Adenda ao Processamento de Dados da Shopify

I. FINALIDADE

A presente Adenda ao Processamento de Dados (“APD”) da Shopify complementa e encontra-se incorporada por referência nos Termos de Serviço da Shopify{{site, url(path: '/legal/terms')}, juntamente com quaisquer termos aplicáveis a serviços adicionais da Shopify que opte por utilizar (“Termos”), celebrada entre o utilizador (ou “Comerciante”) e a Entidade Contratante da Shopify, conforme definida nos Termos (“Shopify”), que estabelece os fins comerciais específicos e os serviços relacionados com a presente APD. Em caso de conflito entre os Termos e a presente APD, prevalecerá a APD no que diz respeito ao tratamento dos Seus Dados Pessoais de Clientes, tal como definidos abaixo.

O Utilizador e a Shopify (cada um uma "Parte", em conjunto as "Partes"), concordam que a presente APD estabelece as obrigações das Partes que regem o tratamento dos Seus Dados Pessoais de Clientes. O Utilizador atuará como Controlador de Dados e a Shopify atuará como Processador de Dados no que diz respeito ao processamento dos Seus Dados Pessoais de Clientes, em conexão com o seu uso dos nossos Serviços que dependem do nosso processamento dos Seus Dados Pessoais de Clientes, exceto para os serviços descritos no Apêndice E.

Sempre que o tratamento de Dados Pessoais ao abrigo da presente APD estiver sujeito aos requisitos de proteção de dados no Espaço Económico Europeu (“EEE”), no Reino Unido ou na Suíça, e a Shopify atuar como Processador de Dados, o Apêndice C complementa a presente APD. Em caso de conflito entre o Apêndice C e outras secções da APD, o Apêndice C prevalecerá no que diz respeito ao tratamento dos Seus Dados Pessoais de Clientes sujeito aos requisitos de proteção de dados do EEE, RU e Suíça. Para evitar dúvidas, o Apêndice C não se aplica às atividades de tratamento descritas no Apêndice E.

Sempre que o tratamento de Dados Pessoais ao abrigo da presente APD estiver sujeito às Leis de Proteção de Dados dos EUA, e a Shopify atuar como Processador de Dados ou Fornecedor de Serviços, o Apêndice D complementará a presente APD. Em caso de conflito entre o Apêndice D e outras secções da presente APD, o Apêndice D prevalecerá no que respeita ao tratamento dos Seus Dados Pessoais de Clientes sujeitos às Leis de Proteção de Dados dos EUA. Para evitar dúvidas, o Apêndice D não se aplica às atividades de tratamento descritas no Apêndice E.

Se o utilizador receber Serviços Avançados da Shopify (conforme definido na Secção 9.2 dos Termos de Serviço)) A Shopify tratará os Seus Dados Pessoais de Clientes como um Controlador de Dados ou Empresa, conforme estabelecido no Apêndice E. Em caso de qualquer conflito entre o Apêndice E e outras seções da presente APD, o Apêndice E prevalecerá com relação ao tratamento pela Shopify dos Seus Dados Pessoais de Clientes como um Controlador de Dados ou Empresa.

Para evitar dúvidas, a presente APD não se aplica ao tratamento pela Shopify de quaisquer Dados Pessoais sobre Clientes que receba como resultado do relacionamento do Cliente com a Shopify por meio de serviços como Shop e Shop Pay.

II. DEFINIÇÕES

Os termos iniciados por letra maiúscula utilizados mas não definidos na presente ADP terão o significado que lhes é atribuído nos Termos:

A. Leis de Proteção de Dados Aplicáveis: todas as leis de proteção de dados ou de privacidade aplicáveis ao tratamento, por parte da Shopify, dos Dados Pessoais ao abrigo dos Termos, incluindo os respetivos regulamentos de aplicação e legislação complementar, conforme possam ser alterados, atualizados ou substituídos ocasionalmente, incluindo as leis aplicáveis com base na localização ou residência do Comerciante e/ou dos Seus Clientes.

B. Cliente: pessoa singular ou entidade que visita, interage com e/ou adquire um produto, bem ou serviço na(s) sua(s) Loja(s).

C. Pedido de Exercício de Direitos sobre Dados: pedido válido e legal apresentado por uma pessoa para exercer os direitos disponíveis relativamente a Dados Pessoais ao abrigo de uma Lei de Proteção de Dados Aplicável.

D. Controlador de Dados ou Empresa: a Parte que determina as finalidades e os meios do tratamento de Dados Pessoais, ou conforme definido de outra forma por qualquer Lei de Proteção de Dados Aplicável.

F. Processador de Dados ou Fornecedor de Serviços: a Parte, entidade ou empresa que presta serviços em nome do Controlador de Dados e trata Dados Pessoais conforme instruções e em nome deste ou tal como estabelecido nas Leis de Proteção de Dados Aplicáveis.

F. Dados Pessoais: informações ou dados definidos como “dados pessoais”, “informações pessoais” ou “informações de identificação pessoal” (ou termo análogo) ao abrigo das Leis de Proteção de Dados Aplicáveis.

G. Violação de Dados Pessoais: relativamente aos Seus Dados Pessoais de Clientes, deve ser interpretada de acordo com a Lei de Proteção de Dados Aplicável.

