ภาคผนวกการประมวลผลข้อมูลของ Shopify

เรากำลังอัปเดตภาคผนวกการประมวลผลข้อมูล ซึ่งจะมีผลตั้งแต่วันที่ 25 กรกฎาคม 2025 คลิกที่นี่ เพื่อตรวจสอบการเปลี่ยนแปลง
ปรับปรุงล่าสุดเมื่อ: 10 กันยายน 2024

ภาคผนวกการประมวลผลข้อมูลของ Shopify

I. วัตถุประสงค์

ภาคผนวกของข้อตกลงว่าด้วยการประมวลผลข้อมูลของ Shopify นี้ (“DPA”) เป็นส่วนเสริมและรวมเข้าโดยการอ้างอิงในข้อกำหนดในการใช้บริการของ Shopify ร่วมกับเงื่อนไขใดๆ ที่ใช้ได้กับบริการ Shopify เพิ่มเติมใดๆ ที่คุณเลือกใช้ (“เงื่อนไข”) โดยและระหว่างคุณ (หรือ “ผู้ขาย”) และนิติบุคคลที่ทำสัญญากับ Shopify ตามที่ระบุไว้ในเงื่อนไข (“Shopify”) ซึ่งระบุวัตถุประสงค์ทางธุรกิจและบริการเฉพาะที่เกี่ยวข้องกับ DPA ในกรณีที่มีข้อขัดแย้งระหว่างเงื่อนไขและ DPA นี้ DPA จะมีผลเหนือกว่าในส่วนที่เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลของคุณ

ในกรณีที่การประมวลผลข้อมูลส่วนบุคคลภายใต้ DPA อยู่ภายใต้ข้อกำหนดการคุ้มครองข้อมูลในเขตเศรษฐกิจยุโรป (EEA) สหราชอาณาจักร (UK) หรือสวิตเซอร์แลนด์ ภาคผนวก ค จะเป็นส่วนเสริมของ DPA นี้ ในกรณีที่มีข้อขัดแย้งระหว่างภาคผนวก ค กับส่วนอื่นๆ ของ DPA นี้ ภาคผนวก ค จะมีผลเหนือกว่าในส่วนที่เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลของคุณภายใต้ข้อกำหนดความเป็นส่วนตัวของ EEA, สหราชอาณาจักร และสวิตเซอร์แลนด์

คุณและ Shopify (ซึ่งแต่ละฝ่ายเรียกว่า “ฝ่าย” รวมกันเรียกว่า “ฝ่ายต่างๆ”) ตกลงว่า DPA ฉบับนี้กำหนดภาระผูกพันของฝ่ายต่างๆ ที่ควบคุมการประมวลผลข้อมูลส่วนบุคคลของคุณที่เกี่ยวข้องกับข้อกำหนดและการใช้บริการของคุณ เพื่อหลีกเลี่ยงข้อสงสัย DPA ฉบับนี้จะไม่นำไปใช้กับการประมวลผลข้อมูลส่วนบุคคลใดๆ ของ Shopify ในฐานะผู้ควบคุมข้อมูล ซึ่งรวมถึงข้อมูลส่วนบุคคลเกี่ยวกับลูกค้าที่ได้รับอันเป็นผลจากความสัมพันธ์โดยตรงของลูกค้าหรือการโต้ตอบโดยเจตนากับ Shopify เช่น ผ่านบริการของ Shopify ที่ผู้บริโภคเข้าถึง เช่น Shop และ Shop Pay

II. คำจำกัดความ

คำศัพท์ที่ใช้ตัวพิมพ์ใหญ่แต่ไม่ได้กำหนดไว้ใน DPA นี้ จะมีความหมายเดียวกันกับที่กำหนดไว้ในข้อกำหนด:

ก. กฎหมายการคุ้มครองข้อมูลที่ใช้บังคับ: กฎหมายการคุ้มครองข้อมูลหรือความเป็นส่วนตัวใดๆ ที่ใช้กับการประมวลผลข้อมูลส่วนบุคคลของคุณโดย Shopify ภายใต้เงื่อนไข ระเบียบการบังคับใช้ และกฎหมายรอง โดยแต่ละข้ออาจมีการแก้ไข อัปเดต หรือแทนที่เป็นระยะๆ รวมถึง (ตามที่ใช้ได้ โดยขึ้นอยู่กับที่ตั้งหรือที่อยู่อาศัยของผู้ขายและ/หรือลูกค้าของคุณ)):

1. พระราชบัญญัติการคุ้มครองข้อมูลส่วนบุคคลและเอกสารอิเล็กทรอนิกส์ของประเทศแคนาดาปี 2000 (“pipeda”)

2. (a) california consumer privacy act แก้ไขเพิ่มเติมโดย california privacy rights act (“ccpa”) (b) virginia consumer data protection act (c) colorado privacy act (d) connecticut data privacy act (e) utah consumer privacy act (f) oregon consumer privacy act (g) texas data privacy and security act (h) montana consumer data privacy act และ (i) กฎหมายความเป็นส่วนตัวที่ครอบคลุมและคล้ายคลึงกันที่เคยมีผลบังคับใช้ในรัฐอื่นๆ ของสหรัฐอเมริกา (รวมกันเรียกว่า “กฎหมายการคุ้มครองข้อมูลของสหรัฐอเมริกา”)

3. ข้อบังคับทั่วไปเกี่ยวกับการคุ้มครองข้อมูล (ข้อบังคับ (eu) 2016/679) (“gdpr”) และกฎหมายบังคับใช้ระดับชาติใดๆ ที่เกี่ยวข้อง

4. กฎหมาย e-Privacy ของสหภาพยุโรป (Directive 2002/58/EC) แก้ไขเพิ่มเติม (“กฎหมายความเป็นส่วนตัวอิเล็กทรอนิกส์”)

5. ข้อบังคับทั่วไปเกี่ยวกับการคุ้มครองข้อมูลของสหราชอาณาจักร (“UK GDPR”) และพระราชบัญญัติการคุ้มครองข้อมูลของสหราชอาณาจักรปี 2018 (“UK DPA”)

6. พระราชบัญญัติการคุ้มครองข้อมูลส่วนบุคคลของสิงคโปร์ปี 2012 (“PDPA”) และ

7. พระราชบัญญัติการคุ้มครองข้อมูลของรัฐบาลกลางสวิส ("FDPA ของสวิส")

ข. ลูกค้า: บุคคลหรือองค์กรที่เยี่ยมชม มีส่วนร่วม และ/หรือซื้อสินค้า สินค้า หรือบริการจากร้านค้าของคุณ

ค. ข้อมูลส่วนบุคคล: ข้อมูลหรือข้อมูลที่กำหนดว่าเป็น 'ข้อมูลส่วนบุคคล' 'ข้อมูลส่วนบุคคล' หรือ 'ข้อมูลที่สามารถระบุตัวบุคคลได้' (หรือคำศัพท์ที่คล้ายคลึงกัน) ตามกฎหมายการคุ้มครองข้อมูลที่บังคับใช้จากหรือเกี่ยวกับลูกค้าของคุณที่ Shopify (หรือผู้ให้บริการภายนอกที่ดำเนินการในนามของ Shopify) เปิดเผยโดยคุณ (หรือผู้ให้บริการภายนอกที่ดำเนินการในนามของคุณ) เป็นส่วนหนึ่งของการใช้บริการ รวมถึงข้อมูลส่วนบุคคลอื่นๆ ที่คุณเลือกที่จะแบ่งปันกับ Shopify เกี่ยวกับลูกค้าของคุณเป็นส่วนหนึ่งของการใช้บริการ เพื่อความชัดเจน ข้อมูลส่วนบุคคลจะไม่รวมถึงข้อมูลส่วนบุคคลใดๆ เกี่ยวกับลูกค้าที่ Shopify ประมวลผลในฐานะผู้ควบคุมข้อมูลและ/หรือได้รับอันเป็นผลจากความสัมพันธ์โดยตรงของลูกค้าหรือการโต้ตอบโดยเจตนากับ Shopify หรือกับผู้ขายบน Shopify รายอื่น

