ภาคผนวกการประมวลผลข้อมูลของ Shopify

I. วัตถุประสงค์

ภาคผนวกการประมวลผลข้อมูลของ Shopify นี้ ("DPA") เป็นส่วนเสริมและรวมเข้าโดยการอ้างอิงในข้อกำหนดในการใช้บริการของ Shopify รวมถึงข้อกำหนดใดๆ ที่บังคับใช้กับบริการ Shopify เพิ่มเติมใดๆ ที่คุณเลือกใช้ ("ข้อกำหนด") โดยและระหว่างคุณ (หรือ "ผู้ขาย") และองค์กรที่ทำสัญญาของ Shopify ตามที่ระบุไว้ในข้อกำหนด ("Shopify") ซึ่งระบุวัตถุประสงค์ทางธุรกิจและบริการเฉพาะที่เกี่ยวข้องกับ DPA นี้ ในกรณีที่มีข้อขัดแย้งระหว่างข้อกำหนดและ DPA นี้ DPA จะมีผลเหนือกว่าในส่วนที่เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลของลูกค้าของคุณ ตามที่กำหนดไว้ด้านล่าง

คุณและ Shopify (ซึ่งแต่ละฝ่ายเป็น "ฝ่าย" เรียกรวมกันว่า "ทุกฝ่าย") ตกลงว่า DPA ฉบับนี้กำหนดภาระผูกพันของทุกฝ่าย ที่ควบคุมการประมวลผลข้อมูลส่วนบุคคลของลูกค้าของคุณ คุณจะทำหน้าที่เป็นผู้ควบคุมข้อมูล และ Shopify จะต้องทำหน้าที่เป็นผู้ประมวลผลข้อมูลเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลของลูกค้าของคุณที่เกี่ยวข้องกับการที่คุณใช้บริการของเราซึ่งต้องพึ่งพาการประมวลผลข้อมูลส่วนบุคคลของลูกค้าของคุณ ยกเว้นบริการที่อธิบายไว้ในภาคผนวก E

ในกรณีที่การประมวลผลข้อมูลส่วนบุคคลภายใต้ DPA นี้อยู่ภายใต้ข้อกำหนดการคุ้มครองข้อมูลในเขตเศรษฐกิจยุโรป ("EEA") สหราชอาณาจักร ("UK") หรือสวิตเซอร์แลนด์ และ Shopify ทำหน้าที่เป็นผู้ประมวลผลข้อมูล ภาคผนวก C จะเป็นส่วนเสริมของ DPA นี้ ในกรณีที่มีข้อขัดแย้งระหว่างภาคผนวก C และส่วนอื่นๆ ของ DPA นี้ ภาคผนวก C จะมีผลเหนือกว่าในส่วนที่เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลของลูกค้าของคุณภายใต้ข้อกำหนดการคุ้มครองข้อมูลของ EEA สหราชอาณาจักร และสวิตเซอร์แลนด์ เพื่อหลีกเลี่ยงข้อสงสัยภาคผนวก C จะไม่นำไปใช้กับกิจกรรมการประมวลผลที่อธิบายไว้ในภาคผนวก E

ในกรณีที่การประมวลผลข้อมูลส่วนบุคคลภายใต้ DPA นี้อยู่ภายใต้กฎหมายการคุ้มครองข้อมูลของสหรัฐอเมริกา และ Shopify ทำหน้าที่เป็นผู้ประมวลผลข้อมูลหรือผู้ให้บริการ ภาคผนวก D จะเป็นภาคผนวกเสริมของ DPA นี้ ในกรณีที่มีข้อขัดแย้งระหว่างภาคผนวก D และส่วนอื่นๆ ของ DPA นี้ ภาคผนวก D จะมีผลเหนือกว่าในส่วนที่เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลของลูกค้าของคุณภายใต้กฎหมายการคุ้มครองข้อมูลของสหรัฐอเมริกา เพื่อหลีกเลี่ยงข้อสงสัยภาคผนวก D จะไม่นำไปใช้กับกิจกรรมการประมวลผลที่อธิบายไว้ในภาคผนวก E

หากคุณได้รับบริการแบบเพิ่มประสิทธิภาพจาก Shopify (ตามที่กำหนดในส่วนที่ 9.2 ของ ข้อกำหนดในการใช้บริการ) Shopify จะประมวลผลข้อมูลส่วนบุคคลของลูกค้าของคุณในฐานะผู้ควบคุมข้อมูลหรือธุรกิจตามที่ระบุไว้ในภาคผนวก E ในกรณีที่มีข้อขัดแย้งระหว่างภาคผนวก E และส่วนอื่นๆ ของ DPA นี้ ภาคผนวก E จะต้องมีผลเหนือกว่าในส่วนที่เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลของลูกค้าของคุณของ Shopify ในฐานะผู้ควบคุมข้อมูลหรือธุรกิจ

เพื่อหลีกเลี่ยงข้อสงสัย DPA นี้จะไม่นำไปใช้กับการประมวลผลข้อมูลส่วนบุคคลของ Shopify เกี่ยวกับลูกค้าที่ได้รับอันเป็นผลมาจากความสัมพันธ์ของลูกค้ากับ Shopify ผ่านทางบริการเช่น Shop และ Shop Pay

II. คำจำกัดความ

คำศัพท์เฉพาะแต่ไม่นิยามไว้ใน DPA นี้ จะมีความหมายเดียวกันกับที่กำหนดไว้ในข้อกำหนด

A. กฎหมายการคุ้มครองข้อมูลที่ใช้บังคับ: กฎหมายการคุ้มครองข้อมูลหรือกฎหมายความเป็นส่วนตัวใดๆ ที่ใช้กับการประมวลผลข้อมูลส่วนบุคคลของ Shopify ภายใต้ข้อกำหนด กฎข้อบังคับในการบังคับใช้ และกฎหมายรอง โดยแต่ละข้ออาจมีการแก้ไข อัปเดต หรือแทนที่เป็นระยะๆ รวมทั้งกฎหมายที่บังคับใช้ตามที่ตั้งหรือที่อยู่อาศัยของผู้ขายและ/หรือลูกค้าของคุณ

B. ลูกค้า: บุคคลหรือองค์กรที่เยี่ยมชม มีส่วนร่วม และ/หรือซื้อสินค้า สินค้า หรือบริการจากร้านค้าของคุณ

C. คำขอสิทธิ์ในข้อมูล: คำขอที่ถูกต้องและถูกกฎหมายจากบุคคลเพื่อใช้สิทธิ์ที่มีอยู่เกี่ยวกับข้อมูลส่วนบุคคลภายใต้กฎหมายการคุ้มครองข้อมูลที่บังคับใช้

D. ผู้ควบคุมข้อมูลหรือธุรกิจ: ฝ่ายที่กำหนดจุดประสงค์และวิธีการในการประมวลผลข้อมูลส่วนบุคคลหรือตามที่กำหนดไว้ภายใต้กฎหมายการคุ้มครองข้อมูลที่บังคับใช้

E. ผู้ประมวลผลข้อมูลหรือผู้ให้บริการ: ฝ่ายหรือหน่วยงานอื่นหรือธุรกิจที่ให้บริการในนามและประมวลผลข้อมูลส่วนบุคคลตามคำสั่งและในนามของผู้ควบคุมข้อมูลหรือตามที่กำหนดไว้ภายใต้กฎหมายการคุ้มครองข้อมูลที่บังคับใช้ใดๆ

F. ข้อมูลส่วนบุคคล: ข้อมูลหรือข้อมูลที่กำหนดว่าเป็น "ข้อมูลส่วนบุคคล" "ข้อมูลส่วนตัว" หรือ "ข้อมูลที่ระบุตัวตน-ของบุคคล" (หรือคำศัพท์ที่คล้ายคลึงกัน) ตามกฎหมายการคุ้มครองข้อมูลที่บังคับใช้

G. การละเมิดข้อมูลส่วนบุคคล: ในส่วนที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของลูกค้าของคุณ จะต้องตีความตามกฎหมายการคุ้มครองข้อมูลที่บังคับใช้

