Shopifys databehandlingstillägg

Vi uppdaterar vårt databehandlingstillägg, med verkan från och med den 25 juli 2025. Klicka här för att läsa ändringarna.
Senast uppdaterad: 10 september 2024

Shopify databehandlingstillägg

I. SYFTE

Detta Shopifys tillägg till databehandling ("DPA") kompletterar och införlivas genom hänvisning i Shopifys användarvillkor, tillsammans med eventuella villkor som gäller för eventuella ytterligare Shopify-tjänster som du väljer att använda ("Villkoren") av och mellan dig (eller "Handlaren") och Shopifys avtalsslutande enhet enligt vad som anges i villkoren ("Shopify"), vilka beskriver de specifika affärsändamålen och tjänsterna relaterade till DPA. Vid eventuell konflikt mellan villkoren och detta DPA ska DPA ha företräde med avseende i behandlingen av dina personuppgifter.

I de fall där behandlingen av personuppgifter enligt dataskyddsavtalet omfattas av dataskyddskrav i Europeiska ekonomiska samarbetsområdet (EES), Storbritannien eller Schweiz, kompletterar bilaga C detta dataskyddsavtal. Vid eventuell konflikt mellan bilaga C och andra avsnitt i detta dataskyddsavtal ska bilaga C ha företräde med avseende på behandling av dina personuppgifter i enlighet med integritetskraven i EES, Storbritannien och Schweiz.

Du och Shopify (var och en en ”Part”, tillsammans ”Parterna”) godkänner att detta DPA anger parternas skyldigheter gällande behandlingen av dina personuppgifter i samband med Villkoren och din användning av Tjänsterna. För att undvika tvivel ska detta DPA inte gälla Shopifys behandling av personuppgifter som personuppgiftsansvarig, inklusive personuppgifter om kunder som Shopify mottager till följd av kundens direkta relation eller avsiktliga interaktion med Shopify, till exempel genom Shopifys konsumentinriktade tjänster som Shop och Shop Pay.

II. DEFINITIONER

Termer med versaler som används men inte definieras i detta DPA ska ha samma betydelse som de ges i villkoren:

A. Tillämplig(a) dataskyddslag(ar): Alla dataskydds- eller sekretesslagar som gäller för Shopifys behandling av dina personuppgifter enligt Villkoren, deras tillämpningsföreskrifter och sekundärlagstiftning, var och en som kan komma att ändras, uppdateras eller ersättas från tid till annan, inklusive (i förekommande fall, baserat på Handlarens och/eller din(a) Kund(er) plats eller bosättning):

1. Kanadas lag om skydd av personuppgifter och elektroniska dokument från 2000 (”PIPEDA”);

2. Kaliforniens konsumentskyddslag, ändrad genom Kaliforniens integritetsrättslag (”CCPA”), (b) Virginias konsumentskyddslag, (c) Colorados integritetslag, (d) Connecticuts integritetslag, (e) Utahs konsumentskyddslag, (f) Oregons konsumentskyddslag, (g) Texas dataskyddslag och säkerhetslag, (h) Montanas konsumentskyddslag och (i) liknande omfattande sekretesslagar i andra amerikanska delstater, när de väl har trätt i kraft (tillsammans kallade ”amerikanska dataskyddslagar”);

3. Allmänna dataskyddsförordningen (förordning (EU) 2016/679) (”GDPR”) och eventuella tillämpliga nationella genomförandelagar;

4. EU:s direktiv om e-integritet (direktiv 2002/58/EG), i dess ändrade lydelse (”e-integritetslagen”);

5. Storbritanniens allmänna dataskyddsförordning (”GDPR för Storbritannien”) och Storbritanniens dataskyddslag 2018 (”DPA för Storbritannien”);

6. Singapores lag om skydd av personuppgifter från 2012 (”PDPA”); och

7. Schweiziska federala dataskyddslagen ("Schweiziska FDPA")

B. Kund: En individ eller enhet som besöker, interagerar med och/eller köper en produkt, vara eller tjänst från din/dina butiker.

C. Personuppgifter: Information eller data definierade som "personuppgifter", "personlig information" eller "personligt identifierbar information" (eller analog term) enligt tillämpliga dataskyddslagar från eller om dina kunder som görs tillgängliga för Shopify (eller tredje parter som agerar på Shopifys vägnar) av dig (eller tredje parter som agerar på dina vägnar) som en del av användningen av tjänsterna, samt andra personuppgifter som du väljer att dela med Shopify om dina kunder som en del av användningen av tjänsterna. För tydlighetens skull ska personuppgifter inte inkludera några personuppgifter om kunder som Shopify behandlar som personuppgiftsansvarig och/eller tar emot som ett resultat av kundens direkta relation eller avsiktliga interaktion med Shopify eller med andra Shopify-handlare.

