Dodatek o zpracování dat ve službě Shopify

Poslední aktualizace: 25. července 2025

Dodatek o zpracování dat ve službě Shopify

I. ÚČEL

Tento dodatek o zpracování dat společnosti Shopify (dále jen „DPA“) doplňuje a je začleněn odkazem do [podmínek služby] společnosti Shopify((/cz/legal/terms), spolu s případnými podmínkami platnými pro další služby společnosti Shopify, které se rozhodnete využívat (dále jen „podmínky“), mezi vámi (nebo ‚obchodníkem‘) a smluvním subjektem společnosti Shopify, jak je uvedeno v podmínkách (dále jen „společnost Shopify“), které popisují konkrétní obchodní účely a služby související s tímto DPA. V případě jakéhokoli rozporu mezi Podmínkami a touto DPA má DPA přednost, pokud jde o zpracování vašich osobních údajů zákazníka, jak je definováno níže.

Vy a společnost Shopify (každá z nich dále jen „strana“, společně dále jen „strany“) souhlasíte s tím, že tato dohoda o ochraně osobních údajů stanoví povinnosti stran týkající se zpracování vašich osobních údajů zákazníků. V souvislosti se zpracováním vašich osobních údajů zákazníků budete vystupovat jako správce údajů a společnost Shopify jako zpracovatel údajů, a to v souvislosti s vaším používáním našich služeb, které se spoléhají na naše zpracování vašich osobních údajů zákazníků, s výjimkou služeb popsaných v příloze E .

Pokud zpracování osobních údajů podle tohoto DPA podléhá požadavkům na ochranu údajů v Evropském hospodářském prostoru (dále jen „EHP“), Spojeném království (dále jen „Spojené království“) nebo Švýcarsku a společnost Shopify působí jako zpracovatel údajů, doplňuje toto DPA** příloha C**. V případě jakéhokoli rozporu mezi dodatkem C a ostatními částmi tohoto DPA má , dodatek C přednost, pokud jde o zpracování osobních údajů vašich zákazníků podléhajících požadavkům na ochranu údajů v EHP, Spojeném království a Švýcarsku. Pro vyloučení pochybností se dodatek C nevztahuje na činnosti zpracování popsané v ** dodatku E **.

Pokud zpracování osobních údajů podle tohoto DPA podléhá požadavkům na ochranu údajů v Evropském hospodářském prostoru (dále jen „EHP“), Spojeném království (dále jen „Spojené království“) nebo Švýcarsku a společnost Shopify působí jako zpracovatel údajů, doplňuje toto DPA** dodatek C**. V případě jakéhokoli rozporu mezi dodatkem C a ostatními částmi tohoto DPA má , dodatek C přednost, pokud jde o zpracování osobních údajů vašich zákazníků podléhajících požadavkům na ochranu údajů v EHP, Spojeném království a Švýcarsku. Pro vyloučení pochybností se dodatek C nevztahuje na činnosti zpracování popsané v ** dodatku E **.

Pokud od společnosti Shopify obdržíte rozšířené služby (jak je definováno v části 9.2 Podmínek služby) Společnost Shopify bude zpracovávat vaše osobní údaje zákazníků jako správce údajů nebo podnikatel, jak je uvedeno v**příloze E **. V případě jakéhokoli rozporu mezi přílohou E a ostatními částmi této dohody o ochraně osobních údajů má přednost příloha E, pokud jde o zpracování osobních údajů vašich zákazníků společností Shopify jako správcem údajů nebo podnikem.

Aby se předešlo pochybnostem, toto prohlášení o ochraně osobních údajů se nevztahuje na zpracování jakýchkoli osobních údajů o zákaznících, které společnost Shopify obdrží v důsledku vztahu zákazníka se společností Shopify prostřednictvím služeb, jako je Shop a Shop Pay.

II. DEFINICE

Pojmy s velkým počátečním písmenem použité, ale nedefinované v této DPA, mají stejný význam jako v Podmínkách:

A. ** Platný(é) zákon(y) o ochraně údajů**: Any data protection or privacy laws applicable to Shopify's processing of Personal Data under the Terms, their implementing regulations and secondary legislation, each as may be amended, updated or replaced from time to time, including such laws that apply based on the location or residence of Merchant and/or Your Customer(s).

B. ** Zákazník**: Fyzická nebo právnická osoba, která navštíví váš obchod nebo obchody, zapojí se do nich a/nebo si v nich zakoupí produkt, zboží nebo službu.