H. "ประมวลผล" "การประมวลผล" หรือ "การดำเนินการประมวลผล": (a) การดำเนินการหรือชุดการดำเนินการใดๆ ที่ดำเนินการกับข้อมูลส่วนบุคคลหรือชุดข้อมูลส่วนบุคคล ไม่ว่าจะโดยวิธีการอัตโนมัติหรือไม่ เช่น การรวบรวม การบันทึก การจัดระเบียบ การจัดโครงสร้าง การจัดเก็บ การดัดแปลงหรือแก้ไข การดึงคืน การปรึกษาหารือ การใช้ การเปิดเผยโดยการส่ง การเผยแพร่หรือการทำให้พร้อมใช้งานด้วยวิธีอื่น การจัดตำแหน่งหรือการรวมกัน การจำกัด การลบหรือการทำลาย หรือ (b) คำจำกัดความที่ให้ไว้กับคำศัพท์ดังกล่าวภายใต้กฎหมายการคุ้มครองข้อมูลที่บังคับใช้

I. "ผู้ประมวลผลรายย่อย": บริษัทในเครือหรือผู้ประมวลผลข้อมูลของผู้ให้บริการภายนอกหรือผู้ให้บริการที่อาจประมวลผลข้อมูลส่วนบุคคลตามคำแนะนำของ Shopify เพื่อวัตถุประสงค์ในการให้บริการ

J. "คุณ" "ของคุณ" หรือ "ผู้ขาย": หมายถึงธุรกิจแต่ละแห่งที่คุณดำเนินการและใช้หรือรับผลประโยชน์จากบริการ บริการแบบเพิ่มประสิทธิภาพ หรือบริการเพิ่มเติมอื่นๆ และเป็นฝ่ายที่เกี่ยวข้องกับข้อกำหนดกับ Shopify

K. "ข้อมูลส่วนบุคคลของลูกค้าของคุณ": ข้อมูลส่วนบุคคลจากหรือเกี่ยวกับลูกค้าของคุณ ไม่รวมข้อมูลส่วนบุคคลใดๆ เกี่ยวกับลูกค้าที่ Shopify ได้รับอันเป็นผลมาจากความสัมพันธ์ของลูกค้ากับ Shopify ซึ่งควบคุมโดยนโยบายความเป็นส่วนตัวของผู้บริโภคของ Shopify และไม่ใช่ DPA นี้

III. ลักษณะการประมวลผลและบทบาทของทุกฝ่าย

Shopify ในฐานะผู้ประมวลผลข้อมูลหรือผู้ให้บริการ Shopify รับและประมวลผลข้อมูลส่วนบุคคลของลูกค้าของคุณเพื่อให้บริการแก่คุณและตามที่ระบุไว้ด้านล่าง Shopify จะประมวลผลหมวดหมู่ข้อมูลส่วนบุคคลที่ระบุไว้ในภาคผนวก A ตามวิธีการและฐานที่ระบุไว้ โดยขึ้นอยู่กับบริการที่คุณร้องขอหรือใช้

Shopify จะประมวลผลข้อมูลส่วนบุคคลของลูกค้าของคุณในฐานะผู้ประมวลผลข้อมูลหรือผู้ให้บริการเพื่อให้บริการตามคำแนะนำในข้อกำหนดและเงื่อนไขเพิ่มเติมเท่านั้น และตามความจำเป็นเพื่อให้บริการ พัฒนา และปรับปรุงบริการ และดำเนินการในวัตถุประสงค์อื่นๆ ที่ได้รับอนุญาตตามกฎหมายการคุ้มครองข้อมูลที่บังคับใช้

Shopify ในฐานะผู้ควบคุมข้อมูลหรือธุรกิจ Shopify จะประมวลผลข้อมูลส่วนบุคคลของลูกค้าของคุณในฐานะผู้ควบคุมข้อมูลหรือธุรกิจ (a) ในสถานการณ์และลักษณะที่กำหนดไว้ในภาคผนวก E และ (b) เพื่อวัตถุประสงค์เพิ่มเติมใดๆ ที่เข้ากันได้กับคำแนะนำของลูกค้าและกฎหมายการคุ้มครองข้อมูลที่บังคับใช้

IV. ภาระผูกพันของทุกฝ่าย

ส่วนต่อไปนี้จะอธิบายถึงภาระผูกพันของแต่ละฝ่ายที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลที่ครอบคลุมโดย DPA นี้

A. การปฏิบัติตามข้อกำหนดทั่วไป

1. ทุกฝ่ายจะต้องปฏิบัติตามภาระผูกพันของตนภายใต้กฎหมายการคุ้มครองข้อมูลที่ใช้บังคับ

2. Shopify จะไม่มีภาระผูกพันในการตีความหรือให้คำแนะนำคุณเกี่ยวกับภาระผูกพันของคุณภายใต้กฎหมายการคุ้มครองข้อมูลที่ใช้บังคับ รวมถึงในส่วนที่เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลที่ครอบคลุมโดย DPA นี้ คุณเป็นผู้รับผิดชอบแต่เพียงผู้เดียวในการกำหนดภาระผูกพันทางกฎหมายและข้อบังคับของคุณ รวมถึงการประเมินว่ามาตรการทางเทคนิคและองค์กรของบริการสอดคล้องกับภาระผูกพันทางกฎหมายและข้อบังคับอิสระของคุณหรือไม่

B. ภาระผูกพันของ Shopify

1. ความปลอดภัยของข้อมูล
Shopify จะดำเนินการและบำรุงรักษามาตรการทางเทคนิคและองค์กรที่เหมาะสมซึ่งออกแบบมาเพื่อปกป้องข้อมูลส่วนบุคคลของลูกค้าของคุณจากการประมวลผลที่ไม่ได้รับอนุญาตหรือผิดกฎหมาย และจากการสูญหาย การทำลาย ความเสียหาย การโจรกรรม การเปลี่ยนแปลง หรือการเปิดเผยโดยไม่ได้ตั้งใจ ตามที่ระบุไว้ในภาคผนวก B

2. การแจ้งเตือนและการสืบสวนเกี่ยวกับการรั่วไหลของข้อมูลส่วนบุคคล

a) ตามที่กฎหมายการคุ้มครองข้อมูลที่บังคับใช้กำหนด Shopify จะแจ้งให้คุณทราบเมื่อ Shopify ยืนยันการละเมิดข้อมูลส่วนบุคคลใดๆ

b) การแจ้งดังกล่าวจะต้องรวมถึงข้อมูลที่จำเป็นภายใต้กฎหมายการคุ้มครองข้อมูลที่บังคับใช้ในขอบเขตที่ Shopify สามารถเข้าถึงข้อมูลดังกล่าวได้อย่างสมเหตุสมผล การตอบสนองของ Shopify ต่อหรือการแจ้งการละเมิดข้อมูลส่วนบุคคลไม่ถือเป็นการรับทราบของ Shopify ถึงความผิดพลาดหรือความรับผิดใดๆ

c) Shopify ตกลงที่จะตรวจสอบการละเมิดข้อมูลส่วนบุคคลใดๆ และใช้ความพยายามที่เหมาะสมในเชิงพาณิชย์เพื่อระบุ ป้องกัน บรรเทา และแก้ไขผลกระทบ

C. ภาระผูกพันของคุณเกี่ยวกับข้อมูลส่วนบุคคล

1. ประกาศความเป็นส่วนตัวและความโปร่งใส: คุณรับรองและรับประกันว่าคุณปฏิบัติตามภาระผูกพันทั้งหมดภายใต้กฎหมายการคุ้มครองข้อมูลที่บังคับใช้ในการแจ้งให้ทราบและโปร่งใสเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลของลูกค้าของคุณภายใต้ข้อกำหนดและที่เกี่ยวข้องกับการใช้บริการของคุณ ตามกฎหมายการคุ้มครองข้อมูลที่บังคับใช้ คุณจะต้องแจ้งการเปิดเผยข้อมูลทั้งหมดที่จำเป็นเพื่อให้ Shopify ประมวลผลข้อมูลส่วนบุคคลของลูกค้าของคุณอย่างถูกต้องตามกฎหมายและยุติธรรมที่เกี่ยวข้องกับ DPA นี้ รวมถึงเมื่อคุณได้รับบริการแบบเพิ่มประสิทธิภาพหรือบริการเพิ่มเติมอื่นๆ โดยการให้ลิงก์ไปยังนโยบายความเป็นส่วนตัวของผู้บริโภคของ Shopify และไปยังนโยบายความเป็นส่วนตัวของคุณ และให้การเปิดเผยข้อมูลอื่นๆ ตามที่ระบุไว้ในส่วนที่ 9.2.5 ของข้อกำหนด