ง. คำขอสิทธิข้อมูล: คำขอที่ถูกต้องและถูกกฎหมายจากบุคคลเพื่อใช้สิทธิ์ที่มีอยู่เกี่ยวกับข้อมูลส่วนบุคคลภายใต้กฎหมายการคุ้มครองข้อมูลที่บังคับใช้

จ. ผู้ควบคุมข้อมูล: ฝ่ายที่กำหนดจุดประสงค์และวิธีการในการประมวลผลข้อมูลส่วนบุคคลหรือตามที่กำหนดไว้ภายใต้กฎหมายการคุ้มครองข้อมูลที่บังคับใช้

ฉ. ผู้ประมวลผลข้อมูลหรือผู้ให้บริการ: ฝ่ายหรือหน่วยงานอื่นหรือธุรกิจที่ให้บริการในนามและประมวลผลข้อมูลส่วนบุคคลตามคำสั่งและในนามของผู้ควบคุมข้อมูล และจะต้องตีความตามกฎหมายการคุ้มครองข้อมูลที่บังคับใช้

ช. การละเมิดข้อมูลส่วนบุคคล: ในส่วนที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของคุณ จะต้องตีความตามกฎหมายการคุ้มครองข้อมูลที่บังคับใช้

ซ.กระบวนการ” “กระบวนการ” หรือ “การประมวลผล”: (a) การดำเนินการหรือชุดการดำเนินการใดๆ ที่ดำเนินการกับข้อมูลส่วนบุคคลหรือชุดข้อมูลส่วนบุคคล ไม่ว่าจะโดยวิธีการอัตโนมัติหรือไม่ เช่น การรวบรวม การบันทึก การจัดระเบียบ การจัดโครงสร้าง การจัดเก็บ การดัดแปลงหรือแก้ไข การดึงคืน การปรึกษาหารือ การใช้ การเปิดเผยโดยการส่ง การเผยแพร่หรือการทำให้พร้อมใช้งานในรูปแบบอื่น การจัดตำแหน่งหรือการรวมกัน การจำกัด การลบ หรือการทำลาย หรือ (b) คำจำกัดความที่ให้ไว้กับคำศัพท์ดังกล่าวภายใต้กฎหมายการคุ้มครองข้อมูลที่บังคับใช้

ฌ.ผู้ประมวลผลรายย่อย”: บริษัทในเครือหรือผู้ประมวลผลข้อมูลของผู้ให้บริการภายนอกหรือผู้ให้บริการที่อาจประมวลผลข้อมูลส่วนบุคคลตามคำแนะนำของ Shopify เพื่อวัตถุประสงค์ในการให้บริการ

ญ.คุณ” “ของคุณ” หรือ “ผู้ขาย” หมายถึงธุรกิจที่ใช้บริการและเป็นคู่สัญญาในเงื่อนไขกับ Shopify

III. ลักษณะการประมวลผลและบทบาทของคู่กรณี

Shopify รับและประมวลผลข้อมูลส่วนบุคคลของคุณเพื่อให้บริการแก่คุณและตามที่ระบุไว้ด้านล่าง Shopify จะประมวลผลหมวดหมู่ข้อมูลส่วนบุคคลตามที่ระบุไว้ในภาคผนวก ก ในลักษณะและฐานที่ระบุไว้ในนั้น โดยขึ้นอยู่กับบริการที่คุณร้องขอหรือใช้

Shopify จะประมวลผลข้อมูลส่วนบุคคลของคุณในฐานะผู้ประมวลผลข้อมูลหรือผู้ให้บริการตามความจำเป็นในการจัดเตรียมและปรับปรุงบริการหรือตามที่กฎหมายการคุ้มครองข้อมูลที่บังคับใช้อนุญาต ในฐานะส่วนหนึ่งของการจัดเตรียมและปรับปรุงบริการอย่างต่อเนื่อง Shopify อาจรวบรวม ทำให้ไม่ระบุตัวตน หรือทำให้ข้อมูลส่วนบุคคลของคุณไม่ระบุตัวตน

ในขอบเขตที่ Shopify ได้รับข้อมูลส่วนบุคคลที่ไม่ระบุตัวตนจากคุณ Shopify จะรักษาและใช้ข้อมูลดังกล่าวในลักษณะที่ไม่ระบุตัวตนเท่านั้น

IV. ภาระผูกพันของคู่สัญญา

ส่วนต่อไปนี้จะอธิบายถึงภาระผูกพันของแต่ละฝ่ายที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลที่ครอบคลุมโดย DPA นี้

A. การปฏิบัติตามทั่วไป

1. ฝ่ายต่างๆ จะต้องปฏิบัติตามภาระผูกพันของตนภายใต้กฎหมายการคุ้มครองข้อมูลที่ใช้บังคับ

2. Shopify จะไม่มีภาระผูกพันในการตีความหรือให้คำแนะนำคุณเกี่ยวกับภาระผูกพันของคุณภายใต้กฎหมายการคุ้มครองข้อมูลที่ใช้บังคับ รวมถึงในส่วนที่เกี่ยวกับข้อมูลส่วนบุคคลที่ครอบคลุมโดย DPA นี้ คุณเป็นผู้รับผิดชอบแต่เพียงผู้เดียวในการกำหนดภาระผูกพันทางกฎหมายและข้อบังคับของคุณ รวมถึงการประเมินว่ามาตรการทางเทคนิคและองค์กรของบริการสอดคล้องกับภาระผูกพันทางกฎหมายและข้อบังคับอิสระของคุณหรือไม่

ข. ภาระผูกพันของ Shopify

1. ความปลอดภัยของข้อมูล
Shopify จะดำเนินการและบำรุงรักษามาตรการทางเทคนิคและองค์กรที่เหมาะสมซึ่งออกแบบมาเพื่อปกป้องข้อมูลส่วนบุคคลของคุณจากการประมวลผลที่ไม่ได้รับอนุญาตหรือผิดกฎหมาย และจากการสูญเสีย การทำลาย ความเสียหาย การโจรกรรม การเปลี่ยนแปลง หรือการเปิดเผยโดยไม่ได้ตั้งใจ ตามที่ระบุไว้ในภาคผนวก ข

2. การแจ้งเตือนและการสืบสวนการละเมิดข้อมูลส่วนบุคคล
ก) ตามที่กฎหมายการคุ้มครองข้อมูลที่บังคับใช้กำหนด Shopify จะแจ้งให้คุณทราบเมื่อ Shopify ยืนยันการละเมิดข้อมูลส่วนบุคคลใดๆ

ข) การแจ้งดังกล่าวจะต้องรวมถึงข้อมูลที่จำเป็นภายใต้กฎหมายการคุ้มครองข้อมูลที่บังคับใช้ในขอบเขตที่ Shopify สามารถเข้าถึงข้อมูลดังกล่าวได้อย่างสมเหตุสมผล การตอบสนองของ Shopify ต่อหรือการแจ้งการละเมิดข้อมูลส่วนบุคคลไม่ถือเป็นการรับทราบของ Shopify ถึงความผิดพลาดหรือความรับผิดใดๆ