H. “Tratar”, “trata” ou “tratamento”: a) qualquer operação ou conjunto de operações efetuadas sobre Dados Pessoais ou conjuntos de Dados Pessoais, por meios automatizados ou não, tais como a recolha, o registo, a organização, a estruturação, o armazenamento, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, o alinhamento ou a combinação, a limitação, o apagamento ou a destruição; ou b) a definição atribuída a esses termos pela Lei de Proteção de Dados Aplicável.

I. “Subprocessador(es)”: empresas afiliadas ou Subcontratantes ou Fornecedores de Serviços terceiros que podem tratar Dados Pessoais sob orientação da Shopify, com a finalidade de prestar os Serviços.

J. “Si”, “Seu/Sua” ou “Comerciante”: significa cada empresa que opera e que utiliza ou beneficia dos Serviços, dos Serviços Avançados ou de outros Serviços Adicionais e que é Parte dos Termos com a Shopify.

K. "Os Seus Dados Pessoais de Clientes": Dados Pessoais de ou sobre os seus Clientes, excluindo quaisquer Dados Pessoais sobre Clientes que a Shopify receba como resultado do relacionamento do Cliente com a Shopify, que é regido pela Política de Privacidade dos Consumidores da Shopify e não por a presente APD.

III. NATUREZA DO TRATAMENTO E FUNÇÕES DAS PARTES

A Shopify enquanto Processador de Dados ou Fornecedor de Serviços. A Shopify recebe e trata os Seus Dados Pessoais de Clientes para lhe prestar os Serviços e conforme estabelecido abaixo. Consoante os Serviços que solicitar ou utilizar, a Shopify tratará as categorias de Dados Pessoais indicadas no Apêndice A, da forma e com os fundamentos aí descritos.

A Shopify tratará os Seus Dados Pessoais de Clientes como um Processador de Dados ou Fornecedor de Serviços apenas para fornecer os Serviços instruídos nos Termos e quaisquer Termos suplementares e conforme necessário para fornecer, desenvolver e melhorar os seus Serviços e envolver-se em quaisquer outros fins permitidos pelas Leis de Proteção de Dados Aplicáveis.

A Shopify enquanto Controlador de dados ou Empresa. A Shopify tratará os seus Dados Pessoais de Clientes como Controlador de Dados ou Empresa a) nas circunstâncias e da forma estabelecidas no Apêndice E e b) para quaisquer fins adicionais compatíveis com as instruções do Cliente e a Lei de Proteção de Dados Aplicável.

IV. OBRIGAÇÕES DAS PARTES

A secção seguinte descreve as obrigações respetivas das Partes no que diz respeito ao tratamento dos Dados Pessoais abrangidos pela presente APD.

A. Conformidade geral

1. As Partes cumprirão as respetivas obrigações ao abrigo das Leis de Proteção de Dados Aplicáveis.

2. A Shopify não terá qualquer obrigação de interpretar ou aconselhar o Utilizador quanto às Suas obrigações ao abrigo das Leis de Proteção de Dados Aplicáveis, incluindo no que respeita ao tratamento dos Dados Pessoais abrangidos pela presente APD. É da exclusiva responsabilidade do Utilizador determinar as Suas obrigações legais e regulamentares, incluindo avaliar se as medidas técnicas e organizativas dos Serviços estão em conformidade com essas obrigações legais e regulamentares autónomas.

B. Obrigações da Shopify

1. Segurança dos Dados
A Shopify implementará e manterá medidas técnicas e organizativas adequadas, concebidas para proteger os Seus Dados Pessoais de Clientes contra o tratamento não autorizado ou ilícito e contra a perda, destruição, dano, roubo, alteração ou divulgação acidentais, conforme estabelecido no Apêndice B.

2. Notificação e investigação de violação de dados pessoais

a) Conforme exigido pelas Leis de Proteção de Dados Aplicáveis, a Shopify notificará o Utilizador assim que confirmar qualquer Violação de Dados Pessoais.

b) Essa notificação incluirá as informações exigidas ao abrigo das Leis de Proteção de Dados Aplicáveis, na medida em que tais informações estejam razoavelmente disponíveis para a Shopify. A resposta da Shopify a, ou a notificação de, uma Violação de Dados Pessoais não constitui um reconhecimento de culpa ou responsabilidade por parte da Shopify.

c) A Shopify compromete-se a investigar qualquer Violação dos Dados Pessoais e a envidar esforços comercialmente razoáveis para identificar, prevenir, atenuar e corrigir os respetivos efeitos.

C. As suas Obrigações em relação aos Dados Pessoais

1. Avisos de Privacidade e Transparência: o utilizador declara e garante que cumpre todas as obrigações previstas nas Leis de Proteção de Dados Aplicáveis no que diz respeito à prestação de informação e à transparência relativamente ao tratamento dos Seus Dados Pessoais de Clientes ao abrigo dos Termos e no contexto da utilização dos Serviços. Em conformidade com as Leis de Proteção de Dados Aplicáveis, o utilizador deverá comunicar às pessoas em causa todas as informações necessárias para que a Shopify possa tratar os Seus Dados Pessoais de Clientes de forma lícita e justa ao abrigo da presente APD, incluindo quando beneficie de Serviços Avançados ou de outros Serviços Adicionais, nomeadamente através da disponibilização de uma ligação para a Política de Privacidade dos Consumidores da Shopify e para a sua própria Política de Privacidade, bem como de outras informações, conforme previsto na Secção 9.2.5 dos Termos.