2. สิทธิ์และการอนุญาตของลูกค้า: คุณรับรองและรับประกันว่าคุณมีสิทธิ์ การอนุญาต และความยินยอมทั้งหมดที่จำเป็นในการทำให้ข้อมูลส่วนบุคคลของลูกค้าของคุณพร้อมใช้งานสำหรับ Shopify และเพื่อให้ Shopify ประมวลผลข้อมูลส่วนบุคคลของลูกค้าของคุณเพื่อให้คุณได้รับบริการ รวมถึงบริการแบบเพิ่มประสิทธิภาพหรือบริการเพิ่มเติมอื่นๆ ที่คุณได้รับ ตามเงื่อนไข DPA นี้ และกฎหมายการคุ้มครองข้อมูลที่ใช้บังคับ

3. คำขอสิทธิ์ในข้อมูล: คุณรับรองและรับประกันว่าคุณให้ความสามารถแก่ลูกค้าของคุณในการใช้คำขอสิทธิ์ในข้อมูลตามที่จำเป็นภายใต้กฎหมายการคุ้มครองข้อมูลที่บังคับใช้ เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลของลูกค้าของคุณโดย Shopify ซึ่งคุณเป็นผู้ควบคุมข้อมูล

4. การสอบถามเกี่ยวกับกฎระเบียบ: เว้นแต่กฎหมายที่เกี่ยวข้องจะห้ามไว้ คุณจะแจ้งให้เราทราบโดยทันทีตามข้อกำหนดการแจ้งเตือนในข้อกำหนดของการสอบถามหรือข้อร้องเรียนจากหน่วยงานของรัฐ หน่วยงานกำกับดูแล หรือผู้ให้บริการภายนอกอื่นๆ เกี่ยวกับการใช้บริการของคุณ

V. เบ็ดเตล็ด

A. การถ่ายโอนข้อมูลทั่วโลก
คุณรับทราบว่าข้อมูลส่วนบุคคลของลูกค้าของคุณอาจถูกถ่ายโอนและประมวลผลในประเทศใดก็ตามที่ Shopify บริษัทในเครือหรือผู้ให้บริการผู้ให้บริการภายนอกตั้งอยู่ (รวมถึงในสิงคโปร์และแคนาดา) การถ่ายโอนข้อมูลส่วนบุคคลของลูกค้าของคุณไปยังผู้รับเหล่านี้จะดำเนินการตามกฎหมายการคุ้มครองข้อมูลที่บังคับใช้ สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการถ่ายโอนข้อมูลระหว่างประเทศที่ Shopify อยู่ภายใต้ข้อกำหนดการคุ้มครองข้อมูลใน EEA สหราชอาณาจักร หรือสวิตเซอร์แลนด์ โปรดดูส่วนที่ II(B)(8) ของ ภาคผนวก C

B. การตอบสนองต่อคำขอทางกฎหมาย

1. คุณรับทราบว่าในระหว่างให้บริการแก่คุณ Shopify อาจแบ่งปันข้อมูลส่วนบุคคลของลูกค้าของคุณ (i) เพื่อปฏิบัติตามข้อกำหนดทางกฎหมายหรือเพื่อตอบสนองต่อคำสั่งศาลหรือความต้องการของรัฐบาลหรือหน่วยงานกำกับดูแลที่คล้ายคลึงกันอื่นๆ หรือ (ii) เพื่อป้องกันหรือสืบสวนการฉ้อโกงที่ต้องสงสัย ภัยคุกคามต่อความปลอดภัยทางกายภาพ กิจกรรมที่ผิดกฎหมาย หรือการละเมิดสัญญา (เช่น ข้อกำหนดในการใช้บริการ) หรือนโยบายของเรา (เช่น นโยบายการใช้งานที่ยอมรับได้)

2. Shopify จะใช้ความพยายามอย่างสมเหตุสมผลก่อนผลิตข้อมูลส่วนบุคคลของลูกค้าของคุณเพื่อให้แน่ใจว่าการเปิดเผยดังกล่าวได้รับอนุญาตภายใต้กฎหมายการคุ้มครองข้อมูลที่ใช้บังคับ และจะถือเป็นข้อมูลที่เป็นความลับภายใต้กรอบกฎหมายที่ใช้บังคับ

C. การเปิดเผยข้อมูลในการทำธุรกรรมขององค์กร
คุณยอมรับว่าในระหว่างการให้บริการแก่คุณ Shopify อาจจำเป็นต้องแบ่งปันข้อมูลส่วนบุคคลของลูกค้าของคุณกับคู่สัญญาที่มีศักยภาพในการทำธุรกรรมองค์กรหรือการปรับโครงสร้างใหม่

D. การใช้บริการผู้ให้บริการของ Shopify

1. คุณรับทราบและตกลงว่าในระหว่างให้บริการแก่คุณ Shopify อาจใช้ผู้ให้บริการในการประมวลผลข้อมูลส่วนบุคคลของลูกค้าของคุณ Shopify จัดทำรายชื่อผู้ให้บริการทั้งหมดที่ได้รับการอัปเดตใช้แล้ว หากกฎหมายการคุ้มครองข้อมูลที่ใช้บังคับมอบสิทธิ์ดังกล่าวแก่คุณ คุณสามารถคัดค้านการใช้งานผู้ให้บริการของ Shopify และหาก Shopify ไม่สามารถหรือไม่เต็มใจที่จะตอบสนองคำขอดังกล่าว คุณอาจยุติการใช้งานบริการที่ได้รับผลกระทบภายใน 30 วันนับจากการแจ้งเตือนดังกล่าวตามเงื่อนไขตามกฎหมายดังกล่าว

2. การที่ Shopify ใช้ผู้ให้บริการในการประมวลผลข้อมูลส่วนบุคคลของลูกค้าที่คุณให้มาจะต้องเป็นไปตามกฎหมายการคุ้มครองข้อมูลที่บังคับใช้ ในกรณีที่ Shopify ว่าจ้างผู้ให้บริการ Shopify จะทำข้อตกลงเป็นลายลักษณ์อักษรกับผู้ให้บริการซึ่งกำหนดภาระผูกพันตามสัญญาที่เหมือนกันกับที่ระบุไว้ใน DPA นี้

E. การแก้ไข DPA คุณรับทราบและตกลงว่า Shopify อาจแก้ไข DPA นี้เป็นระยะๆ โดยการโพสต์ DPA ที่แก้ไขและระบุใหม่ที่เกี่ยวข้องบนเว็บไซต์ของ Shopify ซึ่งสามารถดูได้ที่ https://shopify.com/legal/dpa และการแก้ไข DPA ดังกล่าวจะมีผลบังคับใช้ตั้งแต่วันที่โพสต์ การที่คุณยังคงใช้บริการต่อไปหลังจากที่ DPA ที่แก้ไขแล้วถูกโพสต์บนเว็บไซต์ของ Shopify ถือเป็นการตกลงและยอมรับ DPA ที่แก้ไขแล้ว หากคุณไม่เห็นด้วยกับการเปลี่ยนแปลงใดๆ ของ DPA อย่าใช้บริการต่อไป

VI. ภาคผนวก

1. ภาคผนวก A - หมวดหมู่ข้อมูลส่วนบุคคล

2. ภาคผนวก B - ความปลอดภัยของข้อมูล

3. ภาคผนวก C - GDPR, GDPR ของสหราชอาณาจักร และภาคผนวกการประมวลผลข้อมูลของสวิตเซอร์แลนด์

4. ภาคผนวก D - กฎหมายการคุ้มครองข้อมูลของสหรัฐอเมริกา

5. ภาคผนวก E - Shopify ในฐานะผู้ควบคุมข้อมูลหรือธุรกิจสำหรับบริการแบบเพิ่มประสิทธิภาพ

ภาคผนวก A: หมวดหมู่ข้อมูลส่วนบุคคล

เป็นส่วนหนึ่งของการที่คุณใช้งานบริการ และขึ้นอยู่กับบริการที่คุณใช้ เราอาจรับและประมวลผลข้อมูลส่วนบุคคลประเภทต่อไปนี้เพื่อให้บริการ:

● ชื่อลูกค้า อีเมล ข้อมูลการติดต่อ การเรียกเก็บเงินและการจัดส่ง

● ข้อมูลการซื้อและธุรกรรมอื่นๆ จากร้านค้าของคุณ

● อัปเดตเกี่ยวกับสถานะการทำธุรกรรมกับคุณหรือร้านค้าของคุณ

● กิจกรรมของลูกค้าในร้านค้าของคุณ รวมถึงผลิตภัณฑ์ที่ดูและ/หรือรวมอยู่ในรถเข็นสินค้า