D. Begäran om datarättigheter: En giltig och laglig förfrågan från en individ om att utöva tillgängliga rättigheter avseende personuppgifter enligt en tillämplig dataskyddslag.

**E. Personuppgiftsansvarig **: Den part som fastställer ändamålen och medlen för behandlingen av personuppgifter, eller enligt definitionen i tillämplig dataskyddslag.

F. Databehandlare eller tjänsteleverantör: Den part eller annan enhet eller verksamhet som tillhandahåller tjänster för och behandlar personuppgifter på uppdrag av och för den personuppgiftsansvariges räkning eller enligt definitionen i tillämpliga dataskyddslagar.

G. Personuppgiftsdataläcka: I samband med dina kunders personuppgifter ska tolkas i enlighet med tillämpliga dataskyddslagar.

H.Bearbetning”, ”processer” eller ”behandling”: (a) Varje åtgärd eller serie av åtgärder som utförs på personuppgifter eller uppsättningar av personuppgifter, oavsett om det sker automatiserat eller inte, såsom insamling, registrering, organisering, strukturering, lagring, anpassning eller ändring, hämtning, konsultation, användning, utlämnande genom överföring, spridning eller annan tillgängliggörande, sammanställning eller kombination, begränsning, radering eller förstörelse; eller (b) definitionen av sådan/dåliga termer enligt tillämplig dataskyddslag.

I.Subprocessor”: Affiliate eller tredjepartsdatabehandlare eller tjänsteleverantörer som kan komma att behandla personuppgifter på Shopifys uppdrag i syfte att tillhandahålla tjänsterna.

J.Du”, ”Din” eller ”Handlare”: Avser det företag som använder Tjänsterna och är part i Villkoren med Shopify.

III. BEHANDLINGENS ART OCH PARTERNAS ROLLER

Shopify tar emot och behandlar dina personuppgifter för att tillhandahålla dig tjänsterna och enligt vad som anges nedan. Beroende på vilken av tjänsterna du begär eller använder kommer Shopify att behandla de kategorier av personuppgifter som anges i bilaga A, på det sätt och på de grunder som anges däri.

Shopify ska endast behandla dina personuppgifter som databehandlare eller tjänsteleverantör i den utsträckning det är nödvändigt för att tillhandahålla och förbättra sina tjänster eller i den utsträckning som tillämplig dataskyddslag tillåter. Som en del av tillhandahållandet och den kontinuerliga förbättringen av sina tjänster kan Shopify komma att aggregera, anonymisera eller avidentifiera dina personuppgifter.

I den utsträckning Shopify tar emot avidentifierade personuppgifter från dig, kommer Shopify endast att behålla och använda uppgifterna på ett avidentifierat sätt.

IV. PARTERNAS SKYLDIGHETER

Följande avsnitt beskriver parternas respektive skyldigheter avseende behandling av personuppgifter som omfattas av detta DPA.

A. Allmän efterlevnad

1. Parterna ska uppfylla sina respektive skyldigheter enligt tillämpliga dataskyddslagar.

2. Shopify har ingen skyldighet att tolka eller ge dig råd om dina skyldigheter enligt tillämpliga dataskyddslagar, inklusive med avseende på personuppgifter som omfattas av detta dataskyddsavtal. Du är ensam ansvarig för att fastställa dina rättsliga och regulatoriska skyldigheter, inklusive att utvärdera om de tekniska och organisatoriska åtgärderna för Tjänsterna är förenliga med dina oberoende rättsliga och regulatoriska skyldigheter.

B. Shopifys skyldigheter

1. Datasäkerhet
Shopify kommer att implementera och upprätthålla lämpliga tekniska och organisatoriska åtgärder utformade för att skydda dina kunders personuppgifter mot obehörig eller olaglig behandling och mot oavsiktlig förlust, förstörelse, skada, stöld, ändring eller avslöjande, enligt vad som anges i bilaga B.

2. Anmälan och utredning av personuppgiftsdataläcka
a) I enlighet med gällande dataskyddslagar kommer Shopify att meddela dig när Shopify bekräftar eventuella personuppgiftsintrång.

b) Ett sådant meddelande ska innehålla den information som krävs enligt tillämpliga dataskyddslagar i den utsträckning sådan information rimligen är tillgänglig för Shopify. Shopifys svar på, eller meddelande om, ett personuppgiftsintrång är inte ett erkännande från Shopifys sida av något fel eller ansvar.

c) Shopify samtycker till att utreda eventuella personuppgiftsdataläcka och vidta kommersiellt rimliga åtgärder för att identifiera, förebygga, mildra och åtgärda effekterna.