C. ** Žádost o práva na ochranu údajů**: Platná a zákonná žádost fyzické osoby o výkon dostupných práv týkajících se osobních údajů podle platného zákona o ochraně údajů.

D. Správce údajů nebo podnik: Strana, která určuje účely a prostředky zpracování osobních údajů, nebo jak je jinak definováno podle platných právních předpisů o ochraně.

E. Zpracovatel údajů nebo poskytovatel služeb :: Strana nebo jiný subjekt či podnik, který poskytuje služby jménem a zpracovává osobní údaje na pokyn a jménem správce údajů nebo jak je definováno v platných zákonech o ochraně údajů.

F. Osobní údaje : Informace nebo údaje definované jako „osobní údaje“, „osobní informace“ nebo „osobně identifikovatelné informace“ (nebo obdobný pojem) podle platných zákonů o ochraně údajů.

G. ** Porušení zabezpečení osobních údajů** : Ve vztahu k vašim osobním údajům zákazníka se vykládají v souladu s platnými zákony o ochraně osobních údajů.

H. „Zpracování,“ „procesy," nebo „zpracování“: (a (a)Jakákoli operace nebo soubor operací, které se provádějí s osobními údaji nebo se soubory osobních údajů, ať už automatizovaně nebo neautomatizovaně, jako je shromažďování, zaznamenávání, uspořádávání, strukturování, uchovávání, přizpůsobování nebo pozměňování, vyhledávání, nahlížení, používání, zpřístupňování přenosem, šíření nebo jiné zpřístupňování, seřazování nebo kombinování, omezování, výmaz nebo zničení; nebo b) definice uvedená pro takový pojem (pojmy) podle platného zákona o ochraně osobních údajů.

I. „Subprocesor(y)“: Přidružené společnosti nebo zpracovatelé údajů či poskytovatelé služeb třetích stran, kteří mohou zpracovávat osobní údaje na pokyn společnosti Shopify za účelem poskytování služeb.

J. „Vy“, „Váš“ nebo „Obchodník “: Znamená každý podnik, který provozujete a který používá nebo využívá Služby, Rozšířené služby nebo jiné Doplňkové služby a je smluvní stranou Smluvních podmínek se společností Shopify.

K. „Osobní údaje vašich zákazníků“: Osobní údaje od vašich zákazníků nebo o vašich zákaznících, s výjimkou jakýchkoli osobních údajů o zákaznících, které společnost Shopify obdrží v důsledku vztahu zákazníka se společností Shopify, který se řídí zásadami ochrany osobních údajů spotřebitelů společnosti Shopify, a nikoli těmito DPA.

III. POVAHA ZPRACOVÁNÍ A ROLE STRAN

**Společnost Shopify jako zpracovatel údajů nebo poskytovatel služeb. ** Společnost Shopify přijímá a zpracovává vaše osobní údaje zákazníků za účelem poskytování Služeb a jak je uvedeno níže. V závislosti na tom, kterou ze Služeb požadujete nebo využíváte, bude společnost Shopify zpracovávat kategorie Osobních údajů uvedené v příloze A , a to způsobem a na základě v ní obsažených.

Společnost Shopify bude zpracovávat osobní údaje vašich zákazníků jako zpracovatel údajů nebo poskytovatel služeb pouze za účelem poskytování služeb uvedených v Podmínkách a jakýchkoli doplňkových podmínkách a v případě potřeby za účelem poskytování, vývoje a zlepšování svých služeb a za jakýmikoli jinými účely povolenými platnými zákony o ochraně údajů.

Shopify jako správce údajů nebo firma. Shopify bude zpracovávat osobní údaje vašich zákazníků jako správce údajů nebo firma (a) za okolností a způsobem uvedeným v dodatku E a (b) pro jakékoli další účely slučitelné s pokyny zákazníka a platnými zákony na ochranu osobních údajů.

IV. POVINNOSTI STRAN

Následující oddíl popisuje příslušné povinnosti stran v souvislosti se zpracováním osobních údajů, na které se vztahuje tato dohoda o partnerství.

A. Obecný soulad

  1. Strany budou dodržovat své povinnosti vyplývající z platných právních předpisů o ochraně údajů.

  2. Společnost Shopify není povinna vykládat ani vám radit ohledně vašich povinností podle platných zákonů o ochraně osobních údajů, a to ani v souvislosti se zpracováním osobních údajů, na které se vztahuje tato dohoda o ochraně osobních údajů. Za stanovení svých zákonných a regulačních povinností, včetně posouzení, zda jsou technická a organizační opatření Služeb v souladu s vašimi nezávislými zákonnými a regulačními povinnostmi, jste odpovědni výhradně vy.