● สัญญาณการกำหนดความต้องการของลูกค้า รวมถึงการควบคุมความเป็นส่วนตัวทั่วโลก ("GPC") สัญญาณการไม่เข้าร่วมและการไม่เข้าร่วม

● ข้อมูลอุปกรณ์ของลูกค้าสำหรับอุปกรณ์ที่ใช้เมื่อเยี่ยมชมร้านค้าของคุณ รวมถึงที่อยู่ IP เบราว์เซอร์และกิจกรรมเครือข่าย

● ข้อมูลอื่นๆ เกี่ยวกับปฏิสัมพันธ์ของลูกค้ากับคุณ

● ข้อมูลส่วนบุคคลอื่นๆ ที่คุณหรือลูกค้าของคุณเลือกที่จะเปิดเผยให้กับ Shopify

ภาคผนวก B: ความปลอดภัยของข้อมูล

Shopify จะรักษาโปรแกรมการรักษาความปลอดภัยข้อมูลที่ออกแบบมาเพื่อ (a) ช่วยให้คุณสามารถรักษาความปลอดภัยข้อมูลส่วนบุคคลของลูกค้าของคุณจากการประมวลผลที่ไม่ได้รับอนุญาตหรือผิดกฎหมาย และจากการสูญหาย การทำลาย ความเสียหาย การโจรกรรม การเปลี่ยนแปลง หรือการเปิดเผยโดยไม่ได้ตั้งใจ (b) ระบุความเสี่ยงที่คาดการณ์ได้อย่างสมเหตุสมผลต่อความปลอดภัยและความพร้อมใช้งานของบริการที่คุณได้รับ และ (c) ลดความเสี่ยงด้านความปลอดภัยของบริการให้เหลือน้อยที่สุด

I. โปรแกรมรักษาความปลอดภัยข้อมูลของ Shopify จะรวมถึงการป้องกันต่อไปนี้:

A. ความปลอดภัยทางตรรกะ

1. การควบคุมการเข้าถึง: Shopify จะทำให้ระบบของตนสามารถเข้าถึงได้เฉพาะบุคลากรที่ได้รับอนุญาตเท่านั้น และเฉพาะเท่าที่จำเป็นต่อการบำรุงรักษาและให้บริการ Shopify จะรักษาการควบคุมการเข้าถึงและนโยบายที่ออกแบบมาเพื่อจัดการการอนุญาตสำหรับการเข้าถึงระบบของตน รวมถึงผ่านการใช้ไฟร์วอลล์และ/หรือเทคโนโลยีอื่นๆ และการควบคุมการรับรองความถูกต้อง

2. การจำกัดการเข้าถึงของผู้ใช้: Shopify จะ (i) จัดเตรียมและจำกัดการเข้าถึงระบบตามหลักการสิทธิ์ขั้นต่ำตามหน้าที่การทำงานของบุคลากร และ (ii) กำหนดให้ต้องมีการตรวจสอบสิทธิ์แบบสองปัจจัย (2FA) เพื่อเข้าถึงระบบของตน

3. การประเมินความเสี่ยง: Shopify จะรักษาการประเมินความเสี่ยงและโปรแกรมการทดสอบการเจาะระบบ โดยรับผิดชอบในการสืบสวนและติดตามปัญหาต่างๆ ที่ระบุในบริการเพื่อแก้ไขเมื่อจำเป็น

4. ความปลอดภัยของแอปพลิเคชัน: Shopify ดูแลโปรแกรมรักษาความปลอดภัยแอปพลิเคชันที่รับผิดชอบในการปกป้องบริการจากภัยคุกคามความปลอดภัยของแอปพลิเคชัน

5. การจัดการการเปลี่ยนแปลง: Shopify จะรักษาการควบคุมที่ออกแบบมาเพื่อบันทึก อนุญาต ทดสอบ อนุมัติ และบันทึกการเปลี่ยนแปลงทรัพยากรบริการที่มีอยู่ และจะบันทึกรายละเอียดการเปลี่ยนแปลงในเครื่องมือการจัดการการเปลี่ยนแปลงหรือการปรับใช้ Shopify จะทดสอบการเปลี่ยนแปลงตามมาตรฐานการจัดการการเปลี่ยนแปลงก่อนย้ายไปยังการผลิต

6. ความสมบูรณ์ของข้อมูล: ตามความเหมาะสม Shopify จะบำรุงรักษาการควบคุมที่ออกแบบมาเพื่อให้ข้อมูลมีความสมบูรณ์ในระหว่างการส่ง การจัดเก็บ และการประมวลผลภายในบริการ

7. ความพร้อมใช้งาน: Shopify จะ (i) ดำเนินการซ้ำซ้อนในกรณีที่เหมาะสมสำหรับบริการเพื่อลดผลกระทบของความผิดปกติที่เกิดขึ้นกับบริการ (ii) ออกแบบบริการเพื่อคาดการณ์และทนต่อความล้มเหลว และ (iii) ดำเนินการตามกระบวนการที่เหมาะสมซึ่งออกแบบมาเพื่อย้ายปริมาณการใช้ข้อมูลส่วนบุคคลออกจากพื้นที่ที่ได้รับผลกระทบเมื่อจำเป็นต้องกู้คืนจากความล้มเหลว

8. ความต่อเนื่องทางธุรกิจและการกู้คืนจากภัยพิบัติ: Shopify จะรักษาโปรแกรมการจัดการความเสี่ยงที่ออกแบบมาเพื่อรองรับความต่อเนื่องของการทำงานทางธุรกิจที่สำคัญ รวมถึงกระบวนการและขั้นตอนสำหรับการระบุ ตอบสนอง และกู้คืนจากเหตุการณ์ที่อาจป้องกันหรือทำให้การให้บริการของ Shopify ที่คุณได้รับเสียหายอย่างมาก

9. การจัดการเหตุการณ์: Shopify จัดเตรียมเอกสารเพื่อให้คุณรายงานเหตุการณ์ด้านความปลอดภัยหรือความพร้อมใช้งาน ถามคำถามด้านความปลอดภัยหรือความพร้อมใช้งาน และส่งข้อมูลเกี่ยวกับปัญหาความปลอดภัยหรือความพร้อมใช้งานที่อาจเกิดขึ้น Shopify จะจัดทำแผนการดำเนินการแก้ไขและแผนการตอบสนองต่อเหตุการณ์ที่ออกแบบมาเพื่อตรวจจับ บรรเทา สอบสวน และตอบสนองต่อภัยคุกคามด้านความปลอดภัยที่อาจเกิดขึ้นกับบริการ

B. ความปลอดภัยทางกายภาพ: ในกรณีที่จำเป็นเพื่อปกป้องบริการ Shopify จะ (i) นำมาตรการที่เหมาะสมซึ่งออกแบบมาเพื่อป้องกันการเข้าถึงทางกายภาพที่ไม่ได้รับอนุญาต ความเสียหาย หรือการรบกวนต่อบริการ (ii) ใช้อุปกรณ์ควบคุมที่เหมาะสมซึ่งออกแบบมาเพื่อจำกัดการเข้าถึงทางกายภาพต่อบริการให้เฉพาะบุคลากรที่ได้รับอนุญาตซึ่งมีความจำเป็นทางธุรกิจที่ถูกต้องสำหรับการเข้าถึงดังกล่าว และ (iii) ดำเนินการตรวจสอบเป็นระยะเพื่อตรวจสอบการปฏิบัติตามมาตรฐานเหล่านี้

C. พนักงานของ Shopify: พนักงานของ Shopify ที่ได้รับอนุญาตให้เข้าถึงข้อมูลส่วนบุคคลของลูกค้าจะต้องปฏิบัติตามข้อผูกพันเรื่องความลับซึ่งเป็นส่วนหนึ่งของเงื่อนไขการจ้างงาน Shopify จะดำเนินการและดูแลโปรแกรมการฝึกอบรมด้านความปลอดภัยของพนักงานเกี่ยวกับข้อกำหนดด้านความปลอดภัยของข้อมูลของ Shopify โปรแกรมการฝึกอบรมความตระหนักด้านความปลอดภัยจะได้รับการตรวจสอบและอัปเดตเป็นระยะ

II. การแก้ไขภาคผนวกนี้

Shopify ตรวจสอบมาตรการรักษาความปลอดภัยเป็นระยะๆ และอาจอัปเดตภาคผนวกนี้ตามดุลยพินิจแต่เพียงผู้เดียว การอัปเดตดังกล่าวจะแทนที่เวอร์ชันก่อนหน้าของภาคผนวกนี้ตั้งแต่วันที่ Shopify เผยแพร่เวอร์ชันที่อัปเดต