3. Förfrågan om datarättigheter
a) I den utsträckning det krävs enligt tillämpliga dataskyddslagar kommer Shopify att underlätta för dig att behandla och svara på begäran om datarättigheter från dina kunder relaterade till din användning av tjänsterna.

b) För att få hjälp med att svara på en sådan begäran om datarättigheter, vidarebefordra begäran till Shopify via Shopify-handlare administrativa konsol/portal, såvida inte Shopify meddelar dig om en annan mekanism.

C. Dina skyldigheter avseende personuppgifter

1. Sekretessmeddelande och transparens: Du försäkrar och garanterar att du följer alla skyldigheter enligt tillämpliga dataskyddslagar att tillhandahålla meddelande och transparens gällande din behandling av personuppgifter enligt villkoren och i samband med din användning av tjänsterna. I den utsträckning det krävs enligt tillämpliga dataskyddslagar ska du meddela berörda individer alla upplysningar som är nödvändiga för att Shopify lagligt och rättvist ska kunna behandla personuppgifter i samband med detta dataskyddsavtal, inklusive genom att tillhandahålla en länk till Shopifys integritetspolicy eller till din egen integritetspolicy.

2. Kundens rättigheter och tillstånd: Du försäkrar och garanterar att du har alla nödvändiga rättigheter, tillstånd och samtycke för att göra personuppgifter tillgängliga för Shopify i enlighet med Villkoren, din användning av de tjänster du får och tillämpliga dataskyddslagar.

3. Förfrågan om datarättigheter: Du försäkrar och garanterar att du ger dina kunder möjlighet att utöva begäranden om datarättigheter, i enlighet med gällande dataskyddslagar, med avseende på alla personuppgifter som behandlas av Shopify för vilka du är personuppgiftsansvarig.

4. Förfrågningar från myndigheter: Om det inte är förbjudet enligt tillämplig lag ska du omedelbart meddela oss i enlighet med meddelandeklausulen i Villkoren om eventuella förfrågningar eller klagomål från myndigheter eller andra tredje parter angående din användning av Tjänsterna.

V. AMERIKANSKA DATASKYDDSLAGAR

Detta avsnitt gäller endast i den utsträckning att: (i) amerikanska dataskyddslagar gäller för dig i samband med din användning av tjänsterna; och (ii) följande bestämmelser krävs enligt amerikanska dataskyddslagar och du är ett "företag" eller en "registeransvarig" enligt dessa lagar.

A. Shopify kommer inte att: (i) behålla, använda eller lämna ut sådana personuppgifter utanför sin direkta affärsrelation med dig eller för något annat ändamål än för de begränsade och specificerade ändamål som anges i detta dataskyddslag och/eller villkoren, inklusive att behålla, använda eller lämna ut sådana personuppgifter för ett kommersiellt ändamål annat än för de begränsade och specificerade ändamål som anges i detta dataskyddslag och/eller villkoren, (ii) "sälja" eller "dela" sådana personuppgifter i den mening som avses i CCPA; eller (iii) kombinera sådana personuppgifter med personuppgifter som den tar emot från andra källor, i varje enskilt fall förutom vad som är tillåtet enligt amerikansk dataskyddslag.

B. Shopify kommer att (i) tillhandahålla samma nivå av integritetsskydd som krävs av företag eller personuppgiftsansvariga enligt sådana lagar, och informera dig om de fastställer att de inte längre kan uppfylla dessa skyldigheter, i vilket fall du kan vidta rimliga och lämpliga åtgärder för att stoppa eller åtgärda obehörig behandling av sådana personuppgifter, (ii) säkerställa att personal som de bemyndigar att behandla personuppgifter antingen ingår skriftliga sekretessavtal eller är föremål för lagstadgade sekretessskyldigheter, (iii) på rimlig skriftlig begäran, och som en del av att göra det möjligt för dig att vidta rimliga och lämpliga åtgärder för att säkerställa att Shopify använder sådana personuppgifter på ett sätt som överensstämmer med amerikanska dataskyddslagar, tillhandahålla SOC2-rapporten som visar en rimlig bedömning av Shopifys informationssäkerhetsprogram; och (iv) vid uppsägning av sina tjänster till dig kommer Shopify att initiera sin rensningsprocess för att radera eller avidentifiera personuppgifterna.