2. Direitos e Permissões do Cliente: O Utilizador declara e garante que tem todos os direitos, permissões e consentimentos necessários para disponibilizar os Seus Dados Pessoais de Clientes à Shopify e para que a Shopify trate os Seus Dados Pessoais de Clientes para que o Utilizador receba os Serviços, incluindo os Serviços Avançados ou outros Serviços Adicionais que receba, de acordo com os Termos, a presente APD e as Leis de Proteção de Dados Aplicáveis.

3. Pedidos de Exercício de Direitos sobre os Dados: O Utilizador declara e garante que fornece a capacidade de os seus Clientes exercerem Pedidos de Exercício de Direitos sobre os Dados, conforme exigido pelas Leis de Proteção de Dados Aplicáveis, no que diz respeito ao tratamento dos Seus Dados Pessoais de Clientes pela Shopify para os quais o Utilizador é o Controlador de Dados.

4. Pedidos de Informação Regulatórios: salvo se proibido pela legislação aplicável, o Utilizador compromete-se a notificar-nos de forma imediata, de acordo com a cláusula de Notificação constante dos Termos, sobre qualquer inquérito ou reclamação por parte de autoridades governamentais, reguladoras ou de terceiros relacionada com a sua utilização dos Serviços.

V. DISPOSIÇÕES DIVERSAS

A. Transferências Globais de Dados
O utilizador reconhece que os Seus Dados Pessoais de Clientes podem ser transferidos e tratados em qualquer país onde a Shopify, as suas empresas afiliadas ou fornecedores de serviços terceiros estejam localizados (incluindo Singapura e o Canadá). Qualquer transferência dos Seus Dados Pessoais de Clientes para esses destinatários será efetuada em conformidade com as Leis de Proteção de Dados Aplicáveis. Para mais informações sobre transferências internacionais de dados, quando a Shopify estiver sujeita a requisitos de proteção de dados no EEE, no Reino Unido ou na Suíça, consulte a Secção II(B)(8) do Apêndice C.

B. Resposta a pedidos legais

1. O Utilizador reconhece que, no decurso da prestação dos Serviços ao Utilizador, a Shopify pode partilhar os Seus Dados Pessoais de Clientes i) para cumprir os requisitos legais ou para responder a ordens judiciais ou outras exigências governamentais ou regulamentares semelhantes; ou ii) para prevenir ou investigar suspeitas de fraude, ameaças à segurança física, atividade ilegal ou violações de um contrato (como os Termos de Serviço) ou as nossas políticas (como a nossa Política de Utilização Aceitável).

2. A Shopify envidará esforços razoáveis antes de produzir os Seus Dados Pessoais de Clientes para garantir que tal divulgação seja permitida sob as Leis de Proteção de Dados Aplicáveis e será tratada como informação confidencial sob o enquadramento jurídico aplicável.

C. Divulgação em Transações Empresariais
O Utilizador reconhece que, no decurso da prestação dos Serviços ao Utilizador, a Shopify pode ser obrigada a partilhar os Seus Dados Pessoais de Clientes com potenciais contrapartes de qualquer transação empresarial ou de reestruturação.

D. Utilização de fornecedores de serviços por parte da Shopify

1. O utilizador reconhece e aceita que, no decurso da prestação dos Serviços, a Shopify poderá recorrer a fornecedores de serviços para tratar os Seus Dados Pessoais de Clientes. A Shopify mantém uma lista atualizada de todos os fornecedores de serviços utilizados. Caso as Leis de Proteção de Dados Aplicáveis lhe concedam esse direito, poderá opor-se à utilização de um fornecedor de serviços por parte da Shopify e, se a Shopify não conseguir ou não estiver disposta a acomodar esse pedido, poderá, de acordo com essas leis, cessar a utilização dos Serviços afetados no prazo de 30 dias a contar dessa notificação, em conformidade com os Termos.

2. O uso de fornecedores de serviços pela Shopify para tratar os Seus Dados Pessoais de Clientes que o Utilizador fornece estará em conformidade com as Leis de Proteção de Dados Aplicáveis. Quando a Shopify contratar um fornecedor de serviços, a Shopify celebrará um contrato por escrito com o fornecedor de serviços que impõe obrigações contratuais que são substancialmente as mesmas que as estabelecidas na presente APD.

E. Alteração da APDO utilizador reconhece e concorda que a Shopify poderá alterar a presente APD periodicamente, publicando a versão alterada e atualizada no website da Shopify, disponível em https://shopify.com/legal/dpa, sendo essas alterações eficazes a partir da data da publicação. A continuação da utilização dos Serviços após a publicação da APD alterada no website da Shopify constitui a sua aceitação da APD alterada. Se não concordar com quaisquer alterações à APD, deverá cessar imediatamente a utilização dos Serviços.

VI Apêndices

1. Apêndice A – Categorias de Dados Pessoais

2. Apêndice B – Segurança dos Dados

3. Apêndice C – Apêndice de Tratamento de Dados ao abrigo do RGPD, RGPD do Reino Unido e da Legislação Suíça sobre Proteção de Dados

4. Apêndice D – Leis de Proteção de Dados dos EUA

5. Apêndice E – A Shopify enquanto Controlador de Dados ou Empresa no âmbito dos Serviços Avançados

APÊNDICE A: CATEGORIAS DE DADOS PESSOAIS

No âmbito da sua utilização dos Serviços, e consoante os Serviços utilizados, poderemos receber e tratar as seguintes categorias de Dados Pessoais para efeitos de prestação dos Serviços:

● Nome do cliente, e-mail, contacto, informações de faturação e de envio.