ภาคผนวก C: GDPR, GDPR ของสหราชอาณาจักร และภาคผนวกการประมวลผลข้อมูลของสวิตเซอร์แลนด์

ในกรณีที่การประมวลผลข้อมูลส่วนบุคคลของลูกค้าของคุณภายใต้ DPA อยู่ภายใต้ข้อกำหนดการคุ้มครองข้อมูลในเขตเศรษฐกิจยุโรป ( "EEA") สหราชอาณาจักร ( "uk") หรือสวิตเซอร์แลนด์ (เรียกรวมกันว่า "กฎหมายการคุ้มครองข้อมูลของยุโรป") และ Shopify ทำหน้าที่เป็นผู้ประมวลผลข้อมูล ภาคผนวก C จะเป็นภาคเสริมของ DPA นี้

I. ลักษณะของการประมวลผลและบทบาทของคู่สัญญา

A. ข้อมูลส่วนบุคคล

ภายใต้ภาคผนวกนี้ คุณจะต้องทำหน้าที่เป็นผู้ควบคุมข้อมูล และ Shopify จะต้องทำหน้าที่เป็นผู้ประมวลผลข้อมูลเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลของลูกค้าของคุณตามที่อธิบายไว้ใน ภาคผนวก 1 ตามความจำเป็นเพื่อตอบสนองวัตถุประสงค์ทางธุรกิจที่ระบุไว้ในข้อกำหนด และมอบบริการที่คุณเลือกใช้ให้กับคุณ

II. พันธะของคู่สัญญา

A. ภาระผูกพันของคุณ

คุณจะต้องปฏิบัติตาม:

● กฎหมายการคุ้มครองข้อมูลของยุโรปผูกพันคุณในความสัมพันธ์กับการใช้งานบริการของคุณ และ

● ภาระผูกพันของคุณที่กำหนดไว้ใน DPA รวมถึงภาระผูกพันของคุณที่กำหนดไว้ในภาคผนวกนี้

คุณรับรองและรับประกันว่าคุณมีฐานทางกฎหมายที่ถูกต้องในการประมวลผลข้อมูลส่วนบุคคลของลูกค้าของคุณ (รวมถึงการทำให้ข้อมูลดังกล่าวพร้อมใช้งานสำหรับ Shopify) และได้รับความยินยอม สิทธิ์ และการอนุญาตที่จำเป็น และได้ส่งคำแจ้งที่จำเป็นทั้งหมดแก่บุคคลต่างๆ เพื่อให้สามารถประมวลผลข้อมูลส่วนบุคคลของลูกค้าของคุณโดย Shopify เพื่อให้บริการได้ ตามที่กฎหมายการคุ้มครองข้อมูลของยุโรปกำหนด

B. ภาระผูกพันของ Shopify

1. คำแนะนำของผู้ควบคุมและการละเมิดกฎหมายการคุ้มครองข้อมูลของยุโรป

a) ทั้งสองฝ่ายตกลงกันว่าข้อกำหนดพร้อมกับ DPA นี้ถือเป็นเอกสารคำแนะนำของคุณเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลของลูกค้าของคุณโดย Shopify ("เอกสารคำแนะนำ")

b) Shopify จะประมวลผลข้อมูลส่วนบุคคลของลูกค้าของคุณในฐานะผู้ประมวลผลข้อมูล (i) ตามคำแนะนำในเอกสารของคุณหรือ (ii) เพื่อปฏิบัติตามภาระผูกพันของ Shopify ภายใต้กฎหมายที่บังคับใช้ โดยขึ้นอยู่กับข้อกำหนดการแจ้งเตือนภายใต้ EEA, รัฐสมาชิก EEA, สหราชอาณาจักร หรือกฎหมายของสวิตเซอร์แลนด์ที่ Shopify อยู่ภายใต้

c) Shopify จะแจ้งให้คุณทราบหากได้รับคำสั่งที่ระบุว่าพิจารณาอย่างมีเหตุผลว่ามีการละเมิดกฎหมายการคุ้มครองข้อมูลของยุโรป (แต่ Shopify ไม่มีภาระผูกพันที่จะต้องตรวจสอบการปฏิบัติตามกฎหมายการคุ้มครองข้อมูลของยุโรปของคุณอย่างจริงจัง)

2. ข้อผูกพันการรักษาความลับ

Shopify จะให้คำมั่นว่าบุคคลที่มอบอำนาจในการประมวลผลข้อมูลส่วนบุคคลของลูกค้าของคุณจะได้ลงนามในข้อตกลงการรักษาความลับเป็นลายลักษณ์อักษรหรืออยู่ภายใต้ภาระผูกพันตามกฎหมายเกี่ยวกับการรักษาความลับ

3. มาตรการรักษาความปลอดภัย

a) Shopify จะต้องดำเนินการและบำรุงรักษามาตรการทางเทคนิคและองค์กรที่เหมาะสมซึ่งออกแบบมาเพื่อปกป้องข้อมูลส่วนบุคคลของลูกค้าของคุณจากการประมวลผลที่ไม่ได้รับอนุญาตหรือผิดกฎหมาย และจากการสูญหาย การทำลาย ความเสียหาย การโจรกรรม การเข้าถึงที่ไม่ได้รับอนุญาต การแก้ไข หรือการเปิดเผย ตามที่ระบุไว้ใน ภาคผนวก 2

b) เมื่อพิจารณาถึงลักษณะของข้อมูลส่วนบุคคลของลูกค้าของคุณและการประมวลผลที่เกี่ยวข้อง Shopify จะให้ความช่วยเหลือที่สมเหตุสมผลตามที่คุณอาจร้องขอได้อย่างสมเหตุสมผลเพื่อช่วยให้คุณปฏิบัติตามภาระผูกพันด้านความปลอดภัยของคุณภายใต้กฎหมายการคุ้มครองข้อมูลของยุโรป

c) Shopify จะแจ้งให้คุณทราบโดยไม่ชักช้าเมื่อทราบถึงการละเมิดความปลอดภัยที่นำไปสู่การทำลาย การสูญเสีย การเปลี่ยนแปลง การเปิดเผยโดยไม่ได้รับอนุญาต หรือการเข้าถึงข้อมูลส่วนบุคคลของลูกค้าของคุณที่ถูกส่ง จัดเก็บ หรือประมวลผลในลักษณะอื่นใด โดยไม่ได้ตั้งใจหรือผิดกฎหมาย

d) Shopify ตกลงที่จะตรวจสอบการละเมิดความปลอดภัยดังกล่าวและใช้ความพยายามที่เหมาะสมในเชิงพาณิชย์เพื่อบรรเทาผลกระทบ

4. ผู้ประมวลผลรายย่อย

a) โดยทั่วไปแล้ว คุณอนุญาตให้ Shopify ว่าจ้างผู้ประมวลผลรายย่อยเพื่อประมวลผลข้อมูลส่วนบุคคลของลูกค้าของคุณ นอกจากนี้ คุณยังตกลงว่า Shopify อาจว่าจ้างบริษัทในเครือเป็นผู้ประมวลผลรายย่อยได้

b) การใช้ผู้ประมวลผลรายย่อยของ Shopify ในการประมวลผลข้อมูลส่วนบุคคลของลูกค้าของคุณจะเป็นไปตามกฎหมายการคุ้มครองข้อมูลของยุโรป

c) Shopify บำรุงรักษารายชื่อผู้ประมวลผลรายย่อยทั้งหมดที่ได้รับการอัปเดตตามที่ระบุไว้ในภาคผนวก 3 Shopify จะอัปเดตรายชื่อผู้ประมวลผลรายย่อยตามความเหมาะสม และมอบกลไกให้คุณในการรับแจ้งเกี่ยวกับการเพิ่มหรือการเปลี่ยนผู้ประมวลผลรายย่อย คุณสามารถคัดค้านการใช้ผู้ประมวลผลรายย่อยรายใหม่ของ Shopify ได้

d) ในขอบเขตที่คุณคัดค้านการใช้ผู้ประมวลผลรายย่อยของ Shopify และ Shopify ไม่สามารถหรือไม่เต็มใจที่จะรองรับคำขอดังกล่าว คุณสามารถยกเลิกการใช้บริการที่ได้รับผลกระทบภายใน 30 วันหลังจากได้รับการแจ้งเตือนตามเงื่อนไข

d) ในกรณีที่ Shopify ว่าจ้างผู้ประมวลผลรายย่อยรายใหม่ Shopify จะต้องตกลงเป็นลายลักษณ์อักษรกับผู้ประมวลผลรายย่อย และ Shopify จะกำหนดภาระผูกพันตามสัญญากับผู้ประมวลผลรายย่อยซึ่งโดยพื้นฐานแล้วจะเหมือนกับที่ระบุไว้ใน DPA นี้ Shopify จะต้องรับผิดชอบอย่างเต็มที่สำหรับการกระทำและการละเว้นของผู้ประมวลผลรายย่อยในขอบเขตเดียวกับที่ Shopify จะต้องรับผิดชอบหากดำเนินการให้บริการของผู้ประมวลผลรายย่อยแต่ละรายโดยตรงภายใต้ข้อกำหนดของ DPA นี้ อย่างไรก็ตาม ความรับผิดของ Shopify จะอยู่ภายใต้เงื่อนไขและข้อจำกัดความรับผิดที่ระบุไว้ในข้อกำหนด