C. Du försäkrar och garanterar att du inte kommer att dela några personuppgifter med Shopify som tillhör en person som har utövat en rätt att välja bort som du har åtagit dig att respektera, eller några känsliga personuppgifter som tillhör en person som inte har samtyckt till behandlingen av sådana känsliga uppgifter.

VI. ÖVRIGT

A. Globala dataöverföringar
Du bekräftar att dina kundpersonuppgifter kan komma att överföras och behandlas i alla länder där Shopify, dess affiliate eller tredjepartsleverantörer är belägna (inklusive i Singapore och Kanada). All överföring av dina kundpersonuppgifter till dessa mottagare kommer att ske i enlighet med tillämpliga dataskyddslagar. För mer information om internationella dataöverföringar, där Shopify omfattas av dataskyddskrav i EES, Storbritannien eller Schweiz, se avsnitt II(B)(8) i bilaga C.

B. Svar på rättsliga förfrågningar

  1. Du bekräftar att Shopify, i samband med att tjänsterna tillhandahålls till dig, kan komma att dela dina personuppgifter (i) för att följa rättsliga krav eller för att svara på domstolsbeslut eller andra liknande myndighets- eller tillsynskrav; eller (ii) för att förhindra eller utreda misstänkt bedrägeri, hot mot fysisk säkerhet, olaglig aktivitet eller brott mot ett avtal (såsom Villkoren) eller våra policyer (såsom vår policy för godtagbar användning).

  2. Shopify kommer att göra rimliga ansträngningar innan sådana personuppgifter framställs för att säkerställa att sådant utlämnande är tillåtet enligt tillämpliga dataskyddslagar och kommer att behandlas som konfidentiell information enligt tillämplig rättslig ram.

C. Upplysningar vid företagstransaktioner
Du bekräftar att Shopify, i samband med att tjänsterna tillhandahålls till dig, kan vara skyldigt att dela personuppgifter med potentiella motparter i företags- eller omstruktureringstransaktioner.

D. Shopifys användning av subprocessor/tjänsteleverantörer

  1. Du bekräftar att Shopify, i samband med att Tjänsterna tillhandahålls till dig, kan använda subprocessor för att behandla personuppgifter. Shopify upprätthåller en uppdaterad lista över alla använda subprocessor. Om tillämpliga dataskyddslagar ger dig sådana rättigheter kan du invända mot Shopifys användning av en subprocessor, och om Shopify inte kan eller vill tillmötesgå sådana begäranden kan du, i enlighet med sådana lagar, säga upp din användning av de berörda Tjänsterna inom 30 dagar efter sådan anmälan i enlighet med Villkoren.

  2. Shopifys användning av subprocessor för att behandla personuppgifter som du tillhandahåller kommer att ske i enlighet med tillämpliga dataskyddslagar. Om Shopify anlitar en subprocessor kommer Shopify att ingå ett skriftligt avtal med subprocessor som ålägger avtalsförpliktelser som i huvudsak är desamma som de som anges i detta DPA.

E. DPA-ändring
Du bekräftar och samtycker till att Shopify kan komma att ändra detta DPA från tid till annan genom att publicera det relevanta ändrade och omformulerade DPA:t på Shopifys webbplats, tillgänglig på https://shopify.com/legal/dpa, och att sådana ändringar av DPA:t träder i kraft från och med publiceringsdatumet. Din fortsatta användning av Tjänsterna efter att det ändrade DPA:t har publicerats på Shopifys webbplats utgör ditt samtycke till och godkännande av det ändrade DPA:t. Om du inte samtycker till några ändringar av DPA:t ska du inte fortsätta att använda Tjänsten.

VII Bilagor

  1. Bilaga A - Kategorier av personuppgifter
  2. Bilaga B - Datasäkerhet
  3. Bilaga C - GDPR, GDPR för Storbritannien och bilaga om databehandling i Schweiz

BILAGA A: KATEGORIER AV PERSONUPPGIFTER

Som en del av din användning av Tjänsterna, och beroende på vilka Tjänster du använder, kan vi ta emot och behandla följande kategorier av personuppgifter för att tillhandahålla Tjänsterna:

  • Kundens namn, e-postadress, kontaktinformation, fakturerings- och leveransinformation.
  • Köp- och annan transaktionsinformation från din(a) butik(er).
  • Uppdatering(ar) om statusen för transaktion(er) med dig eller din(a) butik(er).
  • Kundaktivitet i din(a) butik(er), inklusive produkter som visats och/eller inkluderats i varukorgar.
  • Kundpreferenssignaler, inklusive Global Privacy Control (”GPC”), signaler för att välja bort och välja att delta.
  • Kundens enhetsinformation för enhet(er) som används vid besök på din(a) butik(er), inklusive IP-adress, webbläsare och nätverksaktivitet.
  • Övrig information om kundernas interaktioner med dig.
  • Alla andra personuppgifter som du väljer att göra tillgängliga för Shopify.