ค) Shopify ตกลงที่จะตรวจสอบการละเมิดข้อมูลส่วนบุคคลใดๆ และใช้ความพยายามที่เหมาะสมในเชิงพาณิชย์เพื่อระบุ ป้องกัน บรรเทา และแก้ไขผลกระทบ

3. การร้องขอสิทธิ์ข้อมูล
ก) ในขอบเขตที่จำเป็นตามกฎหมายการคุ้มครองข้อมูลที่บังคับใช้ Shopify จะอำนวยความสะดวกให้กับความสามารถของคุณในการประมวลผลและตอบสนองต่อคำขอด้านสิทธิข้อมูลจากลูกค้าของคุณที่เกี่ยวข้องกับการใช้บริการของคุณ

ข) เพื่อขอความช่วยเหลือในการตอบสนองต่อคำขอสิทธิ์ข้อมูลดังกล่าว ให้ส่งต่อคำขอดังกล่าวไปยัง Shopify ผ่านคอนโซล/พอร์ทัลการดูแลระบบผู้ขายบน Shopify เว้นแต่ Shopify จะแจ้งให้คุณทราบถึงกลไกอื่น

C. ภาระผูกพันของคุณเกี่ยวกับข้อมูลส่วนบุคคล

1. ประกาศว่าด้วยความเป็นส่วนตัวและความโปร่งใส: คุณรับรองและรับประกันว่าคุณปฏิบัติตามภาระผูกพันทั้งหมดภายใต้กฎหมายการคุ้มครองข้อมูลที่บังคับใช้ในการแจ้งให้ทราบและโปร่งใสเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลของคุณภายใต้ข้อกำหนดและที่เกี่ยวข้องกับการใช้บริการของคุณ ในขอบเขตที่จำเป็นภายใต้กฎหมายการคุ้มครองข้อมูลที่บังคับใช้ คุณจะต้องแจ้งการเปิดเผยข้อมูลทั้งหมดที่จำเป็นต่อ Shopify เพื่อประมวลผลข้อมูลส่วนบุคคลอย่างถูกต้องตามกฎหมายและเป็นธรรมที่เกี่ยวข้องกับ DPA นี้ ซึ่งรวมถึงการให้ลิงก์ไปยังนโยบายความเป็นส่วนตัวของ Shopify หรือไปยังนโยบายความเป็นส่วนตัวของคุณเอง

2. สิทธิและการอนุญาตของลูกค้า: คุณรับรองและรับประกันว่าคุณมีสิทธิ์ การอนุญาต และความยินยอมทั้งหมดที่จำเป็นในการเปิดเผยข้อมูลส่วนบุคคลให้กับ Shopify ตามข้อกำหนด การใช้บริการที่คุณได้รับ และกฎหมายการคุ้มครองข้อมูลที่ใช้บังคับ

3. คำขอสิทธิ์ข้อมูล: คุณรับรองและรับประกันว่าคุณให้ความสามารถแก่ลูกค้าของคุณในการใช้คำขอสิทธิ์ข้อมูลตามที่กฎหมายการคุ้มครองข้อมูลที่บังคับใช้กำหนด เกี่ยวกับข้อมูลส่วนบุคคลทั้งหมดที่ประมวลผลโดย Shopify ซึ่งคุณเป็นผู้ควบคุมข้อมูล

4. การสอบถามทางกฎระเบียบ: เว้นแต่กฎหมายที่เกี่ยวข้องจะห้ามไว้ คุณจะแจ้งให้เราทราบโดยทันทีตามข้อกำหนดการแจ้งเตือนในข้อกำหนดของการสอบถามหรือข้อร้องเรียนจากหน่วยงานของรัฐ หน่วยงานกำกับดูแล หรือผู้ให้บริการภายนอกอื่นๆ เกี่ยวกับการใช้บริการของคุณ

V. กฎหมายการคุ้มครองข้อมูลของสหรัฐอเมริกา

ส่วนนี้มีผลใช้บังคับเฉพาะในขอบเขตที่: (i) กฎหมายการคุ้มครองข้อมูลของสหรัฐอเมริกามีผลใช้กับคุณโดยเกี่ยวข้องกับการใช้บริการของคุณ และ (ii) บทบัญญัติต่อไปนี้จำเป็นตามกฎหมายการคุ้มครองข้อมูลของสหรัฐอเมริกา และคุณเป็น “ธุรกิจ” หรือ “ผู้ควบคุม” ตามกฎหมายเหล่านี้

ก. Shopify จะไม่: (i) เก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลดังกล่าวภายนอกความสัมพันธ์ทางธุรกิจโดยตรงกับคุณ หรือเพื่อวัตถุประสงค์อื่นใดนอกเหนือจากวัตถุประสงค์ที่จำกัดและเฉพาะเจาะจงตามที่ระบุใน DPA นี้และ/หรือข้อกำหนด รวมถึงการเก็บรักษา ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลดังกล่าวเพื่อวัตถุประสงค์เชิงพาณิชย์อื่นใดนอกเหนือจากวัตถุประสงค์ที่จำกัดและเฉพาะเจาะจงตามที่ระบุใน DPA นี้และ/หรือข้อกำหนด (ii) "ขาย" หรือ "แบ่งปัน" ข้อมูลส่วนบุคคลดังกล่าวตามความหมายของ ccpa หรือ (iii) รวมข้อมูลส่วนบุคคลดังกล่าวกับข้อมูลส่วนบุคคลที่ได้รับจากแหล่งอื่น ในแต่ละกรณี ยกเว้นตามที่ได้รับอนุญาตภายใต้กฎหมายการคุ้มครองข้อมูลของสหรัฐอเมริกา

ข. Shopify จะ (i) จัดให้มีระดับการปกป้องความเป็นส่วนตัวเท่ากันกับที่ธุรกิจหรือผู้ควบคุมข้อมูลกำหนดตามกฎหมายดังกล่าว และแจ้งให้คุณทราบหาก Shopify ตัดสินใจว่าไม่สามารถปฏิบัติตามภาระผูกพันเหล่านี้ได้อีกต่อไป ในกรณีนี้ คุณสามารถดำเนินขั้นตอนที่สมเหตุสมผลและเหมาะสมเพื่อหยุดหรือแก้ไขการประมวลผลข้อมูลส่วนบุคคลที่ไม่ได้รับอนุญาตดังกล่าว (ii) ให้แน่ใจว่าบุคลากรที่ Shopify มอบอำนาจให้ประมวลผลข้อมูลส่วนบุคคลได้ลงนามในข้อตกลงการรักษาความลับเป็นลายลักษณ์อักษรหรืออยู่ภายใต้ภาระผูกพันตามกฎหมายเกี่ยวกับการรักษาความลับ (iii) เมื่อมีการร้องขอเป็นลายลักษณ์อักษรที่สมเหตุสมผล และเป็นส่วนหนึ่งของการช่วยให้คุณดำเนินขั้นตอนที่สมเหตุสมผลและเหมาะสมเพื่อให้แน่ใจว่า Shopify ใช้ข้อมูลส่วนบุคคลดังกล่าวในลักษณะที่สอดคล้องกับกฎหมายการคุ้มครองข้อมูลของสหรัฐอเมริกา จัดทำรายงาน soc2 ที่แสดงการประเมินที่สมเหตุสมผลเกี่ยวกับโปรแกรมรักษาความปลอดภัยข้อมูลของ Shopify และ (iv) เมื่อยุติการให้บริการแก่คุณ Shopify จะเริ่มกระบวนการล้างข้อมูลเพื่อลบหรือทำให้ข้อมูลส่วนบุคคลไม่สามารถระบุตัวตนได้