** B. Povinnosti společnosti Shopify**

1. Zabezpečení údajů
Společnost Shopify zavede a bude udržovat vhodná technická a organizační opatření určená k ochraně vašich osobních údajů před neoprávněným nebo nezákonným zpracováním a před náhodnou ztrátou, zničením, poškozením, odcizením, pozměněním nebo zveřejněním, jak je uvedeno v příloze B .

** 2. Oznamování a vyšetřování porušení zabezpečení osobních údajů**

a) V souladu s požadavky platných zákonů o ochraně osobních údajů vám společnost Shopify zašle oznámení poté, co potvrdí jakékoli porušení ochrany osobních údajů.

b) Takové oznámení musí obsahovat informace požadované podle platných zákonů o ochraně osobních údajů, pokud jsou tyto informace společnosti Shopify přiměřeně dostupné. Reakce společnosti Shopify na porušení ochrany osobních údajů nebo oznámení o něm není uznáním jakékoli viny nebo odpovědnosti ze strany společnosti Shopify.

c) Společnost Shopify se zavazuje prošetřit jakékoli porušení zabezpečení osobních údajů a vyvinout komerčně přiměřené úsilí k identifikaci, prevenci, zmírnění a nápravě následků.ní zabezpečení osobních údajů a vyvinout komerčně přiměřené úsilí k identifikaci, prevenci, zmírnění a nápravě následků.

C. Vaše povinnosti týkající se osobních údajů

** 1. Oznámení o ochraně osobních údajů a transparentnosti**: Prohlašujete a zaručujete, že plníte všechny povinnosti podle platných zákonů o ochraně osobních údajů, pokud jde o oznámení a transparentnost týkající se vašeho zpracování osobních údajů zákazníků podle těchto podmínek a v souvislosti s vaším používáním služeb. V souladu s Platnými zákony o ochraně osobních údajů sdělíte příslušným osobám všechny informace nezbytné k tomu, aby společnost Shopify mohla zákonně a spravedlivě zpracovávat vaše osobní údaje zákazníků v souvislosti s tímto DPA, včetně případů, kdy obdržíte Rozšířené služby nebo jiné Doplňkové služby, a to poskytnutím odkazu na Zásady ochrany osobních údajů spotřebitelů společnosti Shopify a na vaše Zásady ochrany osobních údajů a poskytnutím dalších informací, jak je uvedeno v části 9.2.5 Podmínek.

** 2. Práva a oprávnění zákazníků**: Prohlašujete a zaručujete, že máte veškerá potřebná práva, oprávnění a souhlasy k tomu, abyste společnosti Shopify zpřístupnili své osobní údaje zákazníka a aby společnost Shopify zpracovávala vaše osobní údaje zákazníka za účelem získání Služeb, včetně Rozšířených služeb nebo jiných doplňkových služeb, které obdržíte, v souladu s Podmínkami, těmito DPA a platnými zákony o ochraně údajů.

3. Žádosti o práva k údajům: Prohlašujete a zaručujete, že svým zákazníkům poskytujete možnost uplatnit žádosti o práva k údajům, jak to vyžadují platné zákony o ochraně údajů, pokud jde o zpracování osobních údajů zákazníků společností Shopify, pro kterou jste správcem údajů.

4. Regulační dotazy: Pokud to nezakazují platné právní předpisy, neprodleně nás v souladu s ustanovením o oznámení v Podmínkách informujete o jakémkoli vládním, regulačním nebo jiném dotazu či stížnosti třetí strany týkající se vašeho používání Služeb.

V. RŮZNÉ

A. Globální přenosy dat
Berete na vědomí, že vaše osobní údaje zákazníka mohou být přenášeny a zpracovávány v jakékoli zemi, kde se nachází společnost Shopify, její přidružené společnosti nebo poskytovatelé služeb třetích stran (včetně Singapuru a Kanady). Jakýkoli přenos vašich osobních údajů zákazníka těmto příjemcům bude proveden v souladu s platnými zákony o ochraně osobních údajů. Další informace o mezinárodním předávání údajů, kdy společnost Shopify podléhá požadavkům na ochranu údajů v EHP, Spojeném království nebo Švýcarsku, naleznete v části II(B)(8) dokumentu dodatku C.