BILAGA B: DATASÄKERHET

Shopify kommer att upprätthålla ett informationssäkerhetsprogram utformat för att (a) göra det möjligt för dig att skydda dina personuppgifter mot obehörig eller olaglig behandling och mot oavsiktlig förlust, förstörelse, skada, stöld, ändring eller avslöjande; (b) identifiera rimligen förutsebara risker för säkerheten och tillgängligheten för de tjänster du mottager; och (c) minimera säkerhetsriskerna för tjänsterna.

I. Shopifys informationssäkerhetsprogram kommer att omfatta följande skyddsåtgärder:

A. Logisk säkerhet

  1. Åtkomstkontroller Shopify kommer att göra sina system tillgängliga endast för behörig personal, och endast i den utsträckning det är nödvändigt för att underhålla och tillhandahålla Tjänsterna. Shopify kommer att upprätthålla åtkomstkontroller och policyer utformade för att hantera behörigheter för åtkomst till sina system, inklusive genom användning av brandväggar och/eller annan teknik och autentiseringskontroller.

  2. Begränsad användaråtkomst Shopify kommer att (i) tillhandahålla och begränsa åtkomst till sina system i enlighet med principerna om lägsta privilegium baserat på personalens arbetsuppgifter, och (ii) kräva tvåfaktorsautentisering (2FA) för åtkomst till sina system.

  3. Sårbarhetsbedömningar Shopify kommer att upprätthålla ett program för sårbarhetsbedömning och penetrationstestning, med ansvar för att undersöka och spåra identifierade problem med Tjänsterna för att lösa dem vid behov.

  4. Applikationssäkerhet Shopify upprätthåller ett applikationssäkerhetsprogram som ansvarar för att skydda Tjänsterna från applikationssäkerhetshot.

  5. Ändringshantering Shopify kommer att upprätthålla kontroller utformade för att logga, auktorisera, testa, godkänna och dokumentera ändringar av befintliga tjänsteresurser, och kommer att dokumentera ändringsdetaljer i sina verktyg för ändringshantering eller distribution. Shopify kommer att testa ändringar enligt sina standarder för ändringshantering innan migrering till produktion.

  6. Dataintegritet I förekommande fall kommer Shopify att upprätthålla kontroller utformade för att säkerställa dataintegritet under överföring, lagring och bearbetning inom Tjänsterna.

  7. Tillgänglighet Shopify kommer att (i) implementera redundans där så är lämpligt för Tjänsterna för att minimera effekten av ett fel på Tjänsterna, (ii) utforma Tjänsterna för att förutse och tolerera fel, och (iii) implementera lämpliga processer utformade för att flytta personuppgiftstrafik bort från de berörda områdena när det är nödvändigt för att återställa från fel.

  8. Affärskontinuitet och katastrofåterställning Shopify kommer att upprätthålla ett riskhanteringsprogram utformat för att stödja kontinuiteten i dess kritiska affärsfunktioner, inklusive processer och procedurer för identifiering av, respons på och återhämtning från händelser som kan förhindra eller väsentligt försämra Shopifys tillhandahållande av de Tjänster du får.

  9. Incidenthantering Shopify tillhandahåller dokumentation för att du ska kunna rapportera säkerhets- eller tillgänglighetsincidenter, ställa säkerhets- eller tillgänglighetsfrågor och skicka in information om potentiella säkerhets- eller tillgänglighetsproblem. Shopify kommer att upprätthålla korrigerande åtgärdsplaner och incidenthanteringsplaner utformade för att upptäcka, mildra, undersöka och reagera på potentiella säkerhetshot mot Tjänsterna.

B. Fysisk säkerhet Där det är nödvändigt för att skydda Tjänsterna kommer Shopify att (i) implementera rimliga åtgärder som är utformade för att förhindra obehörig fysisk åtkomst, skada eller störningar av Tjänsterna, (ii) använda lämpliga kontrollanordningar som är utformade för att begränsa fysisk åtkomst till Tjänsterna till endast behörig personal som har ett legitimt affärsbehov av sådan åtkomst, och (iii) utföra regelbundna granskningar för att validera efterlevnaden av dessa standarder.