● Informações sobre compras e outras transações realizadas na(s) Sua(s) Loja(s).

● Atualizações sobre o estado da(s) transação(ões) consigo ou com a(s) Sua(s) Loja(s)

● Atividade dos Clientes na(s) Loja(s) do Utilizador, incluindo produtos visualizados e/ou adicionados aos carrinhos de compras.

● Sinais de preferência dos Clientes, incluindo o Global Privacy Control (“GPC”), sinais de exclusão e de consentimento.

● Informações do dispositivo do cliente para o(s) dispositivo(s) utilizado(s) quando visita(m) a(s) sua(s) Loja(s), incluindo endereço IP, navegador e atividade de rede.

● Outras informações sobre as interações dos Clientes consigo.

● Quaisquer outros Dados Pessoais que o Utilizador ou os seus Clientes optem por disponibilizar à Shopify.

APÊNDICE B: SEGURANÇA DOS DADOS

A Shopify manterá um programa de segurança da informação projetado para a) permitir que o Utilizador proteja os Seus Dados Pessoais de Clientes contra tratamento não autorizado ou ilegal e contra perda acidental, destruição, dano, roubo, alteração ou divulgação; b) identificar riscos razoavelmente previsíveis para a segurança e disponibilidade dos Serviços que o Utilizador recebe; e c) minimizar os riscos de segurança para os Serviços.

I. O programa de segurança da informação da Shopify incluirá as seguintes salvaguardas:

A. Segurança lógica

1. Controlos de Acesso: a Shopify tornará os seus sistemas acessíveis apenas a pessoal autorizado e somente conforme necessário para manter e fornecer os Serviços. A Shopify manterá controlos de acesso e políticas concebidas para gerir autorizações de acesso aos seus sistemas, incluindo através da utilização de firewalls e/ou outras tecnologias e controlos de autenticação.

2. Acesso Restrito do Utilizador: a Shopify irá i) fornecer e restringir o acesso aos seus sistemas de acordo com os princípios de privilégio mínimo com base nas funções de trabalho do pessoal, e ii) exigir autenticação de dois fatores (2FA) para acesso aos seus sistemas.

3. Avaliações de Vulnerabilidade: a Shopify irá manter um programa de avaliação de vulnerabilidades e testes de intrusão, responsável por investigar e rastrear problemas identificados com os Serviços para resolução, quando necessário.

4. Segurança das Aplicações: a Shopify mantém um programa de segurança de aplicações responsável por proteger os Serviços contra ameaças à segurança de aplicações.

5. Gestão da Mudança: a Shopify manterá controlos concebidos para registar, autorizar, testar, aprovar e documentar alterações aos recursos dos Serviços existentes e documentará os detalhes das alterações nas suas ferramentas de gestão de alterações ou de implementação. A Shopify testará as alterações de acordo com os seus padrões de gestão da mudança antes da migração para a produção.

6. Integridade dos Dados: conforme apropriado, a Shopify manterá controlos concebidos para fornecer integridade de dados durante a transmissão, armazenamento e tratamento nos Serviços.

7. Disponibilidade: A Shopify irá (i) implementar redundância quando apropriado para os Serviços para minimizar as consequências de um mau funcionamento nos Serviços, (ii) conceber os Serviços para antecipar e tolerar falhas, e (iii) implementar processos adequados concebidos para afastar o tráfego de Dados Pessoais das áreas afetadas quando necessário para recuperar de falhas.

8. Continuidade do Negócio e Recuperação de Desastres: A Shopify manterá um programa de gestão de riscos concebido para apoiar a continuidade das suas funções comerciais essenciais, incluindo processos e procedimentos para identificação, resposta e recuperação de eventos que possam impedir ou prejudicar materialmente a prestação dos Serviços que o Utilizador recebe por parte da Shopify.

9. Gestão de Incidentes: a Shopify fornece documentação para que o Utilizador comunique incidentes de segurança ou disponibilidade, faça perguntas sobre segurança ou disponibilidade e envie informações sobre possíveis problemas de segurança ou disponibilidade. A Shopify manterá planos de ação corretiva e planos de resposta a incidentes projetados para detetar, mitigar, investigar e responder a possíveis ameaças à segurança dos Serviços.

B. Segurança física: quando necessário para proteger os Serviços, a Shopify i) implementará medidas razoáveis concebidas para impedir o acesso físico não autorizado, danos ou interferência nos Serviços, ii) utilizará dispositivos de controlo adequados concebidos para restringir o acesso físico aos Serviços apenas a pessoal autorizado que tenha uma necessidade comercial legítima para esse acesso, e iii) realizará revisões periódicas para validar a adesão a estas normas.

C. Funcionários da Shopify: os funcionários da Shopify que estão autorizados a aceder aos Seus Dados Pessoais de Clientes estão vinculados a obrigações de confidencialidade como parte dos seus termos de emprego. A Shopify implementará e manterá programas de formação de segurança dos funcionários em relação aos requisitos de segurança das informações da Shopify. Os programas de formação de sensibilização para a segurança serão revistos e atualizados periodicamente.