5. การช่วยเหลือผู้ควบคุม
โดยคำนึงถึงลักษณะของข้อมูลส่วนบุคคลของลูกค้าของคุณและการประมวลผลที่เกี่ยวข้อง Shopify จะให้ความช่วยเหลือที่สมเหตุสมผลตามที่คุณอาจร้องขออย่างสมเหตุสมผลเพื่อช่วยเหลือคุณในการปฏิบัติตามภาระผูกพันของคุณ:

● เพื่อตอบสนองต่อคำขอสิทธิ์ในข้อมูลภายใต้กฎหมายการคุ้มครองข้อมูลของยุโรป เกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลของลูกค้าของคุณทั้งหมดโดย Shopify

● เพื่อแจ้งให้หน่วยงานที่เกี่ยวข้องและ/หรือเจ้าของข้อมูลเกี่ยวกับการละเมิดข้อมูลส่วนบุคคล

● เพื่อดำเนินการประเมินผลกระทบต่อการปกป้องข้อมูลและการปรึกษาหารือล่วงหน้า

● เพื่อให้มั่นใจถึงความปลอดภัยในการประมวลผลตามส่วนที่ 3

6. การประเมินการปฏิบัติตาม

a) Shopify อาจปฏิบัติตามสิทธิ์ของคุณในการตรวจสอบภายใต้กฎหมายการคุ้มครองข้อมูลของยุโรปที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลของลูกค้าของคุณโดยให้ข้อมูลแก่คุณ - เมื่อคุณร้องขอเป็นลายลักษณ์อักษรและอยู่ภายใต้การรักษาความลับ - ดังนี้:

(i) ผลรายงานการตรวจสอบล่าสุดของ Shopify ไม่ว่าจะมาจากการตรวจสอบตนเองของ Shopify หรือจัดทำโดยผู้ตรวจสอบผู้ให้บริการภายนอกที่เป็นอิสระ
(ii) ข้อมูลเพิ่มเติมที่อยู่ในการควบคุมของ Shopify หากการคุ้มครองข้อมูลหรือหน่วยงานของรัฐร้องขอ

b) โดยให้สิทธิ์ดังกล่าวแก่คุณเท่านั้น คุณสามารถใช้สิทธิ์ในการตรวจสอบของคุณได้: (i) ในขอบเขตที่ผู้ตรวจสอบอิสระที่ได้รับการยอมรับในระดับสากลรับรองว่าการจัดทำรายงานการตรวจสอบของ Shopify ไม่ได้ให้ข้อมูลเพียงพอแก่คุณเพื่อยืนยันการปฏิบัติตาม DPA ของ Shopify และกฎหมายการคุ้มครองข้อมูลของยุโรป หรือ (ii) ตามความจำเป็นสำหรับคุณในการตอบสนองต่อการตรวจสอบของหน่วยงานรัฐบาล การตรวจสอบแต่ละครั้งต้องเป็นไปตามพารามิเตอร์ต่อไปนี้: (i) ดำเนินการโดยผู้ให้บริการภายนอกอิสระที่จะทำสัญญาการรักษาความลับกับ Shopify; (ii) จำกัดขอบเขตเฉพาะเรื่องที่จำเป็นอย่างสมเหตุสมผลและตามที่ตกลงร่วมกันเพื่อให้คุณประเมินการปฏิบัติตาม DPA ของ Shopify และการปฏิบัติตามกฎหมายการคุ้มครองข้อมูลของยุโรปของคู่กรณี; (iii) เกิดขึ้นในวันที่และเวลาที่ตกลงร่วมกันและเฉพาะในช่วงเวลาทำการปกติของ Shopify; (iv) เกิดขึ้นไม่เกินปีละครั้ง (เว้นแต่กฎหมายการคุ้มครองข้อมูลของยุโรปกำหนดไว้); (v) ครอบคลุมเฉพาะสิ่งอำนวยความสะดวกที่ควบคุมโดย Shopify; (vi) จำกัดผลการตรวจสอบเฉพาะข้อมูลส่วนบุคคลของลูกค้าของคุณเท่านั้น; และ (vii) ปฏิบัติต่อผลลัพธ์ใดๆ ก็ตามเป็นข้อมูลลับในขอบเขตสูงสุดที่กฎหมายการคุ้มครองข้อมูลของยุโรปอนุญาต เพื่อความชัดเจน Shopify จะปฏิบัติตามสิทธิ์ใดๆ ของคุณภายใต้ส่วนที่ 6 นี้ตามภาระผูกพันด้านความลับกับผู้ให้บริการภายนอก

7. สิ้นสุดการประมวลผล

a) ในระหว่างที่คุณใช้งานบริการ คุณอาจใช้เครื่องมือบัญชีเพื่อเข้าถึง กลับไปยังตัวคุณเอง หรือลบข้อมูลส่วนบุคคลของลูกค้าของคุณ

b) หลังจากการยุติสัญญา Shopify จะลบหรือส่งคืนข้อมูลส่วนบุคคลของลูกค้าของคุณตามที่คุณเลือก โดยไม่คำนึงถึงสิ่งที่กล่าวมาข้างต้น Shopify อาจเก็บรักษาข้อมูลส่วนบุคคลของลูกค้าของคุณ: (i) ตามที่กฎหมายกำหนด รวมถึงกฎหมายการคุ้มครองข้อมูลของยุโรป และ (ii) ตามนโยบายการสำรองข้อมูลหรือการเก็บรักษาบันทึกมาตรฐาน โดยที่ในกรณีใดๆ Shopify จะรักษาความลับและปฏิบัติตามบทบัญญัติที่บังคับใช้ของ DPA นี้เกี่ยวกับข้อมูลส่วนบุคคลของลูกค้าของคุณที่เก็บรักษาไว้ และจะไม่ดำเนินการประมวลผลข้อมูลส่วนบุคคลของลูกค้าของคุณที่เก็บรักษาไว้ต่อไป ยกเว้นเพื่อวัตถุประสงค์และระยะเวลาที่ได้รับอนุญาตภายใต้กฎหมายที่บังคับใช้ดังกล่าว

8. การถ่ายโอนระหว่างประเทศ

a) ขึ้นอยู่กับการปฏิบัติตามกฎหมายการคุ้มครองข้อมูลของยุโรป Shopify international ltd. อาจถ่ายโอนข้อมูลส่วนบุคคลของลูกค้าของคุณที่ประมวลผลภายใต้ภาคผนวกนี้ออกนอก EEA สหราชอาณาจักร และสวิตเซอร์แลนด์ตามความจำเป็นเพื่อให้บริการของตน ("การถ่ายโอนระหว่างประเทศ")

b) การถ่ายโอนดังกล่าวประกอบด้วยการถ่ายโอนข้อมูลส่วนบุคคลของลูกค้าของคุณไปยัง Shopify Inc. ซึ่งมีฐานอยู่ในแคนาดาเป็นหลัก ซึ่งได้รับประโยชน์จากการตัดสินใจของคณะกรรมาธิการสหภาพยุโรป 2002/2/EC ลงวันที่ 20 ธันวาคม 2001 เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลที่เหมาะสมโดยพระราชบัญญัติการคุ้มครองข้อมูลส่วนบุคคลและเอกสารอิเล็กทรอนิกส์ของแคนาดา

c) การถ่ายโอนข้อมูลระหว่างประเทศไปยังประเทศที่ไม่รับรองระดับการคุ้มครองข้อมูลที่เพียงพอตามความหมายของกฎหมายการคุ้มครองข้อมูลของยุโรป จะต้องอยู่ภายใต้การป้องกันที่เหมาะสม รวมถึงกลไกการถ่ายโอนข้อมูลต่อไปนี้:

● โมดูลที่เกี่ยวข้องภายใต้มาตรฐานเงื่อนไขสัญญาปี 2021 ที่ได้รับการอนุมัติจากคณะกรรมาธิการยุโรปในการตัดสินใจ 2021/914/EC ลงวันที่ 4 มิถุนายน 2021

● ภาคผนวกการถ่ายโอนข้อมูลระหว่างประเทศในมาตรฐานข้อกำหนดตามสัญญาของคณะกรรมาธิการยุโรปสำหรับการถ่ายโอนข้อมูลระหว่างประเทศที่ออกโดยสำนักงานคณะกรรมาธิการข้อมูลแห่งสหราชอาณาจักรภายใต้ S119A(1) ของพระราชบัญญัติการคุ้มครองข้อมูลของสหราชอาณาจักร 2018

● ข้อกำหนดสัญญาแบบมาตรฐานปี 2021 ตามที่แก้ไขเพิ่มเติมเพื่อตอบสนองข้อกำหนดของกฎหมายสหพันธรัฐสวิสว่าด้วยการคุ้มครองข้อมูล (ตามที่แก้ไขเพิ่มเติมเป็นครั้งคราว) ลงวันที่ 19 มิถุนายน 1992 ซึ่งแก้ไขเพิ่มเติมเมื่อวันที่ 25 กันยายน 2001 และ

● ข้อกำหนดในสัญญาที่เป็นมาตรฐาน ภาคผนวกการถ่ายโอนข้อมูลระหว่างประเทศ หรือข้อกำหนด ภาคผนวก หรือกลไกการถ่ายโอนอื่นๆ ที่อาจมาแทนที่ข้อกำหนดและภาคผนวกปัจจุบัน

d) Shopify อาจใช้ดุลยพินิจแต่เพียงผู้เดียวในการเปลี่ยนกลไกการถ่ายโอนข้อมูลใดๆ เพื่อให้แน่ใจว่าการถ่ายโอนข้อมูลเป็นไปตามกฎหมายที่บังคับใช้ หากการถ่ายโอนข้อมูลขึ้นอยู่กับเงื่อนไขในสัญญาที่เป็นมาตรฐาน และข้อกำหนดดังกล่าวได้รับการอัปเดตโดยหน่วยงานที่เกี่ยวข้อง ข้อกำหนดที่อัปเดตดังกล่าวหรือข้อตกลงที่คล้ายคลึงกันจะรวมอยู่ใน DPA นี้ราวกับว่าได้ระบุไว้ครบถ้วนในที่นี้

ภาคผนวก 1 - ข้อมูลส่วนบุคคล

คำอธิบายการประมวลผลข้อมูลส่วนบุคคล

I. เรื่องของการประมวลผล

การให้บริการ Shopify แก่ผู้ขาย

II. ประเภทของข้อมูล

ลูกค้าของร้านค้า

III. ประเภทของข้อมูลส่วนบุคคลที่ได้รับการประมวลผล

ดู ภาคผนวก A ข้างต้น

IV. ความถี่ในการถ่ายโอน

ต่อเนื่อง

V. ลักษณะการประมวลผล

การรวบรวม การบันทึก การโฮสต์ การเข้าถึง การใช้ การถ่ายโอน และการลบข้อมูลส่วนบุคคลตามที่อธิบายไว้ในข้อกำหนด

VI. วัตถุประสงค์ในการประมวลผลข้อมูลส่วนบุคคลในนามของผู้ควบคุม

เพื่อประสิทธิภาพและการปรับปรุงบริการตามที่อธิบายไว้ในข้อตกลง

VII. ระยะเวลาของการประมวลผล

ระยะเวลาของบริการภายใต้ข้อกำหนดหรือข้อตกลงที่ใช้ได้ รวมทั้งช่วงเวลาหลังจากวันหมดอายุจนถึงการทำให้ไม่ระบุตัวตน การส่งคืน หรือการลบข้อมูล

VIII. หน่วยงานกำกับดูแลที่มีอำนาจ หน่วยงานกำกับดูแลที่มีอำนาจคือคณะกรรมการคุ้มครองข้อมูลของไอร์แลนด์

ภาคผนวก 2 - มาตรการรักษาความปลอดภัย

ข้อมูลเกี่ยวกับมาตรการรักษาความปลอดภัยมีอยู่ใน ภาคผนวก B ของ DPA

ภาคผนวก 3 - รายชื่อผู้ประมวลผลรายย่อย

ผู้ประมวลผลรายย่อยที่ Shopify ใช้เพื่อดำเนินการบริการภายใต้เงื่อนไขมีรายชื่ออยู่ที่นี่

ผู้ประมวลผลรายย่อยจะประมวลผลหมวดหมู่ข้อมูลส่วนบุคคลตามที่อธิบายไว้ข้างต้นที่เกี่ยวข้องกับบริการตลอดระยะเวลาข้อตกลงกับ Shopify

ภาคผนวก D: กฎหมายการคุ้มครองข้อมูลของสหรัฐอเมริกา

ส่วนนี้มีผลใช้บังคับเฉพาะในกรณีที่: (i) กฎหมายการคุ้มครองข้อมูลของสหรัฐอเมริกามีผลใช้บังคับกับคุณและ/หรือข้อมูลส่วนบุคคลของลูกค้าของคุณที่เกี่ยวข้องกับการใช้งานบริการของคุณ (ii) กฎหมายการคุ้มครองข้อมูลของสหรัฐอเมริกากำหนดให้ต้องมีบทบัญญัติต่อไปนี้ และ (iii) Shopify ทำหน้าที่เป็นผู้ประมวลผลข้อมูลหรือผู้ให้บริการ เพื่อหลีกเลี่ยงข้อสงสัย ภาคผนวก D นี้จะไม่มีผลใช้กับกิจกรรมการประมวลผลที่อธิบายไว้ใน ภาคผนวก E

1. ก. ทุกฝ่ายตกลงกันว่าข้อกำหนดพร้อมกับ DPA นี้ถือเป็นเอกสารคำแนะนำของคุณเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลของลูกค้าของคุณโดย Shopify ("เอกสารคำแนะนำ")

2. b. นอกเหนือจากที่ระบุไว้ใน ภาคผนวก E หากคุณได้รับบริการแบบเพิ่มประสิทธิภาพบางอย่าง Shopify จะไม่: (i) เก็บ ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของลูกค้าของคุณนอกความสัมพันธ์ทางธุรกิจโดยตรงกับคุณ หรือเพื่อวัตถุประสงค์อื่นใดนอกเหนือจากวัตถุประสงค์ที่จำกัดและระบุไว้ใน DPA นี้และ/หรือข้อกำหนด รวมถึงการจัดหา พัฒนา และปรับปรุงบริการ หรือตามที่อนุญาตตามกฎหมายการคุ้มครองข้อมูลที่ใช้บังคับของสหรัฐอเมริกา หรือ (ii) "ขาย" หรือ "แบ่งปัน" ข้อมูลส่วนบุคคลของลูกค้าของคุณ หรือทำ "การโฆษณาแบบกำหนดเป้าหมาย" ด้วยข้อมูลส่วนบุคคลของลูกค้าของคุณภายในความหมายของ CCPA หรือกฎหมายการคุ้มครองข้อมูลอื่นๆ ของสหรัฐอเมริกา หรือ (iii) รวมข้อมูลส่วนบุคคลของลูกค้าของคุณกับข้อมูลส่วนบุคคลที่ได้รับจากแหล่งอื่น ในแต่ละกรณี ยกเว้นตามที่อนุญาตภายใต้กฎหมายการคุ้มครองข้อมูลของสหรัฐอเมริกา