C. Shopify-anställda Shopify-anställda som har behörighet att få åtkomst till personuppgifter är bundna av tystnadsplikt som en del av sina anställningsvillkor. Shopify kommer att implementera och upprätthålla säkerhetsutbildningsprogram för anställda gällande Shopifys informationssäkerhetskrav. Utbildningsprogram för säkerhetsmedveten kommer att ses över och uppdateras regelbundet.

II. Ändringar av denna bilaga

Shopify granskar sina säkerhetsåtgärder då och då och kan komma att uppdatera denna bilaga efter eget gottfinnande. Sådana uppdateringar kommer att ersätta tidigare versioner av detta bilaga från och med det datum då Shopify publicerar den uppdaterade versionen.

BILAGA C: GDPR, GDPR FÖR STORBRITANNIEN OCH BILAGA OM DATABEHANDLING I SCHWEIZ

I de fall behandlingen av personuppgifter enligt dataskyddsavtalet omfattas av dataskyddskrav i Europeiska ekonomiska samarbetsområdet (EES), Storbritannien (UK) eller Schweiz (gemensamt kallade "europeiska dataskyddslagar"), kompletterar bilaga C detta dataskyddsavtal.

I. Behandlingens art och parternas roll

A. Personuppgifter

  1. Enligt denna bilaga ska du agera som personuppgiftsansvarig och Shopify ska agera som personuppgiftsbiträde med avseende på behandlingen av dina personuppgifter enligt beskrivningen i bilaga 1, i den utsträckning det är nödvändigt för att uppfylla de affärsändamål som anges i villkoren och tillhandahålla dig de tjänster du väljer att använda.
  2. För att undvika tvivel ska Shopify agera som oberoende personuppgiftsansvarig avseende personuppgifter om kunder som Shopify mottager till följd av kundens direkta relation eller avsiktliga interaktioner med Shopify, enligt beskrivningen i Shopifys integritetspolicy.

II. Parternas skyldigheter

A. Dina skyldigheter

Du ska följa:

  • Europeiska dataskyddslagar som är bindande för dig vid utförandet av denna bilaga; och
  • Dina skyldigheter som anges i DPA, inklusive dina skyldigheter som anges i denna bilaga.

Du försäkrar och garanterar att du har en giltig rättslig grund för att behandla personuppgifterna (inklusive att göra sådana uppgifter tillgängliga för Shopify) och att du har erhållit alla nödvändiga samtycken, rättigheter och auktorisationer samt lämnat alla nödvändiga meddelanden till individer angående ditt utlämnande av personuppgifter till Shopify för att möjliggöra för Shopifys behandling av personuppgifter för att tillhandahålla tjänsterna, i enlighet med europeiska dataskyddslagar.

B. Shopifys skyldigheter

1. Anvisningar från den personuppgiftsansvarige och överträdelse av europeiska dataskyddslagar

a) Parterna är överens om att Villkoren tillsammans med detta DPA utgör Dina dokumenterade instruktioner avseende Shopifys behandling av Dina Personuppgifter (”Dokumenterade instruktioner”).

b) Shopify kommer endast att behandla personuppgifter som personuppgiftsbiträde: (i) i enlighet med dina dokumenterade instruktioner, eller (ii) för att uppfylla Shopifys skyldigheter enligt tillämplig lag, med förbehåll för eventuella meddelandekrav enligt Europeiska unionens eller Europeiska unionens länders lagar som Shopify omfattas av.

c) Shopify kommer att meddela dig om de får en instruktion som de rimligen kan bedöma bryter mot europeiska dataskyddslagar (men Shopify har ingen skyldighet att aktivt övervaka din efterlevnad av europeiska dataskyddslagar).

2. Sekretessskyldighet

Shopify kommer att säkerställa att personer som bemyndigar att behandla personuppgifter antingen ingår skriftliga sekretessavtal eller omfattas av lagstadgade sekretessskyldigheter.

3. Säkerhetsåtgärder

a) Shopify ska implementera och upprätthålla lämpliga tekniska och organisatoriska åtgärder som är utformade för att skydda dina personuppgifter mot obehörig eller olaglig behandling och mot oavsiktlig förlust, förstörelse, skada, stöld, obehörig åtkomst, ändring eller avslöjande, i enlighet med bilaga 2.

b) Med hänsyn till personuppgifternas art och relaterad behandling ska Shopify tillhandahålla sådan rimlig hjälp som du rimligen kan begära för att hjälpa dig att uppfylla dina säkerhetsskyldigheter enligt europeiska dataskyddslagar.

c) Shopify ska utan onödigt dröjsmål meddela dig om ett säkerhetsintrång som leder till oavsiktlig eller olaglig förstörelse, förlust, ändring, obehörigt avslöjande av eller åtkomst till dina personuppgifter som överförts, lagrats eller på annat sätt behandlats.

d) Shopify samtycker till att utreda alla sådana säkerhetsintrång och vidta kommersiellt rimliga åtgärder för att mildra effekterna.