ค. คุณรับรองและรับประกันว่าคุณจะไม่แบ่งปันข้อมูลส่วนบุคคลใดๆ ของบุคคลซึ่งได้ใช้สิทธิ์ยกเลิกที่คุณได้ตกลงที่จะให้เกียรติกับ Shopify หรือข้อมูลส่วนบุคคลที่ละเอียดอ่อนใดๆ ของบุคคลที่ไม่ได้ยินยอมให้มีการประมวลผลข้อมูลที่ละเอียดอ่อนดังกล่าว

VI. เบ็ดเตล็ด

ก. การถ่ายโอนข้อมูลทั่วโลก
คุณรับทราบว่าข้อมูลส่วนบุคคลอาจถูกโอนและประมวลผลในทุกประเทศที่ Shopify บริษัทในเครือ หรือผู้ให้บริการผู้ให้บริการภายนอกตั้งอยู่ (รวมถึงในสิงคโปร์และแคนาดา) การถ่ายโอนข้อมูลส่วนบุคคลไปยังผู้รับเหล่านี้จะดำเนินการตามกฎหมายการคุ้มครองข้อมูลที่บังคับใช้ สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการโอนข้อมูลระหว่างประเทศ ซึ่ง Shopify อยู่ภายใต้ข้อกำหนดความเป็นส่วนตัวใน EEA สหราชอาณาจักร หรือสวิตเซอร์แลนด์ โปรดดูส่วน II(B)(8) ของภาคผนวก ค

ข. การตอบสนองต่อคำขอทางกฎหมาย

  1. คุณยอมรับว่าในระหว่างการให้บริการแก่คุณ Shopify อาจแบ่งปันข้อมูลส่วนบุคคลของคุณ (i) เพื่อปฏิบัติตามข้อกำหนดทางกฎหมายหรือตอบสนองต่อคำสั่งศาลหรือความต้องการของรัฐบาลหรือหน่วยงานกำกับดูแลที่คล้ายคลึงกันอื่นๆ หรือ (ii) เพื่อป้องกันหรือสืบสวนการฉ้อโกงที่ต้องสงสัย ภัยคุกคามต่อความปลอดภัยทางกายภาพ กิจกรรมที่ผิดกฎหมาย หรือการละเมิดสัญญา (เช่น ข้อกำหนด) หรือนโยบายของเรา (เช่น นโยบายการใช้งานที่ยอมรับได้)

  2. Shopify จะใช้ความพยายามอย่างสมเหตุสมผลก่อนผลิตข้อมูลส่วนบุคคลดังกล่าวเพื่อให้แน่ใจว่าการเปิดเผยดังกล่าวได้รับอนุญาตภายใต้กฎหมายการคุ้มครองข้อมูลที่ใช้บังคับ และจะถือเป็นข้อมูลที่เป็นความลับภายใต้กรอบกฎหมายที่ใช้บังคับ

ค. การเปิดเผยข้อมูลในการทำธุรกรรมขององค์กร
คุณยอมรับว่าในระหว่างการให้บริการแก่คุณ Shopify อาจจำเป็นต้องแบ่งปันข้อมูลส่วนบุคคลกับคู่สัญญาที่มีศักยภาพในการทำธุรกรรมองค์กรหรือการปรับโครงสร้างใหม่

ง. การใช้โปรเซสเซอร์ย่อย/ผู้ให้บริการของ Shopify

  1. คุณรับทราบว่าในระหว่างให้บริการแก่คุณ Shopify อาจใช้ผู้ประมวลผลรายย่อยเพื่อประมวลผลข้อมูลส่วนบุคคล Shopify จะจัดทำรายชื่อผู้ประมวลผลรายย่อยที่ใช้ล่าสุด หากกฎหมายการคุ้มครองข้อมูลที่บังคับใช้ให้สิทธิ์ดังกล่าวแก่คุณ คุณสามารถคัดค้านการใช้ผู้ประมวลผลรายย่อยของ Shopify และหาก Shopify ไม่สามารถหรือไม่เต็มใจที่จะตอบสนองคำขอดังกล่าว คุณสามารถยุติการใช้บริการที่เกี่ยวข้องได้ตามกฎหมายดังกล่าวภายใน 30 วันนับจากวันที่ได้รับแจ้งตามเงื่อนไข

  2. การที่ Shopify ใช้ตัวประมวลผลย่อยในการประมวลผลข้อมูลส่วนบุคคลที่คุณให้มาจะต้องเป็นไปตามกฎหมายการคุ้มครองข้อมูลที่บังคับใช้ ในกรณีที่ Shopify ว่าจ้างตัวประมวลผลย่อย Shopify จะทำข้อตกลงเป็นลายลักษณ์อักษรกับตัวประมวลผลย่อยซึ่งกำหนดภาระผูกพันตามสัญญาที่เหมือนกันกับที่ระบุไว้ใน DPA นี้

จ. การแก้ไข DPA
คุณรับทราบและตกลงว่า Shopify อาจแก้ไข DPA นี้ได้เป็นระยะๆ โดยโพสต์ DPA ที่แก้ไขและระบุใหม่ที่เกี่ยวข้องบนเว็บไซต์ของ Shopify ซึ่งสามารถดูได้ที่ https://Shopify.com/legal/dpa และการแก้ไข DPA ดังกล่าวจะมีผลบังคับใช้ตั้งแต่วันที่โพสต์ การที่คุณยังคงใช้บริการต่อไปหลังจากที่โพสต์ DPA ที่แก้ไขแล้วบนเว็บไซต์ของ Shopify ถือเป็นการตกลงและยอมรับ DPA ที่แก้ไขแล้ว หากคุณไม่เห็นด้วยกับการเปลี่ยนแปลงใดๆ ของ DPA อย่าใช้บริการต่อไป

ภาคผนวกที่ 7

  1. ภาคผนวก ก - หมวดหมู่ข้อมูลส่วนบุคคล
  2. ภาคผนวก ข - ความปลอดภัยของข้อมูล
  3. ภาคผนวก ค - GDPR, GDPR ของสหราชอาณาจักร และภาคผนวกการประมวลผลข้อมูลของสวิตเซอร์แลนด์

ภาคผนวก A: หมวดหมู่ข้อมูลส่วนบุคคล

เป็นส่วนหนึ่งของการที่คุณใช้งานบริการ และขึ้นอยู่กับบริการที่คุณใช้ เราอาจรับและประมวลผลข้อมูลส่วนบุคคลประเภทต่อไปนี้เพื่อให้บริการ:

  • ชื่อลูกค้า อีเมล ข้อมูลการติดต่อ การเรียกเก็บเงินและการจัดส่ง
  • ข้อมูลการซื้อและธุรกรรมอื่นๆ จากร้านค้าของคุณ
  • อัปเดตเกี่ยวกับสถานะการทำธุรกรรมกับคุณหรือร้านค้าของคุณ
  • กิจกรรมของลูกค้าในร้านค้าของคุณ รวมถึงผลิตภัณฑ์ที่ดูและ/หรือรวมอยู่ในรถเข็นสินค้า
  • สัญญาณการกำหนดลักษณะของลูกค้า รวมถึงการควบคุมความเป็นส่วนตัวทั่วโลก ("GPC") สัญญาณการไม่เข้าร่วมและการเข้าร่วม
  • ข้อมูลอุปกรณ์ของลูกค้าสำหรับอุปกรณ์ที่ใช้เมื่อเยี่ยมชมร้านค้าของคุณ รวมถึงที่อยู่ IP เบราว์เซอร์และกิจกรรมเครือข่าย
  • ข้อมูลอื่นๆ เกี่ยวกับปฏิสัมพันธ์ของลูกค้ากับคุณ
  • ข้อมูลส่วนบุคคลอื่นๆ ที่คุณเลือกให้พร้อมใช้งานกับ Shopify

