 Shopify가 개인 데이터를 처리하기 위해 하위 처리자를 고용할 수 있음을 일반적으로 승인합니다. 귀하는 또한 Shopify가 그 계열사를 하위 처리자로 고용할 수 있음을 추가로 동의합니다.

b) Shopify가 귀하의 개인 데이터를 처리하기 위해 하위 처리자를 사용하는 것은 유럽 데이터 보호법에 부합합니다.

c) Shopify는 부수처리자 목록을 최신 상태로 유지합니다. Shopify는 부수처리자 목록을 적절히 업데이트하고, 부수처리자의 추가 또는 교체 시 귀하에게 통지받을 수 있는 방법을 제공합니다. 귀하는 Shopify의 새로운 부수처리자 사용에 반대할 수 있습니다.

d) 귀하가 Shopify의 하위 처리자 사용에 이의를 제기하고 Shopify가 해당 요청을 수용할 수 없거나 수용하지 않을 경우, 귀하는 해당 통지 후 30일 이내에 해당 서비스의 사용을 종료할 수 있습니다.

e) Shopify가 새로운 하위 처리업체를 고용하는 경우, Shopify는 해당 하위 처리업체와 서면 계약을 체결하며, Shopify는 해당 하위 처리업체에 본 DPA에 명시된 것과 실질적으로 동일한 계약상 의무를 부과합니다. Shopify는 본 DPA의 조건에 따라 각 하위 처리업체의 서비스를 직접 제공하는 경우와 동일한 범위에서 해당 하위 처리업체의 행위 및 소홀함에 대해 전적으로 책임을 집니다. Shopify의 책임은 본 약관에 명시된 조건 및 책임 제한에 따릅니다.

5. 컨트롤러에 대한 지원
귀하의 개인 데이터 및 관련 처리의 성격을 고려하여, Shopify는 귀하가 합리적으로 요청하는 범위 내에서 귀하가 의무를 준수하는 데 필요한 합리적인 지원을 제공합니다.

  • 유럽 데이터 보호법에 따른 데이터 권리 요청에 응답하는 것
  • 개인 데이터 유출 사고를 관련 당국 및/또는 데이터 주체에게 통지하는 것
  • 데이터 보호 영향 평가 및 사전 상담을 수행하는 것
  • 제3조에 따라 처리의 보안을 확보하는 것.

6. 준수 평가

a) Shopify는 유럽 데이터 보호법에 따라 귀하의 개인 데이터 처리와 관련하여 귀하의 감사 권리를 이행하기 위해, 귀하의 서면 요청에 따라 기밀 유지 조건 하에 다음과 같은 정보를 제공할 수 있습니다.

(i) Shopify의 자체 감사 또는 독립적인 제3자 감사인이 작성한 가장 최근 감사 보고서 결과
(ii) 데이터 보호 또는 정부 기관이 요청하는 경우 Shopify가 통제하는 추가 정보

b) 유럽 데이터 보호법이 귀하에게 이 권리를 부여하는 범위 내에서만, 귀하는 감사 권리를 행사할 수 있습니다. (i) Shopify가 제공한 감사 보고서가 Shopify의 이 DPA 및 유럽 데이터 보호법 준수 여부를 확인하기에 충분한 정보를 제공하지 않는다는 점을 독립적이고 국제적으로 인정된 감사인이 확인한 경우, 또는 (ii) 정부 기관의 감사에 대응하기 위해 필요한 경우. 각 감사는 다음 조건을 준수해야 합니다. (i) Shopify와 기밀 유지 계약을 체결한 독립적인 타사에 의해 수행되어야 합니다. (ii) 귀하가 Shopify의 본 DPA 준수 여부와 당사자의 유럽 데이터 보호법 준수 여부를 평가하기 위해 합리적으로 필요하고 상호 합의된 범위 내에서 제한되어야 합니다. (iii) 상호 합의된 날짜 및 시간에 Shopify의 정상 업무 시간 내에 진행되어야 합니다. (iv) 연간 1회 이상 진행되지 않아야 하며(유럽 데이터 보호법에 따라 요구되는 경우 제외) (v) Shopify가 관리하는 시설에만 적용되어야 하며 (vi) 개인 데이터에만 한정되어야 하며 (vii) 유럽 데이터 보호법에 따라 허용되는 범위 내에서 결과물을 기밀 정보로 처리해야 합니다. 명확성을 위해, Shopify는 본 제6조에서 귀하에게 부여된 권리를 타사와의 기밀 유지 의무에 따라 준수할 것입니다.