4. Subprocessor

a) Du godkänner generellt att Shopify anlitar subprocessor för att behandla personuppgifter. Du samtycker vidare till att Shopify kan affiliate sina dotterbolag som subprocessor.

b) Shopifys användning av subprocessor för att behandla dina personuppgifter kommer att ske i enlighet med europeiska dataskyddslagar.

c) Shopify upprätthåller en uppdaterad lista över alla subprocessor enligt bilaga 3. Shopify kommer att uppdatera listan över subprocessor vid behov och förse dig med en mekanism för att få meddelande om tillägg eller ersättning av en subprocessor. Du kan invända mot Shopifys användning av en ny subprocessor.

d) I den utsträckning du invänder mot Shopifys användning av en underleverantör, och Shopify inte kan eller vill tillmötesgå sådana begäranden, kan du säga upp din användning av de berörda tjänsterna inom 30 dagar efter sådan anmälan i enlighet med villkoren.

e) Om Shopify anlitar en ny subprocessor ska Shopify ingå ett skriftligt avtal med subprocessor och Shopify ska ålägga subprocessor avtalsenliga skyldigheter som i huvudsak är desamma som de som anges i detta databehandlingsavtal. Shopify ska vara fullt ansvarigt för sina subprocessor handlingar och underlåtenheter i samma utsträckning som Shopify skulle vara ansvarigt om de utförde varje subprocessor tjänster direkt enligt villkoren i detta databehandlingsavtal. Shopifys ansvar ska dock vara föremål för de villkor och ansvarsbegränsningar som anges i Villkoren.

5. Bistånd till den personuppgiftsansvarige
Med hänsyn till arten av dina personuppgifter och relaterad behandling ska Shopify tillhandahålla sådan rimlig hjälp som du rimligen kan begära för att hjälpa dig att uppfylla dina skyldigheter:

  • för att svara på begäran om datarättigheter enligt europeiska dataskyddslagar;
  • att underrätta relevanta myndigheter och/eller registrerade om ett personuppgiftsdataläcka;
  • att genomföra konsekvensbedömningar gällande dataskydd och förhandssamråd;
  • för att säkerställa säkerheten för behandlingen i enlighet med avsnitt 3.

6. Bedömning av efterlevnad

a) Shopify kan fullgöra din rätt till granskning enligt europeiska dataskyddslagar avseende behandling av personuppgifter genom att – på din skriftliga begäran och med förbehåll för sekretess – förse dig med:

(i) Shopifys senaste resultat från sin revisionsrapport, antingen från Shopifys egen revisioner eller utarbetade av en oberoende tredjepartsrevisor;
(ii) ytterligare information som Shopify kontrollerar om en dataskyddsmyndighet eller myndighet begär det.

b) Förutsatt att och endast i den utsträckning som europeiska dataskyddslagar ger dig denna rätt, får du utöva din granskningsrätt: (i) i den utsträckning en oberoende internationellt erkänd revisor intygar att Shopifys tillhandahållande av en granskningsrapport inte ger tillräcklig information för att du ska kunna verifiera Shopifys efterlevnad av detta DPA och europeiska dataskyddslagar eller (ii) i den utsträckning som är nödvändig för att du ska kunna svara på en myndighetsrevision. Varje revision måste uppfylla följande parametrar: (i) utföras av en oberoende tredje part som kommer att ingå ett sekretessavtal med Shopify; (ii) vara begränsad i omfattning till frågor som rimligen krävs, och som ömsesidigt överenskommits, för att du ska kunna bedöma Shopifys efterlevnad av detta DPA och parternas efterlevnad av europeiska dataskyddslagar; (iii) ske vid ett ömsesidigt överenskommet datum och tidpunkt och endast under Shopifys ordinarie öppettider; (iv) ske högst en gång per år (såvida det inte krävs enligt europeiska dataskyddslagar); (v) endast omfatta anläggningar som kontrolleras av Shopify; (vi) begränsa resultaten till endast personuppgifter; och (vii) behandla alla resultat som konfidentiell information i den utsträckning som tillåts enligt europeiska dataskyddslagar. För att förtydliga, kommer Shopify att följa alla dina rättigheter enligt detta avsnitt 6 i enlighet med sina sekretessskyldigheter gentemot tredje part.