ภาคผนวก B: ความปลอดภัยของข้อมูล

Shopify จะรักษาโปรแกรมการรักษาความปลอดภัยข้อมูลที่ออกแบบมาเพื่อ (a) ช่วยให้คุณสามารถรักษาความปลอดภัยข้อมูลส่วนบุคคลของคุณจากการประมวลผลที่ไม่ได้รับอนุญาตหรือผิดกฎหมาย และจากการสูญหาย การทำลาย ความเสียหาย การโจรกรรม การเปลี่ยนแปลง หรือการเปิดเผยโดยไม่ได้ตั้งใจ (b) ระบุความเสี่ยงที่คาดการณ์ได้อย่างสมเหตุสมผลต่อความปลอดภัยและความพร้อมใช้งานของบริการที่คุณได้รับ และ (c) ลดความเสี่ยงด้านความปลอดภัยต่อบริการให้เหลือน้อยที่สุด

I. โปรแกรมรักษาความปลอดภัยข้อมูลของ Shopify จะรวมถึงการป้องกันต่อไปนี้:

ก. ความปลอดภัยทางตรรกะ

  1. การควบคุมการเข้าถึง Shopify จะทำให้ระบบของตนสามารถเข้าถึงได้เฉพาะบุคลากรที่ได้รับอนุญาตเท่านั้น และเฉพาะเท่าที่จำเป็นต่อการบำรุงรักษาและให้บริการ Shopify จะรักษาการควบคุมการเข้าถึงและนโยบายที่ออกแบบมาเพื่อจัดการการอนุญาตสำหรับการเข้าถึงระบบของตน รวมถึงผ่านการใช้ไฟร์วอลล์และ/หรือเทคโนโลยีอื่นๆ และการควบคุมการรับรองความถูกต้อง

  2. การเข้าถึงของผู้ใช้ที่จำกัด Shopify จะ (i) จัดเตรียมและจำกัดการเข้าถึงระบบตามหลักการสิทธิ์ขั้นต่ำตามหน้าที่การทำงานของบุคลากร และ (ii) กำหนดให้ต้องมีกการยืนยันตัวตนแบบสองชั้น (2FA) เพื่อเข้าถึงระบบของตน

  3. การประเมินความเสี่ยง Shopify จะรักษาการประเมินความเสี่ยงและโปรแกรมการทดสอบการเจาะระบบ โดยรับผิดชอบในการสืบสวนและติดตามปัญหาที่ระบุไว้ในบริการเพื่อแก้ไขเมื่อจำเป็น

  4. การรักษาความปลอดภัยแอปพลิเคชัน Shopify ดูแลโปรแกรมรักษาความปลอดภัยแอปพลิเคชันที่รับผิดชอบในการปกป้องบริการจากภัยคุกคามความปลอดภัยของแอปพลิเคชัน

  5. การจัดการการเปลี่ยนแปลง Shopify จะรักษาการควบคุมที่ออกแบบมาเพื่อบันทึก อนุญาต ทดสอบ อนุมัติ และบันทึกการเปลี่ยนแปลงทรัพยากรบริการที่มีอยู่ และจะบันทึกรายละเอียดการเปลี่ยนแปลงภายในเครื่องมือการจัดการการเปลี่ยนแปลงหรือการปรับใช้ Shopify จะทดสอบการเปลี่ยนแปลงตามมาตรฐานการจัดการการเปลี่ยนแปลงก่อนย้ายไปยังการผลิต

  6. ความสมบูรณ์ของข้อมูล ตามความเหมาะสม Shopify จะรักษาการควบคุมที่ออกแบบมาเพื่อให้ข้อมูลมีความสมบูรณ์ในระหว่างการส่ง การจัดเก็บ และการประมวลผลภายในบริการ

  7. ความพร้อมใช้งาน Shopify จะ (i) ดำเนินการซ้ำซ้อนเมื่อเหมาะสมสำหรับบริการเพื่อลดผลกระทบของความผิดปกติที่เกิดขึ้นกับบริการ (ii) ออกแบบบริการเพื่อคาดการณ์และทนต่อความล้มเหลว และ (iii) ดำเนินการตามกระบวนการที่เหมาะสมที่ออกแบบมาเพื่อย้ายปริมาณการใช้ข้อมูลส่วนบุคคลออกจากพื้นที่ที่ได้รับผลกระทบเมื่อจำเป็นต้องกู้คืนจากความล้มเหลว

  8. ความต่อเนื่องทางธุรกิจและการกู้คืนจากภัยพิบัติ Shopify จะรักษาโปรแกรมการจัดการความเสี่ยงที่ออกแบบมาเพื่อสนับสนุนความต่อเนื่องของการทำงานทางธุรกิจที่สำคัญ รวมไปถึงกระบวนการและขั้นตอนสำหรับการระบุ ตอบสนอง และกู้คืนจากเหตุการณ์ที่อาจป้องกันหรือทำให้การให้บริการของ Shopify ที่คุณได้รับเสียหายอย่างมาก

  9. การจัดการเหตุการณ์ Shopify จัดทำเอกสารเพื่อให้คุณรายงานเหตุการณ์ด้านความปลอดภัยหรือความพร้อมใช้งาน ถามคำถามด้านความปลอดภัยหรือความพร้อมใช้งาน และส่งข้อมูลเกี่ยวกับปัญหาความปลอดภัยหรือความพร้อมใช้งานที่อาจเกิดขึ้น Shopify จะจัดทำแผนการดำเนินการแก้ไขและแผนการตอบสนองต่อเหตุการณ์ที่ออกแบบมาเพื่อตรวจจับ บรรเทา สอบสวน และตอบสนองต่อภัยคุกคามด้านความปลอดภัยที่อาจเกิดขึ้นกับบริการ

ข. ความปลอดภัยทางกายภาพ หากจำเป็นเพื่อปกป้องการบริการ Shopify จะ (i) นำมาตรการที่เหมาะสมซึ่งออกแบบมาเพื่อป้องกันการเข้าถึงทางกายภาพที่ไม่ได้รับอนุญาต ความเสียหาย หรือการรบกวนต่อบริการ (ii) ใช้อุปกรณ์ควบคุมที่เหมาะสมซึ่งออกแบบมาเพื่อจำกัดการเข้าถึงทางกายภาพต่อบริการให้เฉพาะบุคลากรที่ได้รับอนุญาตซึ่งมีความจำเป็นทางธุรกิจที่ถูกต้องสำหรับการเข้าถึงดังกล่าว และ (iii) ดำเนินการตรวจสอบเป็นระยะเพื่อตรวจสอบการปฏิบัติตามมาตรฐานเหล่านี้