B. Reakce na právní požadavky

  1. Berete na vědomí, že společnost Shopify může v průběhu poskytování služeb sdílet vaše osobní údaje zákazníků (i) za účelem splnění zákonných požadavků nebo reakce na soudní příkazy či jiné podobné vládní nebo regulační požadavky; nebo (ii) za účelem prevence nebo vyšetřování podezření na podvod, ohrožení fyzické bezpečnosti, nezákonné činnosti nebo porušení smlouvy (například Podmínky služby) nebo našich zásad (například Zásady přijatelného používání).

  2. Společnost Shopify vynaloží před poskytnutím vašich osobních údajů přiměřené úsilí, aby zajistila, že takové zveřejnění je povoleno podle platných zákonů o ochraně údajů a že s nimi bude nakládáno jako s důvěrnými informacemi podle platného právního rámce.

C. Zveřejňování informací v podnikových transakcích
Berete na vědomí, že v průběhu poskytování Služeb vám může být společnost Shopify povinna sdílet vaše osobní údaje zákazníků s potenciálními protistranami jakékoli podnikové nebo restrukturalizační transakce.

D. Využívání poskytovatelů služeb společností Shopify

  1. Berete na vědomí a souhlasíte s tím, že společnost Shopify může v rámci poskytování Služeb využívat poskytovatele služeb ke zpracování vašich osobních údajů. Společnost Shopify udržuje aktualizovaný seznam všech poskytovatelů služeb, které používá. Pokud vám příslušná práva na ochranu údajů taková práva přiznávají, můžete vznést námitku proti využívání poskytovatele služeb společností Shopify, a pokud společnost Shopify není schopna nebo ochotna takovým žádostem vyhovět, můžete v souladu s těmito zákony ukončit používání ovlivněných služeb do 30 dnů od takového oznámení v souladu s Podmínkami.

  2. Využívání poskytovatelů služeb společností Shopify ke zpracování vašich osobních údajů zákazníků, které jste poskytli, bude v souladu s platnými zákony o ochraně osobních údajů. Pokud společnost Shopify angažuje poskytovatele služeb, uzavře s ním písemnou smlouvu, která mu ukládá smluvní povinnosti, jež jsou v podstatě stejné jako povinnosti uvedené v této dohodě o ochraně osobních údajů.

E. Změna DPA Berete na vědomí a souhlasíte s tím, že společnost Shopify může tyto DPA čas od času změnit zveřejněním příslušných změněných a přepracovaných DPA na webových stránkách společnosti Shopify, které jsou k dispozici na adrese https://shopify.com/legal/dpa, přičemž tyto změny DPA jsou účinné od data zveřejnění. Vaše další používání Služeb po zveřejnění pozměněných DPA na webových stránkách společnosti Shopify představuje váš souhlas s pozměněnými DPA a jejich přijetí. Pokud se změnami DPA nesouhlasíte, Služby dále nepoužívejte.

VI DODATKY

  1. Dodatek A – Kategorie osobních údajů

  2. Dodatek B – Zabezpečení dat

  3. **Příloha C ** – GDPR, GDPR Spojeného království a dodatek o zpracování údajů ve Švýcarsku.

  4. **Dodatek D ** – Zákony USA o ochraně údajů

  5. Dodatek E – Shopify jako správce údajů nebo podnik pro rozšířené služby

DODATEK A: KATEGORIE OSOBNÍCH ÚDAJŮ

V rámci vašeho používání Služeb a v závislosti na tom, které Služby využíváte, můžeme za účelem poskytování Služeb získávat a zpracovávat následující kategorie osobních údajů:

● Jméno zákazníka, e-mail, kontaktní, fakturační a dodací informace.

● Informace o nákupech a dalších transakcích z vašich obchodů.

● Aktuální informace o stavu transakcí s Vámi nebo Vaším obchodem (obchody).

● Aktivita zákazníků ve vašem obchodě (obchodech), včetně zobrazených produktů a/nebo produktů vložených do nákupních košíků.ewed and/or included in shopping carts.

● Signály zákaznických preferencí, včetně globální kontroly soukromí („GPC“) a signálů opt-out a opt-in.

● Informace o zařízení zákazníka, které používá při návštěvě vašeho obchodu (obchodů), včetně IP adresy, prohlížeče a síťové aktivity.

● Další informace o interakcích zákazníků s Vámi.

● Jakékoli další osobní údaje, které se vy nebo vaši zákazníci rozhodnete zpřístupnit společnosti Shopify.