7. Bearbetningens slut

a) Under din användning av Tjänsterna kan du använda kontoverktyg för att få åtkomst till, återställa inställningarna för dig själv eller radera personuppgifter.

b) Efter uppsägning kommer Shopify, efter ditt val, att radera eller återlämna dina personuppgifter. Oaktat det föregående kan Shopify behålla personuppgifter: (i) enligt lag, inklusive europeiska dataskyddslagar; och (ii) i enlighet med sina standardpolicyer för säkerhetskopiering eller lagring av register, förutsatt att Shopify i båda fallen kommer att upprätthålla sekretessen för, och i övrigt följa tillämpliga bestämmelser i detta dataskyddsavtal med avseende på, lagrade personuppgifter, och inte ytterligare behandla lagrade personuppgifter förutom för sådant/sådana ändamål och för den varaktighet som är tillåten enligt sådan tillämplig lag.

8. Internationella överföringar

a) Med förbehåll för att följa europeiska dataskyddslagar kan Shopify International Ltd. komma att överföra personuppgifter som behandlats enligt detta bilaga utanför EES, Storbritannien och Schweiz i den utsträckning det är nödvändigt för att tillhandahålla sina tjänster (”Internationella överföringar”).

b) Sådana överföringar består huvudsakligen av överföring av personuppgifter till Shopify Inc., baserat i Kanada, som omfattas av ett beslut från EU-kommissionen 2002/2/EG av den 20 december 2001 om adekvat skydd av personuppgifter enligt den kanadensiska lagen om skydd av personuppgifter och elektroniska dokument.

c) Alla internationella överföringar till länder som inte säkerställer en adekvat dataskyddsnivå i enlighet med europeiska dataskyddslagar kommer att omfattas av lämpliga skyddsåtgärder, inklusive följande överföringsmekanismer:

  • de relevanta modulerna enligt standardavtalsklausulerna från 2021 som godkänts av Europeiska kommissionen i dess beslut 2021/914/EG daterat 4 juni 2021;
  • tillägget om internationell dataöverföring till Europeiska kommissionens standardavtalsklausuler för internationella dataöverföringar utfärdat av Storbritanniens informationskommissionärs kontor enligt S119A(1) i Storbritanniens dataskyddslag 2018;
  • standardavtalsklausulerna från 2021 i dess ändrade lydelse för att uppfylla kraven i den schweiziska federala lagen om dataskydd (i dess ändrade lydelse) av den 19 juni 1992, reviderad den 25 september 2001; och
  • eventuella standardavtalsklausuler, tillägg för internationell dataöverföring eller andra klausuler, tillägg eller överföringsmekanismer som kan ersätta de nuvarande klausulerna och tillägget.

d) Shopify kan, efter eget gottfinnande, ersätta överföringsmekanismer för att säkerställa att dataöverföringar följer gällande lagar. Om en överföring baseras på standardavtalsklausuler och sådana klausuler uppdateras av relevanta myndigheter, kommer sådana uppdaterade klausuler eller liknande avtal att införlivas i detta dataskyddsavtal som om de anges fullständigt häri.

BILAGA 1 - PERSONUPPGIFTER

BESKRIVNING AV BEHANDLINGEN AV PERSONUPPGIFTER

I. Behandlingens föremål

Tillhandahållande av Shopify-tjänster till handlare.

II. Kategorier av registrerade

Kund hos handlare

III. Kategorier av personuppgifter som behandlas

Se bilaga A ovan.

IV. Överföringsfrekvens

Kontinuerlig.

V. Bearbetningens art

Insamling, registrering, lagring, åtkomst, användning, överföring och radering av personuppgifter enligt beskrivningen i villkoren.

VI. Ändamål för vilka personuppgifter behandlas för den personuppgiftsansvariges räkning

För prestanda och förbättring av Tjänsterna enligt beskrivningen i Villkoren.

VII. Duration Of The Processing

Tjänsternas varaktighet enligt Villkoren eller tillämplig överenskommelse, plus perioden efter sådant utgång tills anonymisering, retur eller radering av data.

VIII. Behörig tillsynsmyndighet Den behöriga tillsynsmyndigheten ska vara Irlands dataskyddskommission.

BILAGA 2 - SÄKERHETSÅTGÄRDER

Information om säkerhetsåtgärder finns i bilaga B till DPA.

BILAGA 3 - FÖRTECKNING ÖVER SUBPROCESSOR

De subprocessor som Shopify använder för att utföra Tjänsterna enligt Villkoren listas här.

Subprocessor kommer att behandla de kategorier av personuppgifter som beskrivs ovan i samband med Tjänsterna under hela deras avtal med Shopify.