II. Modificações a este Apêndice

A Shopify revê periodicamente as suas medidas de segurança e pode atualizar o presente Apêndice a seu exclusivo critério. Qualquer atualização substituirá as versões anteriores do presente Apêndice a partir da data em que a Shopify publique a versão atualizada.

APÊNDICE C: APÊNDICE DE TRATAMENTO DE DADOS AO ABRIGO DO RGPD, RGPD DO REINO UNIDO E LEGISLAÇÃO SUÍÇA SOBRE PROTEÇÃO DE DADOS

Quando o tratamento dos Seus Dados Pessoais de Clientes ao abrigo da APD estiver sujeito a requisitos de proteção de dados no Espaço Económico Europeu (o "EEE"), no Reino Unido ou na Suíça (coletivamente, "Leis Europeias de Proteção de Dados") e a Shopify atua como um Processador de Dados, o Apêndice C complementa a presente APD.

I. Natureza do tratamento e funções das partes

A. Dados Pessoais

Nos termos do presente Apêndice, o Utilizador agirá como Controlador de Dados e a Shopify agirá como Processador de Dados no que diz respeito ao tratamento dos Seus Dados Pessoais de Clientes, conforme descrito no Anexo 1, conforme necessário para cumprir as finalidades comerciais descritas nos Termos e fornecer-lhe os Serviços que optar por utilizar.

II. Obrigações das partes

A. As Suas Obrigações

O Utilizador compromete-se a cumprir:

● As Leis Europeias de Proteção de Dados vinculativas para o Utilizador no que diz respeito à Sua utilização dos Serviços; e

● As obrigações do Utilizador estabelecidas na APD, incluindo as obrigações previstas no presente Apêndice.

O Utilizador declara e garante que tem uma base legal válida para tratar os Seus Dados Pessoais de Clientes (incluindo a disponibilização desses dados à Shopify) e que obteve todos os consentimentos, direitos e autorizações necessários e deu todos os avisos necessários aos indivíduos para permitir o tratamento dos Seus Dados Pessoais de Clientes pela Shopify para fornecer os Serviços, conforme exigido pelas Leis Europeias de Proteção de Dados.

B. Obrigações da Shopify

1. Instruções do controlador e violação da legislação europeia de proteção de dados

a) As Partes concordam que os Termos, juntamente com a presente APD, constituem suas instruções documentadas em relação ao tratamento dos Seus Dados Pessoais de Clientes pela Shopify ("Instruções documentadas").

b) A Shopify irá tratar os Seus Dados Pessoais de Clientes como um Processador de Dados: i) de acordo com as suas instruções documentadas, ou ii) para cumprir as obrigações da Shopify ao abrigo das leis aplicáveis, sujeito a quaisquer requisitos de aviso ao abrigo do EEE, estado membro do EEE, Reino Unido ou lei suíça a que a Shopify está sujeita.

c) A Shopify irá notificar o Utilizador se receber uma instrução que determine razoavelmente que infringe as Leis Europeias de Proteção de Dados (porém, a Shopify não tem obrigação de controlar ativamente a sua conformidade com as Leis Europeias de Proteção de Dados).

2. Obrigação de confidencialidade

A Shopify irá garantir que as pessoas que autoriza a tratar os Seus Dados Pessoais de Clientes celebrem contratos de confidencialidade por escrito ou estejam sujeitas a obrigações legais de confidencialidade.

3. Medidas de segurança

a) A Shopify implementará e manterá medidas técnicas e organizativas adequadas, concebidas para proteger os Seus Dados Pessoais de Clientes contra o tratamento não autorizado ou ilícito e contra a perda, destruição, dano, roubo, acesso não autorizado, alteração ou divulgação acidentais, conforme estabelecido no Anexo 2.

b) Tendo em conta a natureza dos Seus Dados Pessoais de Clientes e o respetivo tratamento, a Shopify fornecerá a assistência razoável que poderá solicitar para ajudar a cumprir as suas obrigações de segurança ao abrigo das Leis Europeias de Proteção de Dados.

c) A Shopify notificará o Utilizador, sem atrasos indevidos, ao tomar conhecimento de uma violação de segurança que leve à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso aos Seus Dados Pessoais de Clientes transmitidos, armazenados ou de outra forma tratados.

d) A Shopify concorda em investigar qualquer violação de segurança e envidar esforços comercialmente razoáveis para mitigar os efeitos.

4. Subprocessadores

a) De modo geral, o utilizador autoriza a Shopify a contratar Subprocessadores para tratar os Seus Dados Pessoais de Clientes. Concorda igualmente que a Shopify pode envolver as suas filiais como Subprocessadores.

b) A utilização de Subprocessadores pela Shopify para tratar os Seus Dados Pessoais de Clientes estará em conformidade com as Leis Europeias de Proteção de Dados.

c) A Shopify mantém uma lista atualizada de todos os Subprocessadores, conforme estabelecido no Anexo 3. A Shopify atualizará a lista de Subprocessadores conforme apropriado e fornecerá ao Utilizador um mecanismo para obter um aviso sobre a adição ou substituição de um Subprocessador. O Utilizador pode opor-se à utilização pela Shopify de um novo Subprocessador.

d) Na medida em que o Utilizador se opõe ao uso de um Subprocessador pela Shopify, e a Shopify não pode ou não está disposta a acomodar tais solicitações, o Utilizador pode encerrar o uso dos Serviços impactados no prazo de 30 dias após essa notificação, de acordo com os Termos.

e) Sempre que a Shopify recorrer a um novo Subprocessador, celebrará com este um contrato escrito e impor-lhe-á obrigações contratuais substancialmente idênticas às previstas na presente APD. A Shopify será integralmente responsável pelos atos e omissões dos seus Subprocessadores, na mesma medida em que seria responsável se prestasse diretamente os serviços de cada Subprocessador ao abrigo dos termos da presente APD. A responsabilidade da Shopify estará, no entanto, sujeita às condições e limitações de responsabilidade previstas nos Termos.