DODATEK B: ZABEZPEČENÍ DAT

Společnost Shopify bude udržovat program zabezpečení informací, jehož cílem je (a) umožnit vám zabezpečit vaše osobní údaje zákazníků proti neoprávněnému nebo nezákonnému zpracování a proti náhodné ztrátě, zničení, poškození, odcizení, změně nebo zveřejnění; (b) identifikovat rozumně předvídatelná rizika pro bezpečnost a dostupnost služeb, které dostáváte; a (c) minimalizovat bezpečnostní rizika pro služby.

**I. Program zabezpečení informací společnosti Shopify bude zahrnovat následující ochranná opatření: **

**A. Logické zabezpečení **

  1. Řízení přístupu: Společnost Shopify zpřístupní své systémy pouze oprávněným pracovníkům, a to pouze v rozsahu nezbytném pro údržbu a poskytování Služeb. Společnost Shopify bude udržovat kontroly přístupu a zásady určené ke správě oprávnění k přístupu do svých systémů, včetně použití firewallů a/nebo jiných technologií a kontrol ověřování.

  2. Omezený přístup uživatelů Společnost Shopify bude (i) poskytovat a omezovat přístup do svých systémů v souladu se zásadami nejmenších oprávnění na základě pracovních funkcí zaměstnanců a (ii) vyžadovat dvoufaktorové ověřování (2FA) pro přístup do svých systémů.

  3. ** Posouzení zranitelnosti**: Shopify will maintain a vulnerability assessment and penetration testing program, responsible for investigating and tracking identified issues with the Services to resolution where necessary.

  4. Zabezpečení aplikací Společnost Shopify udržuje program zabezpečení aplikací, který je zodpovědný za ochranu služeb před bezpečnostními hrozbami aplikací.

  5. Řízení změn: Společnost Shopify bude udržovat kontrolní mechanismy určené k protokolování, autorizaci, testování, schvalování a dokumentování změn stávajících zdrojů služeb a bude dokumentovat podrobnosti o změnách v rámci svých nástrojů pro správu změn nebo nasazení. Společnost Shopify otestuje změny v souladu se svými standardy řízení změn před migrací do produkčního provozu.

  6. Integrita dat Společnost Shopify bude podle potřeby udržovat kontroly určené k zajištění integrity dat během přenosu, ukládání a zpracování v rámci služeb..

  7. **Dostupnost **: Společnost Shopify (i) v případě potřeby zavede u Služeb redundanci, aby minimalizovala dopad poruchy na Služby, (ii) navrhne Služby tak, aby předvídaly a tolerovaly poruchy, a (iii) zavede vhodné procesy určené k přesunu provozu osobních údajů z postižených oblastí, pokud je to nezbytné pro obnovu po poruše.

  8. Kontinuita podnikání a zotavení po havárii Společnost Shopify bude udržovat program řízení rizik navržený tak, aby podporoval kontinuitu jejích kritických obchodních funkcí, včetně procesů a postupů pro identifikaci událostí, reakci na ně a obnovu po nich, které by mohly znemožnit nebo podstatně narušit poskytování vámi odebíraných služeb společností Shopify.

9.Řízení incidentů: Společnost Shopify vám poskytuje dokumentaci pro hlášení incidentů zabezpečení nebo dostupnosti, dotazy týkající se zabezpečení nebo dostupnosti a zasílání informací o potenciálních problémech se zabezpečením nebo dostupností. Společnost Shopify bude udržovat plány nápravných opatření a plány reakce na incidenty určené k odhalování, zmírňování, vyšetřování a reakci na potenciální bezpečnostní hrozby pro Služby.

**B. Fyzická bezpečnost **: Pokud je to nutné k ochraně Služeb, společnost Shopify (i) zavede přiměřená opatření určená k zabránění neoprávněného fyzického přístupu, poškození nebo rušení Služeb, (ii) použije vhodná kontrolní zařízení určená k omezení fyzického přístupu ke Službám pouze na oprávněné pracovníky, kteří mají oprávněnou obchodní potřebu takového přístupu, a (iii) bude provádět pravidelné kontroly k ověření dodržování těchto standardů.

C. Zaměstnanci Shopify: Zaměstnanci společnosti Shopify, kteří jsou oprávněni přistupovat k osobním údajům vašich zákazníků, jsou v rámci svých pracovních podmínek vázáni povinností mlčenlivosti. Společnost Shopify zavede a bude udržovat programy bezpečnostního školení zaměstnanců týkající se požadavků na bezpečnost informací společnosti Shopify. Programy školení o bezpečnosti budou pravidelně revidovány a aktualizovány.