7. 처리 종료

a) 서비스 이용 중 귀하는 계정 도구를 통해 개인 데이터를 액세스, 본인에게 반환하거나 삭제할 수 있습니다.

b) 서비스 종료 후, Shopify는 귀하의 선택에 따라 개인 데이터를 삭제하거나 귀하에게 반환합니다. 위와 불구하고, Shopify는 다음과 같은 경우 개인 데이터를 보관할 수 있습니다. (i) 법령에 따라 요구되는 경우, 유럽 데이터 보호 법령을 포함하여 및 (ii) 표준 백업 또는 기록 보관 정책에 따라, 단, 어느 경우에도 Shopify는 보관된 개인 데이터의 기밀성을 유지하고 본 DPA의 적용되는 조항을 준수하며, 해당 법령에서 허용되는 목적 및 기간을 제외하고는 보관된 개인 데이터를 추가로 처리하지 않습니다.

8. 국제 전송

a) 유럽 데이터 보호법에 준수하는 조건 하에, Shopify International Ltd.는 본 부록 하에서 처리된 개인 데이터를 서비스 제공을 위해 필요에 따라 유럽 경제 지역(EEA), 영국 및 스위스 외로 전송할 수 있습니다(“국제 전송”).

b) 이러한 전송은 주로 캐나다에 본사를 두고 있는 Shopify Inc.로 개인 데이터를 전송하는 것을 포함하며, 이는 캐나다 개인 정보 보호 및 전자 문서법(Canadian Personal Information Protection and Electronic Documents Act)에 따라 유럽 연합 집행위원회 2002/2/EC 결정(2001년 12월 20일)에 따라 개인 데이터의 적절히 보호를 보장받습니다.

c) 유럽 데이터 보호 법령의 의미에서 데이터 보호 수준이 적절하지 않은 국가로의 국제적 데이터 전송은 다음과 같은 적절한 보호 조치를 포함하여 이루어집니다.

  • 유럽 연합 집행위원회가 2021년 6월 4일 결정 2021/914/EC를 통해 승인한 2021년 표준 계약 조항의 관련 모듈
  • 2018년 영국 데이터 보호법 S119A(1)에 따라 영국 정보위원회 사무소가 발행한 국제 데이터 전송에 대한 유럽위원회의 표준 계약 조항에 대한 국제 데이터 전송 부록
  • 1992년 6월 19일 제정되고 2001년 9월 25일 개정된 스위스 연방 데이터 보호법(개정된 내용 포함)의 요건을 충족하도록 개정된 2021년 표준 계약 조항 및
  • 현재의 조항 및 부록을 대체할 수 있는 표준 계약 조항, 국제 데이터 전송 부록 또는 기타 조항, 부록 또는 전송 메커니즘.

d) Shopify는 단독 재량으로 데이터 전송이 적용되는 법률을 준수하기 위해 전송 메커니즘을 변경할 수 있습니다. 표준 계약 조항에 기반한 전송이 해당 조항이 관련 당국에 의해 개정된 경우, 해당 개정된 조항 또는 유사한 계약은 본 DPA에 본문에 명시된 것과 동일하게 포함됩니다.

부록 1 - 개인 데이터

개인 데이터 처리에 대한 설명

I. 처리의 대상

판매자에 대한 Shopify 서비스 제공.

II. 데이터 주체의 범주

판매자의 고객.

III. 처리되는 개인 데이터의 범주

위의 부록 A를 참조하십시오.

IV. 전송 빈도

지속적.

V. 처리의 성격

약관에 설명된 대로 개인 데이터의 수집, 기록, 호스팅, 액세스, 사용, 전송 및 삭제.

VI. 데이터 컨트롤러를 대신하여 개인 데이터가 처리되는 목적

약관에 설명된 대로 서비스의 성능 및 개선을 위해.

VII. 처리 기간

약관 또는 해당 계약에 따른 서비스 기간과 해당 기간 만료 후 데이터의 익명화, 반환 또는 삭제까지의 기간.

VIII. 관할 감독 기관 관할 감독 기관은 아일랜드 데이터 보호 위원회입니다.

부록 2 - 보안 조치

보안 조치에 대한 정보는 DPA의 부록 B에 제공됩니다.

부록 3 - 하위 처리자 목록

Shopify가 본 약관에 따라 서비스를 제공하기 위해 사용하는 하위 처리자는 여기에 명시되어 있습니다.

하위 프로세서는 Shopify와의 계약 기간 동안 서비스와 관련하여 위에 설명된 개인 데이터 범주를 처리합니다.