3. C. Shopify จะ: (i) จัดให้มีระดับการปกป้องความเป็นส่วนตัวเท่ากันกับที่ธุรกิจหรือผู้ควบคุมข้อมูลกำหนดโดยกฎหมายการคุ้มครองข้อมูลของสหรัฐอเมริกา และแจ้งให้คุณทราบหาก Shopify ตัดสินใจว่าไม่สามารถปฏิบัติตามภาระผูกพันเหล่านี้ได้อีกต่อไป ในกรณีนี้ คุณสามารถดำเนินขั้นตอนที่สมเหตุสมผลและเหมาะสมเพื่อหยุดหรือแก้ไขการประมวลผลข้อมูลส่วนบุคคลของลูกค้าของคุณที่ไม่ได้รับอนุญาต (ii) ให้แน่ใจว่าบุคลากรที่ได้รับมอบอำนาจในการประมวลผลข้อมูลส่วนบุคคลของลูกค้าของคุณได้ลงนามในข้อตกลงการรักษาความลับเป็นลายลักษณ์อักษรหรืออยู่ภายใต้ภาระผูกพันตามกฎหมายเกี่ยวกับการรักษาความลับ (iii) เมื่อมีการร้องขอเป็นลายลักษณ์อักษรที่สมเหตุสมผล และเป็นส่วนหนึ่งของการช่วยให้คุณดำเนินขั้นตอนที่สมเหตุสมผลและเหมาะสมเพื่อให้แน่ใจว่า Shopify ใช้ข้อมูลส่วนบุคคลของลูกค้าของคุณในลักษณะที่สอดคล้องกับกฎหมายการคุ้มครองข้อมูลของสหรัฐอเมริกา จัดทำรายงาน SOC2 ที่แสดงถึงการประเมินที่สมเหตุสมผลของโปรแกรมการรักษาความปลอดภัยข้อมูลของ Shopify และ (iv) เมื่อยุติการให้บริการแก่คุณ Shopify จะเริ่มกระบวนการล้างข้อมูลเพื่อลบ ส่งคืน หรือระบุข้อมูลส่วนบุคคลของลูกค้าของคุณที่ให้ไว้กับ Shopify เพื่อการประมวลผลในฐานะผู้ประมวลผลข้อมูลหรือผู้ให้บริการเท่านั้น

4. คุณรับรองและรับประกันว่าคุณจะไม่แบ่งปันข้อมูลส่วนบุคคลใดๆ ของบุคคลซึ่งได้ใช้สิทธิ์ยกเลิกที่คุณได้ตกลงที่จะเคารพกับ Shopify หรือข้อมูลส่วนบุคคลที่ละเอียดอ่อนใดๆ ของบุคคลที่ไม่ได้ยินยอมให้มีการประมวลผลข้อมูลที่ละเอียดอ่อนดังกล่าวตามข้อกำหนดภายใต้กฎหมายการคุ้มครองข้อมูลที่ใช้บังคับ

ภาคผนวก E: Shopify ในฐานะผู้ควบคุมข้อมูลหรือธุรกิจสำหรับบริการแบบเพิ่มประสิทธิภาพ

Shopify จะทำหน้าที่เป็นผู้ควบคุมข้อมูลหรือธุรกิจเมื่อคุณได้รับบริการแบบเพิ่มประสิทธิภาพตามที่กำหนดไว้ในส่วนที่ 9.2 ของ ข้อกำหนดในการใช้บริการ โดย Shopify อาจอัปเดตบริการและผลิตภัณฑ์ที่ทำหน้าที่เป็นผู้ควบคุมข้อมูลหรือธุรกิจเป็นครั้งคราว

ในฐานะส่วนหนึ่งของการให้บริการแบบเพิ่มประสิทธิภาพของ Shopify คุณตกลงว่า Shopify จะประมวลผลข้อมูลส่วนบุคคลของลูกค้าของคุณในฐานะผู้ควบคุมข้อมูลหรือธุรกิจภายใต้กฎหมายการคุ้มครองข้อมูลที่ใช้บังคับ เพื่อให้บริการ พัฒนา และปรับปรุงการวิเคราะห์ การปรับแต่งผลิตภัณฑ์ การโฆษณา และบริการอื่นๆ แก่คุณ ซึ่งรวมถึงปฏิสัมพันธ์และธุรกรรมของลูกค้าของคุณกับร้านค้าของคุณ กับผู้ขายรายอื่น และกับ Shopify เมื่อ Shopify ประมวลผลข้อมูลส่วนบุคคลของลูกค้าของคุณในลักษณะนี้ นโยบายความเป็นส่วนตัวของผู้บริโภคของ Shopify และภาคผนวก E ของ DPA ฉบับนี้จะนำไปใช้ คุณสามารถปิดการใช้งานข้อมูลส่วนบุคคลของลูกค้าของคุณโดย Shopify ในลักษณะนี้ได้โดยปิดการใช้งาน Shopify Network Intelligence ที่นี่ แม้ว่าคุณจะไม่สามารถใช้แอปหรือฟีเจอร์บางอย่างตามที่ระบุที่นี่

1. ประกาศความเป็นส่วนตัว ความโปร่งใส และสิทธิ์ ตามกฎหมายการคุ้มครองข้อมูลที่บังคับใช้ คุณจะต้องแจ้งการเปิดเผยข้อมูลทั้งหมดที่จำเป็นต่อ Shopify เพื่อประมวลผลข้อมูลส่วนบุคคลของลูกค้าของคุณอย่างถูกต้องและเป็นธรรม เพื่อให้บริการแบบเพิ่มประสิทธิภาพแก่คุณที่เกี่ยวข้องกับภาคผนวก E ของ DPA นี้ รวมถึงการจัดเตรียมลิงก์ไปยังนโยบายความเป็นส่วนตัวของผู้บริโภคของ Shopify ในนโยบายความเป็นส่วนตัวของคุณและจัดเตรียมการเปิดเผยข้อมูลตามที่ระบุไว้ในส่วนที่ 9.2.5 ของข้อกำหนดในการใช้บริการ](/th/legal/terms)

2. ข้อกำหนดของยุโรป หากคุณอยู่ในเขตเศรษฐกิจยุโรป สหราชอาณาจักร หรือสวิตเซอร์แลนด์ หรือหากลูกค้าของคุณอยู่ในเขตเศรษฐกิจยุโรป สหราชอาณาจักร หรือสวิตเซอร์แลนด์ คุณตกลง รับรองและรับประกันว่าคุณได้รับความยินยอมจากลูกค้า และให้ลูกค้าสามารถใช้สิทธิ์ในการถอนความยินยอม คัดค้านการประมวลผลบางอย่าง และเลือกไม่รับการประมวลผลบางอย่างได้ หากกฎหมายการคุ้มครองข้อมูลที่บังคับใช้กำหนด เพื่อหลีกเลี่ยงข้อสงสัย คุณต้องได้รับความยินยอมสำหรับการโฆษณาแบบกำหนดเป้าหมายเป็นส่วนหนึ่งของบริการแบบเพิ่มประสิทธิภาพ และการใช้คุกกี้หรือเทคโนโลยีการจัดเก็บข้อมูลภายในอื่นๆ ในขอบเขตที่กฎหมายการคุ้มครองข้อมูลที่บังคับใช้กำหนด สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการนำข้อกำหนดเหล่านี้ไปปฏิบัติ โปรดไปที่นี่

3. ความรับผิดชอบของผู้ควบคุม ข้อมูล คุณคือผู้ควบคุมข้อมูลส่วนบุคคลของลูกค้าของคุณและจะต้องกำหนดจุดประสงค์และวิธีการในการประมวลผลข้อมูลส่วนบุคคลของลูกค้าของคุณเป็นรายบุคคล รวมถึงวิธีการใช้และประมวลผลข้อมูลส่วนบุคคลของลูกค้าของคุณ รวมถึงการกำหนดฐานทางกฎหมายสำหรับการประมวลผลของคุณภายใต้กฎหมายการคุ้มครองข้อมูลที่บังคับใช้ Shopify เป็นผู้ควบคุมข้อมูลส่วนบุคคลของลูกค้าของคุณที่ประมวลผลตามภาคผนวก E นี้ และจะต้องกำหนดจุดประสงค์และวิธีการในการประมวลผลข้อมูลส่วนบุคคลดังกล่าวเป็นรายบุคคล รวมถึงการกำหนดฐานทางกฎหมายสำหรับการประมวลผลภายใต้กฎหมายการคุ้มครองข้อมูลที่บังคับใช้

แต่ละฝ่ายต้องรับผิดชอบเป็นรายบุคคลในการตอบสนองต่อคำขอด้านสิทธิ์ในข้อมูลที่ได้รับซึ่งเกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคลของลูกค้าของคุณในฐานะผู้ควบคุมข้อมูล

4. ไม่มีผลกระทบต่อส่วนที่เหลือของ DPA ภาคผนวก E นี้จะไม่ส่งผลกระทบต่อเงื่อนไขใดๆ รวมถึงส่วนที่เหลือของ DPA นี้ ซึ่งสะท้อนถึงความสัมพันธ์ระหว่างผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูลระหว่างผู้ขายและ Shopify