5. Assistência ao Controlador
Tendo em conta a natureza dos Seus Dados Pessoais de Clientes e o respetivo tratamento, a Shopify fornecerá a assistência razoável que possa solicitar para ajudar no cumprimento das suas obrigações:

● responder a Pedidos de Exercício de Direitos de Dados ao abrigo da Legislação Europeia de Proteção de Dados, no que diz respeito a todo o tratamento dos Seus Dados Pessoais de Clientes pela Shopify;

● notificar as autoridades relevantes e/ou os titulares dos dados de uma Violação de Dados Pessoais;

● realizar avaliações de impacto sobre a proteção de dados e consultas prévias;

● garantir a segurança do tratamento em conformidade com a secção 3.

6. Avaliação da conformidade

a) A Shopify pode cumprir o seu direito de auditoria ao abrigo das Leis Europeias de Proteção de Dados em relação ao tratamento dos Seus Dados Pessoais de Clientes, fornecendo-lhe, mediante o seu pedido por escrito e sujeito a confidencialidade:

i) os resultados mais recentes do relatório de auditoria da Shopify, seja das auditorias próprias da Shopify ou elaboradas por um auditor externo independente;
ii) informações adicionais no controlo da Shopify se uma autoridade governamental ou de proteção de dados o solicitar.

b) Desde que, e apenas na medida em que, as Leis Europeias em matéria de Proteção de Dados lhe confiram esse direito, o Utilizador poderá exercer o seu direito de Auditoria: i) na medida em que um auditor independente e internacionalmente reconhecido ateste que a disponibilização de um relatório de auditoria por parte da Shopify não fornece informações suficientes para que o Utilizador possa verificar o cumprimento, por parte da Shopify, da presente APD e das Leis Europeias em matéria de Proteção de Dados; ou ii) quando tal for necessário para o Utilizador responder a uma auditoria de uma autoridade governamental. Cada auditoria deve respeitar os seguintes parâmetros: i) ser conduzida por um terceiro independente que celebre um contrato de confidencialidade com a Shopify; ii) ter um âmbito limitado às matérias razoavelmente necessárias, e conforme acordado entre as partes, para que o Utilizador possa avaliar a conformidade, por parte da Shopify, da presente APD e o cumprimento, por ambas as partes, das Leis Europeias em matéria de Proteção de Dados; iii) realizar-se numa data e hora acordadas entre as partes e apenas durante o horário comercial normal da Shopify; iv) não ocorrer mais do que uma vez por ano (salvo se exigido pelas Leis Europeias em matéria de Proteção de Dados); v) incidir apenas sobre instalações controladas pela Shopify; vi) limitar as conclusões aos Seus Dados Pessoais de Clientes; e vii) tratar quaisquer resultados como informações confidenciais na máxima medida permitida pelas Leis Europeias em matéria de Proteção de Dados. Para efeitos de clarificação, a Shopify cumprirá quaisquer direitos do Utilizador ao abrigo da presente secção 6 em conformidade com as suas obrigações de confidencialidade para com terceiros.

7. Fim do tratamento

a) Durante a sua utilização dos Serviços, pode utilizar as ferramentas da conta para aceder, devolver ao utilizador ou eliminar os Seus Dados Pessoais de Clientes.

b) Após a rescisão, a Shopify eliminará ou devolverá os Dados Pessoais dos seus Clientes, conforme a sua escolha. Não obstante o disposto, a Shopify poderá conservar os Seus Dados Pessoais de Clientes: i) conforme exigido por lei, incluindo as Leis Europeias de Proteção de Dados; e ii) de acordo com as suas políticas padrão de cópias de segurança ou de conservação de registos, desde que, em qualquer dos casos, a Shopify mantenha a confidencialidade dos Seus Dados Pessoais de Clientes e cumpra as disposições aplicáveis da presente APD relativamente aos Seus Dados Pessoais de Clientes, não os tratando posteriormente, salvo para os fins e pelo período permitidos ao abrigo da legislação aplicável.

8. Transferências internacionais

Sujeito à conformidade com as Leis Europeias de Proteção de Dados, a Shopify International Ltd. pode transferir os Seus Dados Pessoais de Clientes tratados sob este Apêndice fora do EEE, do Reino Unido e da Suíça, conforme necessário para fornecer os seus Serviços (“Transferências Internacionais”).

b) Tais transferências consistem principalmente na transferência dos Seus Dados Pessoais de Clientes para a Shopify Inc., com sede no Canadá, que beneficia de uma decisão da Comissão Europeia 2002/2/CE, datada de 20 de dezembro de 2001, sobre a proteção adequada dos dados pessoais fornecida pela Canadian Personal Information Protection and Electronic Documents Act.

c) Quaisquer transferências internacionais para países que não assegurem um nível adequado de proteção de dados nos termos da Legislação Europeia de Proteção de Dados serão sujeitas a salvaguardas apropriadas, incluindo os seguintes mecanismos de transferência:

● os módulos relevantes ao abrigo das cláusulas contratuais padrão 2021 aprovadas pela Comissão Europeia na sua decisão 2021/914/CE de 4 de junho de 2021;

● a Adenda à Transferência Internacional de Dados às cláusulas contratuais padrão da Comissão Europeia para transferências internacionais de dados emitida pelo Gabinete do Comissário da Informação do Reino Unido ao abrigo do S119A(1) da Lei de Proteção de Dados do Reino Unido de 2018;

● as Cláusulas Contratuais Padrão de 2021, com as alterações que lhes foram introduzidas para satisfazer os requisitos da Lei Federal Suíça sobre a Proteção de Dados ( tal como alterada periodicamente) de 19 de junho de 1992, na sua versão revista em 25 de setembro de 2001; e

● quaisquer cláusulas contratuais padrão, adenda à transferência internacional de dados ou outras cláusulas, adendas ou mecanismos de transferência que possam substituir as cláusulas e a adenda atuais.

d) A Shopify pode, a seu exclusivo critério, substituir qualquer mecanismo de transferência para garantir que as transferências de dados estejam em conformidade com as leis aplicáveis. Se uma transferência for baseada em cláusulas contratuais padrão e essas cláusulas forem atualizadas pelas autoridades relevantes, essas cláusulas atualizadas ou contratos semelhantes serão incorporados na presente APD do mesmo modo que se estivessem totalmente dispostas aqui.

ANEXO 1 – DADOS PESSOAIS

DESCRIÇÃO DO TRATAMENTO DE DADOS PESSOAIS

I. Objeto do tratamento

Prestação dos Serviços da Shopify ao Comerciante.

II. Categorias de titulares de dados

Clientes do Comerciante.

III. Categorias de dados pessoais tratados

Consulte o Apêndice A acima.

IV. Frequência da transferência

Contínua.

V. Natureza do tratamento

Recolha, registo, alojamento, acesso, utilização, transferência e eliminação de Dados Pessoais, conforme descrito nos Termos.

VI. Finalidades para as quais os dados pessoais são tratados em nome do controlador

Para a prestação e melhoria dos Serviços, conforme descrito nos Termos.

VII. Duração do tratamento

Duração dos Serviços ao abrigo dos Termos ou do contrato aplicável, acrescida do período subsequente até à anonimização, devolução ou eliminação dos dados.

VIII. Autoridade de Controlo Competente A autoridade de controlo competente será a Comissão de Proteção de Dados da Irlanda.

ANEXO 2 – MEDIDAS DE SEGURANÇA

As informações sobre as medidas de segurança encontram-se no Apêndice B da APD.

ANEXO 3 – LISTA DE SUBPROCESSADORES

Os Subprocessadores utilizados pela Shopify para a prestação dos Serviços ao abrigo dos Termos estão listados aqui.

Os Subprocessadores tratarão as categorias de Dados Pessoais acima descritas em ligação com os Serviços durante a vigência do respetivo contrato com a Shopify.

Apêndice D: Leis de Proteção de Dados dos EUA

Esta secção aplica-se apenas na medida em que: (i) as Leis de Proteção de Dados dos EUA se aplicam ao Utilizador e/ou aos Seus Dados Pessoais de Clientes em relação ao seu uso dos Serviços; (ii) as seguintes disposições são exigidas pelas Leis de Proteção de Dados dos EUA; e (iii) a Shopify está a atuar como Processador de Dados ou Fornecedor de Serviços. Para evitar dúvidas, este Apêndice D não se aplicará às atividades de tratamento descritas no Apêndice E.

1. As Partes concordam que os Termos, juntamente com este DPA, constituem as instruções documentadas do utilizador relativas ao processamento dos Dados Pessoais dos seus Clientes pela Shopify ("Instruções Documentadas").

2. Exceto conforme previsto no Apêndice E, caso o utilizador beneficie de determinados Serviços Avançados, a Shopify não irá: i) conservar, utilizar ou divulgar os Seus Dados Pessoais de Clientes fora do âmbito da sua relação comercial direta com o Utilizador ou para qualquer outra finalidade que não as finalidades limitadas e específicas identificadas na presente APD e/ou nos Termos, incluindo para fornecer, desenvolver e melhorar os Serviços ou conforme permitido pelas Leis de Proteção de Dados dos EUA aplicáveis; ii) “vender” ou “partilhar” os Seus Dados Pessoais de Clientes, nem realizar “publicidade direcionada” com base nesses Dados Pessoais, conforme definido no CCPA ou noutras Leis de Proteção de Dados dos EUA; ou iii) combinar os Seus Dados Pessoais de Clientes com dados pessoais recebidos de outras fontes, salvo se permitido pelas Leis de Proteção de Dados dos EUA.