ค. พนักงานของ Shopify พนักงานของ Shopify ที่ได้รับอนุญาตให้เข้าถึงข้อมูลส่วนบุคคลจะต้องปฏิบัติตามข้อผูกพันเรื่องความลับซึ่งเป็นส่วนหนึ่งของเงื่อนไขการจ้างงาน Shopify จะดำเนินการและรักษาโปรแกรมการฝึกอบรมด้านความปลอดภัยของพนักงานเกี่ยวกับข้อกำหนดด้านความปลอดภัยของข้อมูลของ Shopify โปรแกรมการฝึกอบรมความตระหนักด้านความปลอดภัยจะได้รับการตรวจสอบและอัปเดตเป็นระยะ

II. การแก้ไขภาคผนวกนี้

Shopify ตรวจสอบมาตรการรักษาความปลอดภัยเป็นระยะๆ และอาจอัปเดตภาคผนวกนี้ตามดุลยพินิจแต่เพียงผู้เดียว การอัปเดตดังกล่าวจะแทนที่เวอร์ชันก่อนหน้าของภาคผนวกนี้ตั้งแต่วันที่ Shopify เผยแพร่เวอร์ชันที่อัปเดต

ภาคผนวก ค: GDPR, GDPR ของสหราชอาณาจักร และภาคผนวกการประมวลผลข้อมูลของสวิตเซอร์แลนด์

ในกรณีที่การประมวลผลข้อมูลส่วนบุคคลภายใต้ DPA อยู่ภายใต้ข้อกำหนดการคุ้มครองข้อมูลในเขตเศรษฐกิจยุโรป (“EEA”) สหราชอาณาจักร (“UK”) หรือสวิตเซอร์แลนด์ (เรียกรวมกันว่า “กฎหมายการคุ้มครองข้อมูลของยุโรป”) ภาคผนวก ค จะเป็นภาคผนวกเพิ่มเติมของ DPA นี้

I. ลักษณะของการประมวลผลและบทบาทของคู่สัญญา

ก. ข้อมูลส่วนบุคคล

  1. ภายใต้ภาคผนวกนี้ คุณจะต้องทำหน้าที่เป็นผู้ควบคุมข้อมูล และ Shopify จะต้องทำหน้าที่เป็นผู้ประมวลผลข้อมูลเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลของคุณตามที่อธิบายไว้ในภาคผนวก 1 ตามความจำเป็นเพื่อตอบสนองวัตถุประสงค์ทางธุรกิจที่ระบุไว้ในข้อกำหนด และมอบบริการที่คุณเลือกใช้ให้กับคุณ
  2. เพื่อหลีกเลี่ยงข้อสงสัย Shopify จะทำหน้าที่เป็นผู้ควบคุมข้อมูลอิสระเกี่ยวกับข้อมูลส่วนบุคคลเกี่ยวกับลูกค้าที่ Shopify ได้รับอันเป็นผลมาจากความสัมพันธ์โดยตรงของลูกค้าหรือการโต้ตอบโดยเจตนากับ Shopify ตามที่อธิบายไว้ในนโยบายความเป็นส่วนตัวของ Shopify

II. พันธะของคู่สัญญา

ก. ภาระผูกพันของคุณ

คุณจะต้องปฏิบัติตาม:

  • กฎหมายการคุ้มครองข้อมูลของยุโรปผูกพันคุณในการปฏิบัติตามภาคผนวกนี้ และ
  • ภาระผูกพันของคุณที่กำหนดไว้ใน DPA รวมถึงภาระผูกพันของคุณที่กำหนดไว้ในภาคผนวกนี้

คุณรับรองและรับประกันว่าคุณมีฐานทางกฎหมายที่ถูกต้องในการประมวลผลข้อมูลส่วนบุคคล (รวมถึงการทำให้ข้อมูลดังกล่าวพร้อมใช้งานสำหรับ Shopify) และได้รับความยินยอม สิทธิ และการอนุญาตที่จำเป็น และได้ให้คำชี้แจงที่จำเป็นแก่บุคคลต่างๆ เกี่ยวกับการเปิดเผยข้อมูลส่วนบุคคลของคุณไปยัง Shopify เพื่อให้ Shopify สามารถประมวลผลข้อมูลส่วนบุคคลเพื่อให้บริการได้ ตามที่กฎหมายการคุ้มครองข้อมูลของยุโรปกำหนด

ข. ภาระผูกพันของ Shopify

1. คำแนะนำของผู้ควบคุมและการละเมิดกฎหมายการคุ้มครองข้อมูลของยุโรป

ก) ทั้งสองฝ่ายตกลงกันว่าข้อกำหนดพร้อมกับ DPA นี้ถือเป็นคำแนะนำที่เป็นเอกสารของคุณเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลของคุณโดย Shopify (“คำแนะนำที่เป็นเอกสาร”)

ข) Shopify จะประมวลผลข้อมูลส่วนบุคคลในฐานะผู้ประมวลผลเท่านั้น: (i) ตามคำแนะนำในเอกสารของคุณหรือ (ii) เพื่อปฏิบัติตามภาระผูกพันของ Shopify ภายใต้กฎหมายที่บังคับใช้ โดยขึ้นอยู่กับข้อกำหนดการแจ้งเตือนภายใต้กฎหมายของสหภาพยุโรปหรือรัฐสมาชิกของสหภาพยุโรปที่ Shopify อยู่ภายใต้

ค) Shopify จะแจ้งให้คุณทราบหากได้รับคำสั่งที่ระบุว่าพิจารณาอย่างมีเหตุผลว่ามีการละเมิดกฎหมายการคุ้มครองข้อมูลของยุโรป (แต่ Shopify ไม่มีภาระผูกพันที่จะต้องตรวจสอบการปฏิบัติตามกฎหมายการคุ้มครองข้อมูลของยุโรปของคุณอย่างจริงจัง)

2. ข้อผูกพันการรักษาความลับ

Shopify จะให้คำมั่นกับบุคคลที่มอบอำนาจในการประมวลผลข้อมูลส่วนบุคคลว่าจะต้องทำข้อตกลงการรักษาความลับเป็นลายลักษณ์อักษรหรือต้องปฏิบัติตามภาระผูกพันตามกฎหมายเกี่ยวกับการรักษาความลับ

3. มาตรการรักษาความปลอดภัย

ก) Shopify จะต้องดำเนินการและบำรุงรักษามาตรการทางเทคนิคและองค์กรที่เหมาะสมซึ่งออกแบบมาเพื่อปกป้องข้อมูลส่วนบุคคลของคุณจากการประมวลผลที่ไม่ได้รับอนุญาตหรือผิดกฎหมาย และจากการสูญหาย การทำลาย ความเสียหาย การโจรกรรม การเข้าถึงที่ไม่ได้รับอนุญาต การเปลี่ยนแปลง หรือการเปิดเผย ตามที่ระบุไว้ในภาคผนวก 2

ข) เมื่อพิจารณาถึงลักษณะของข้อมูลส่วนบุคคลและการประมวลผลที่เกี่ยวข้อง Shopify จะให้ความช่วยเหลือที่สมเหตุสมผลตามที่คุณอาจร้องขอได้อย่างสมเหตุสมผล เพื่อช่วยให้คุณปฏิบัติตามภาระผูกพันด้านความปลอดภัยของคุณภายใต้กฎหมายการคุ้มครองข้อมูลของยุโรป

ค) Shopify จะแจ้งให้คุณทราบโดยไม่ชักช้าเมื่อทราบถึงการละเมิดความปลอดภัยที่นำไปสู่การทำลาย การสูญเสีย การเปลี่ยนแปลง การเปิดเผยโดยไม่ได้รับอนุญาต หรือการเข้าถึงข้อมูลส่วนบุคคลของคุณที่ถูกส่ง จัดเก็บ หรือประมวลผลในลักษณะอื่นใด โดยไม่ได้ตั้งใจหรือผิดกฎหมาย

ง) Shopify ตกลงที่จะตรวจสอบการละเมิดความปลอดภัยดังกล่าวและใช้ความพยายามที่เหมาะสมในเชิงพาณิชย์เพื่อบรรเทาผลกระทบ

4. โปรเซสเซอร์ย่อย

ก) โดยทั่วไปแล้ว คุณอนุญาตให้ Shopify ว่าจ้างผู้ประมวลผลรายย่อยเพื่อประมวลผลข้อมูลส่วนบุคคล นอกจากนี้ คุณยังตกลงว่า Shopify อาจว่าจ้างบริษัทในเครือเป็นผู้ประมวลผลรายย่อยได้

ข) การใช้ผู้ประมวลผลรายย่อยของ Shopify เพื่อประมวลผลข้อมูลส่วนบุคคลของคุณจะเป็นไปตามกฎหมายการคุ้มครองข้อมูลของยุโรป

ค) Shopify จัดทำรายชื่อผู้ประมวลผลรายย่อยทั้งหมดที่ได้รับการอัปเดตตามที่ระบุไว้ในภาคผนวก 3 Shopify จะอัปเดตรายชื่อผู้ประมวลผลรายย่อยตามความเหมาะสม และมอบกลไกให้คุณในการรับแจ้งเกี่ยวกับการเพิ่มหรือการเปลี่ยนผู้ประมวลผลรายย่อย คุณสามารถคัดค้านการใช้ผู้ประมวลผลรายย่อยรายใหม่ของ Shopify ได้

ง) ในขอบเขตที่คุณคัดค้านการใช้โปรเซสเซอร์ย่อยของ Shopify และ Shopify ไม่สามารถหรือไม่เต็มใจที่จะรองรับคำขอดังกล่าว คุณสามารถยกเลิกการใช้บริการที่ได้รับผลกระทบภายใน 30 วันหลังจากได้รับการแจ้งเตือนตามเงื่อนไข

จ) ในกรณีที่ Shopify ว่าจ้างผู้ประมวลผลรายย่อยรายใหม่ Shopify จะต้องตกลงเป็นลายลักษณ์อักษรกับผู้ประมวลผลรายย่อย และ Shopify จะกำหนดภาระผูกพันตามสัญญากับผู้ประมวลผลรายย่อยซึ่งโดยพื้นฐานแล้วจะเหมือนกับที่ระบุไว้ใน DPA นี้ Shopify จะต้องรับผิดชอบอย่างเต็มที่สำหรับการกระทำและการละเว้นของผู้ประมวลผลรายย่อยในขอบเขตเดียวกับที่ Shopify จะต้องรับผิดชอบหากดำเนินการให้บริการของผู้ประมวลผลรายย่อยแต่ละรายโดยตรงภายใต้ข้อกำหนดของ DPA นี้ อย่างไรก็ตาม ความรับผิดของ Shopify จะอยู่ภายใต้เงื่อนไขและข้อจำกัดความรับผิดที่ระบุไว้ในข้อกำหนด

5. การช่วยเหลือผู้ควบคุม
โดยคำนึงถึงลักษณะของข้อมูลส่วนบุคคลของคุณและการประมวลผลที่เกี่ยวข้อง Shopify จะให้ความช่วยเหลือที่สมเหตุสมผลตามที่คุณอาจร้องขออย่างสมเหตุสมผลเพื่อช่วยเหลือคุณในการปฏิบัติตามภาระผูกพันของคุณ:

  • เพื่อตอบสนองต่อคำขอสิทธิข้อมูลภายใต้กฎหมายการคุ้มครองข้อมูลของยุโรป
  • เพื่อแจ้งให้หน่วยงานที่เกี่ยวข้องและ/หรือเจ้าของข้อมูลเกี่ยวกับการละเมิดข้อมูลส่วนบุคคล
  • เพื่อดำเนินการประเมินผลกระทบต่อการปกป้องข้อมูลและการปรึกษาหารือล่วงหน้า
  • เพื่อให้มั่นใจถึงความปลอดภัยในการประมวลผลตามมาตรา 3

6. การประเมินการปฏิบัติตาม

ก) Shopify อาจปฏิบัติตามสิทธิ์ของคุณในการตรวจสอบภายใต้กฎหมายการคุ้มครองข้อมูลของยุโรปที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลโดยให้ข้อมูลแก่คุณ - เมื่อคุณร้องขอเป็นลายลักษณ์อักษรและอยู่ภายใต้การรักษาความลับ - ดังนี้:

(i) ผลรายงานการตรวจสอบล่าสุดของ Shopify ไม่ว่าจะมาจากการตรวจสอบตนเองของ Shopify หรือจัดทำโดยผู้ตรวจสอบผู้ให้บริการภายนอกที่เป็นอิสระ
(ii) ข้อมูลเพิ่มเติมที่อยู่ในการควบคุมของ Shopify หากการคุ้มครองข้อมูลหรือหน่วยงานของรัฐร้องขอ

ข) โดยให้สิทธิ์ดังกล่าวแก่คุณเท่านั้น คุณสามารถใช้สิทธิ์ในการตรวจสอบของคุณได้: (i) ในขอบเขตที่ผู้ตรวจสอบอิสระที่ได้รับการยอมรับในระดับสากลรับรองว่าการจัดทำรายงานการตรวจสอบของ Shopify ไม่ได้ให้ข้อมูลเพียงพอแก่คุณเพื่อยืนยันการปฏิบัติตาม DPA ของ Shopify และกฎหมายการคุ้มครองข้อมูลของยุโรป หรือ (ii) ตามความจำเป็นสำหรับคุณในการตอบสนองต่อการตรวจสอบของหน่วยงานรัฐบาล การตรวจสอบแต่ละครั้งต้องเป็นไปตามพารามิเตอร์ต่อไปนี้: (i) ดำเนินการโดยผู้ให้บริการภายนอกอิสระที่จะทำสัญญาการรักษาความลับกับ Shopify; (ii) จำกัดขอบเขตเฉพาะเรื่องที่จำเป็นอย่างสมเหตุสมผลและตามที่ตกลงร่วมกันเพื่อให้คุณประเมินการปฏิบัติตาม DPA ของ Shopify และการปฏิบัติตามกฎหมายการคุ้มครองข้อมูลของยุโรปของคู่กรณี; (iii) เกิดขึ้นในวันที่และเวลาที่ตกลงร่วมกันและเฉพาะในช่วงเวลาทำการปกติของ Shopify; (iv) เกิดขึ้นไม่เกินปีละครั้ง (เว้นแต่กฎหมายการคุ้มครองข้อมูลของยุโรปกำหนดไว้); (v) ครอบคลุมเฉพาะสิ่งอำนวยความสะดวกที่ควบคุมโดย Shopify; (vi) จำกัดผลการตรวจสอบเฉพาะข้อมูลส่วนบุคคลเท่านั้น; และ (vii) ปฏิบัติต่อผลลัพธ์ใดๆ ก็ตามเป็นข้อมูลลับในขอบเขตสูงสุดที่กฎหมายการคุ้มครองข้อมูลของยุโรปอนุญาต เพื่อความชัดเจน Shopify จะปฏิบัติตามสิทธิ์ใดๆ ของคุณภายใต้มาตรา 6 นี้ตามภาระผูกพันด้านความลับกับผู้ให้บริการภายนอก