3. A Shopify compromete-se a: i) assegurar o mesmo nível de proteção da privacidade exigido a Empresas ou Controladores de Dados ao abrigo das Leis de Proteção de Dados dos EUA, e a informar o utilizador caso determine que já não pode cumprir essas obrigações, situação em que o Utilizador poderá tomar as medidas razoáveis e adequadas para cessar ou corrigir qualquer tratamento não autorizado dos Dados Pessoais dos seus Clientes; ii) garantir que o pessoal autorizado a tratar os Seus Dados Pessoais de Clientes celebra contratos de confidencialidade por escrito ou está sujeito a obrigações legais de confidencialidade; iii) mediante pedido escrito razoável e como forma de permitir ao Utilizador tomar medidas razoáveis e adequadas para garantir que a Shopify utiliza os Seus Dados Pessoais de Clientes de forma consistente com as Leis de Proteção de Dados dos EUA, fornecer o relatório SOC2 que apresente uma avaliação razoável do programa de segurança da informação da Shopify; e iv) após a rescisão dos Serviços prestados ao Utilizador, iniciar o seu processo interno de eliminação para apagar, devolver ou tornar irreconhecíveis os Seus Dados Pessoais de Clientes fornecidos à Shopify para tratamento exclusivamente na qualidade de Processador de Dados ou Fornecedor de Serviços.

4. O Utilizador declara e garante que não partilhará com a Shopify quaisquer Dados Pessoais de um indivíduo que tenha exercido um direito de exclusão que o Utilizador se comprometeu a honrar ou quaisquer Dados Pessoais confidenciais de um indivíduo que não tenha consentido com o tratamento de tais dados confidenciais de acordo com os requisitos das Leis de Proteção de Dados Aplicáveis.

Apêndice E: a Shopify enquanto Controlador de Dados ou Empresa no âmbito dos Serviços Avançados

A Shopify atuará como Controlador de Dados ou Empresa quando o Utilizador receber os Serviços Avançados, conforme definido na Secção 9.2 dos [Termos de Serviço]({{site, url(path: '/legal/terms')} }). A Shopify pode atualizar os serviços e produtos para os quais atua como Controlador de Dados ou Empresa ocasionalmente.

No âmbito da prestação dos Serviços Avançados pela Shopify, o utilizador aceita que a Shopify tratará os Seus Dados Pessoais de Clientes na qualidade de Controlador de Dados ou de Empresa, nos termos das Leis de Proteção de Dados Aplicáveis, com o objetivo de fornecer, desenvolver e melhorar análises, personalização de produtos, publicidade e outros serviços dirigidos ao utilizador e a outros comerciantes Shopify que integrem as interações e transações dos seus Clientes com a sua Loja, com outros Comerciantes e com a própria Shopify. Quando a Shopify trata os Seus Dados Pessoais de Clientes desta forma, aplicam-se a Política de Privacidade dos Consumidores da Shopify e o Apêndice E do presente Contrato de Tratamento de Dados. O utilizador pode desativar a utilização, por parte da Shopify, dos Dados Pessoais de Clientes desta forma, desativando a Shopify Network Intelligence aqui, embora tal implique a impossibilidade de utilizar determinadas aplicações ou funcionalidades, conforme indicado.

1. Avisos de Privacidade, Transparência e Direitos. De acordo com as Leis de Proteção de Dados aplicáveis, o utilizador deverá comunicar às pessoas relevantes todas as divulgações necessárias para que a Shopify trate de forma legal e justa os Seus Dados Pessoais de Clientes, a fim de lhe fornecer Serviços Avançados em conformidade com este Apêndice E da APD, incluindo o fornecimento de uma ligação para a Política de Privacidade dos Consumidores da Shopify na sua política de privacidade e o fornecimento das divulgações, conforme estabelecido na Secção 1 dos Termos de Serviço.

2. Requisitos Europeus. Se o utilizador se encontrar estabelecido no Espaço Económico Europeu (EEE), no Reino Unido ou na Suíça, ou se os seus Clientes se encontrarem no EEE, Reino Unido ou Suíça, o utilizador declara, garante e concorda que obteve o consentimento dos Clientes e que lhes fornece a possibilidade de exercer o direito de retirar o consentimento, de se opor a determinados tratamentos e de optar ativamente por não autorizar certos tratamentos, sempre que tal seja exigido pelas Leis de Proteção de Dados Aplicáveis. Para evitar dúvidas, o utilizador deve obter o consentimento para publicidade direcionada no âmbito dos Serviços Avançados, bem como para a utilização de cookies ou outras tecnologias de armazenamento local, na medida em que tal seja exigido pelas Leis de Proteção de Dados Aplicáveis. Para mais informações sobre a implementação destes requisitos, consulte aqui.

3. Responsabilidades do Controlador. O utilizador é o Controlador de Dados dos Seus Dados Pessoais de Clientes e deve determinar de forma autónoma as finalidades e os meios do tratamento desses Dados Pessoais, bem como a forma como os utiliza e trata, incluindo a determinação da base legal para esse tratamento ao abrigo da Legislação de Proteção de Dados Aplicável. A Shopify é o Controlador de Dados dos Seus Dados Pessoais de Clientes que trata nos termos do presente Apêndice E e determina igualmente, de forma autónoma, as finalidades e os meios desse tratamento, bem como a forma como utiliza e trata esses Dados Pessoais, incluindo a definição da base legal aplicável ao abrigo da Legislação de Proteção de Dados Aplicável.

Cada Parte é individualmente responsável por responder aos Pedidos de Exercício de Direitos de Dados que receber relativamente ao tratamento dos Seus Dados Pessoais de Clientes enquanto Controlador de Dados.

4. Nenhum Efeito sobre o Restante da APD. O presente Apêndice E não afetará de outra forma quaisquer Termos, incluindo o restante da presente APD, refletindo uma relação entre Controlador de Dados e Processador de Dados entre os Comerciantes e a Shopify.