7. สิ้นสุดการประมวลผล

ก) ในระหว่างที่คุณใช้งานบริการ คุณอาจใช้เครื่องมือบัญชีเพื่อเข้าถึง กลับไปยังตัวคุณเอง หรือลบข้อมูลส่วนบุคคล

ข) หลังจากการยุติสัญญา Shopify จะลบหรือส่งคืนข้อมูลส่วนบุคคลของคุณตามที่คุณเลือก โดยไม่คำนึงถึงข้อความข้างต้น Shopify อาจเก็บรักษาข้อมูลส่วนบุคคล: (i) ตามที่กฎหมายกำหนด รวมถึงกฎหมายการคุ้มครองข้อมูลของยุโรป และ (ii) ตามนโยบายการสำรองข้อมูลหรือการเก็บรักษาบันทึกมาตรฐาน โดยที่ในกรณีใดๆ Shopify จะรักษาความลับและปฏิบัติตามบทบัญญัติที่เกี่ยวข้องของ DPA นี้เกี่ยวกับข้อมูลส่วนบุคคลที่เก็บรักษาไว้ และจะไม่ดำเนินการประมวลผลข้อมูลส่วนบุคคลที่เก็บรักษาไว้ต่อไป ยกเว้นเพื่อวัตถุประสงค์และระยะเวลาที่ได้รับอนุญาตภายใต้กฎหมายที่เกี่ยวข้องดังกล่าว

8. การโอนเงินระหว่างประเทศ

ก) ขึ้นอยู่กับการปฏิบัติตามกฎหมายการคุ้มครองข้อมูลของยุโรป Shopify international ltd. อาจโอนข้อมูลส่วนบุคคลที่ประมวลผลภายใต้ภาคผนวกนี้ออกนอก EEA, สหราชอาณาจักร และสวิตเซอร์แลนด์ตามความจำเป็นเพื่อให้บริการของตน (“การโอนระหว่างประเทศ”)

ข) การโอนดังกล่าวประกอบด้วยการโอนข้อมูลส่วนบุคคลไปยัง Shopify inc. ซึ่งมีฐานอยู่ในแคนาดาเป็นหลัก ซึ่งได้รับประโยชน์จากคำตัดสินของคณะกรรมาธิการสหภาพยุโรป 2002/2/ec ลงวันที่ 20 ธันวาคม 2001 เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลที่เหมาะสมโดยพระราชบัญญัติการคุ้มครองข้อมูลส่วนบุคคลและเอกสารอิเล็กทรอนิกส์ของแคนาดา

ค) การโอนข้อมูลระหว่างประเทศไปยังประเทศที่ไม่รับรองระดับการคุ้มครองข้อมูลที่เพียงพอตามความหมายของกฎหมายการคุ้มครองข้อมูลของยุโรป จะต้องอยู่ภายใต้การป้องกันที่เหมาะสม รวมถึงกลไกการโอนข้อมูลต่อไปนี้:

  • โมดูลที่เกี่ยวข้องภายใต้มาตรฐานเงื่อนไขสัญญาปี 2021 ที่ได้รับการอนุมัติจากคณะกรรมาธิการยุโรปในการตัดสินใจ 2021/914/EC ลงวันที่ 4 มิถุนายน 2021
  • ภาคผนวกการโอนข้อมูลระหว่างประเทศในมาตรฐานข้อกำหนดตามสัญญาของคณะกรรมาธิการยุโรปสำหรับการโอนข้อมูลระหว่างประเทศที่ออกโดยสำนักงานคณะกรรมาธิการข้อมูลแห่งสหราชอาณาจักรภายใต้ S119A(1) ของพระราชบัญญัติการคุ้มครองข้อมูลของสหราชอาณาจักร 2018
  • ข้อกำหนดสัญญาแบบมาตรฐานปี 2021 ตามที่แก้ไขเพิ่มเติมเพื่อตอบสนองข้อกำหนดของพระราชบัญญัติการคุ้มครองข้อมูลของรัฐบาลกลางสวิส (ตามที่แก้ไขเพิ่มเติมเป็นครั้งคราว) ลงวันที่ 19 มิถุนายน 1992 ซึ่งแก้ไขเพิ่มเติมเมื่อวันที่ 25 กันยายน 2001 และ
  • ข้อกำหนดในสัญญาที่เป็นมาตรฐาน ภาคผนวกการโอนข้อมูลระหว่างประเทศ หรือข้อกำหนด ภาคผนวก หรือกลไกการโอนอื่นๆ ที่อาจมาแทนที่ข้อกำหนดและภาคผนวกปัจจุบัน

ง) Shopify อาจใช้ดุลยพินิจแต่เพียงผู้เดียวในการเปลี่ยนกลไกการถ่ายโอนข้อมูลใดๆ เพื่อให้แน่ใจว่าการถ่ายโอนข้อมูลเป็นไปตามกฎหมายที่บังคับใช้ หากการถ่ายโอนข้อมูลขึ้นอยู่กับเงื่อนไขในสัญญาที่เป็นมาตรฐาน และข้อกำหนดดังกล่าวได้รับการอัปเดตโดยหน่วยงานที่เกี่ยวข้อง ข้อกำหนดที่อัปเดตดังกล่าวหรือข้อตกลงที่คล้ายคลึงกันจะรวมอยู่ใน DPA นี้ราวกับว่าได้ระบุไว้ครบถ้วนในที่นี้

ภาคผนวก 1 - ข้อมูลส่วนบุคคล

คำอธิบายการประมวลผลข้อมูลส่วนบุคคล

I. เรื่องของการประมวลผล

การให้บริการ Shopify แก่ผู้ขาย

II. ประเภทของข้อมูล

ลูกค้าของร้านค้า

III. ประเภทของข้อมูลส่วนบุคคลที่ได้รับการประมวลผล

ดู ภาคผนวก A ข้างต้น

IV. ความถี่ในการถ่ายโอน

ต่อเนื่อง

V. ลักษณะการประมวลผล

การรวบรวม การบันทึก การโฮสต์ การเข้าถึง การใช้ การโอน และการลบข้อมูลส่วนบุคคลตามที่อธิบายไว้ในข้อกำหนด

VI. วัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคลในนามของผู้ควบคุม

เพื่อประสิทธิภาพและการปรับปรุงบริการตามที่อธิบายไว้ในข้อตกลง

VII. ระยะเวลาของการประมวลผล

ระยะเวลาของบริการภายใต้ข้อกำหนดหรือข้อตกลงที่ใช้ได้ รวมทั้งช่วงเวลาหลังจากวันหมดอายุจนถึงการทำให้ไม่ระบุตัวตน การส่งคืน หรือการลบข้อมูล

viii. หน่วยงานกำกับดูแลที่มีอำนาจ หน่วยงานกำกับดูแลที่มีอำนาจคือคณะกรรมการคุ้มครองข้อมูลของไอร์แลนด์

ภาคผนวก 2 - มาตรการรักษาความปลอดภัย

ข้อมูลเกี่ยวกับมาตรการรักษาความปลอดภัยมีอยู่ใน ภาคผนวก B ของ DPA

ภาคผนวก 3 - รายชื่อผู้ประมวลผลรายย่อย

โปรเซสเซอร์ย่อยที่ Shopify ใช้เพื่อการดำเนินการบริการภายใต้เงื่อนไขนั้นมีรายชื่ออยู่ที่นี่

ผู้ประมวลผลรายย่อยจะประมวลผลหมวดหมู่ข้อมูลส่วนบุคคลตามที่อธิบายไว้ข้างต้นที่เกี่ยวข้องกับบริการตลอดระยะเวลาข้อตกลงกับ Shopify