II. Úpravy tohoto dodatku

Společnost Shopify čas od času přezkoumává svá bezpečnostní opatření a může tuto přílohu aktualizovat podle vlastního uvážení. Jakékoli takové aktualizace nahradí předchozí verze této přílohy k datu, kdy společnost Shopify zveřejní aktualizovanou verzi.

DODATEK C: DODATEK O ZPRACOVÁNÍ ÚDAJŮ PODLE NAŘÍZENÍ GDPR, BRITSKÉHO NAŘÍZENÍ GDPR A ŠVÝCARSKÉHO NAŘÍZENÍ GDPR

Pokud zpracování osobních údajů vašich zákazníků podle DPA podléhá požadavkům na ochranu údajů v Evropském hospodářském prostoru (dále jen „EHP“), Spojeném království (dále jen „Spojené království“) nebo Švýcarsku (souhrnně „evropské zákony o ochraně údajů“) a společnost Shopify působí jako zpracovatel údajů, doplňuje toto DPA příloha C.

I. Povaha zpracování a úloha stran

A. Osobní údaje

Podle této přílohy vystupujete jako správce údajů a společnost Shopify vystupuje jako zpracovatel údajů, pokud jde o zpracování vašich osobních údajů zákazníků, jak je popsáno v příloze 1 , které je nezbytné pro splnění obchodních účelů uvedených v podmínkách a pro poskytování služeb, které se rozhodnete využívat.

** II. Povinnosti stran **

A. Vaše povinnosti

Musíte dodržovat:

● Evropské zákony o ochraně osobních údajů, které jsou pro vás závazné v souvislosti s vaším používáním Služeb; a

● Vaše povinnosti stanovené ve smlouvě o ochraně osobních údajů, včetně vašich povinností uvedených v tomto dodatku.

Prohlašujete a zaručujete, že máte platný právní základ pro zpracování vašich osobních údajů zákazníků (včetně zpřístupnění těchto údajů společnosti Shopify) a že jste získali veškeré nezbytné souhlasy, práva a oprávnění a poskytli veškerá nezbytná oznámení jednotlivcům, aby společnost Shopify mohla zpracovávat vaše osobní údaje zákazníků za účelem poskytování Služeb, jak vyžadují evropské právní předpisy o ochraně údajů.

** B. Povinnosti společnosti Shopify**

**1. Pokyny správce a porušení evropských právních předpisů o ochraně údajů **

a) Smluvní strany se dohodly, že Podmínky spolu s těmito DPA představují vaše zdokumentované pokyny týkající se zpracování vašich osobních údajů zákazníků společností Shopify („zdokumentované pokyny“).

b) Společnost Shopify bude zpracovávat vaše osobní údaje zákazníků jako zpracovatel údajů: (i) v souladu s vašimi zdokumentovanými pokyny nebo (ii) za účelem splnění povinností společnosti Shopify podle platných právních předpisů, s výhradou jakýchkoli požadavků na oznámení podle právních předpisů EHP, členského státu EHP, Spojeného království nebo Švýcarska, kterým společnost Shopify podléhá.

c) Společnost Shopify vás upozorní, pokud obdrží pokyn, o kterém důvodně usoudí, že porušuje evropské zákony o ochraně osobních údajů (společnost Shopify však nemá povinnost aktivně sledovat, zda dodržujete evropské zákony o ochraně osobních údajů).

2. Povinnost mlčenlivosti

Společnost Shopify zajistí, aby osoby, které pověří zpracováním vašich osobních údajů, buď uzavřely písemné dohody o mlčenlivosti, nebo se na ně vztahovala zákonná povinnost mlčenlivosti.

3. Bezpečnostní opatření

a) Společnost Shopify zavede a bude udržovat vhodná technická a organizační opatření určená k ochraně vašich osobních údajů zákazníků před neoprávněným nebo nezákonným zpracováním a před náhodnou ztrátou, zničením, poškozením, odcizením, neoprávněným přístupem, úpravami nebo zveřejněním, jak je uvedeno v příloze 2.

b) S ohledem na povahu vašich osobních údajů zákazníků a souvisejícího zpracování vám společnost Shopify poskytne přiměřenou pomoc, kterou můžete rozumně požadovat, aby vám pomohla splnit vaše bezpečnostní povinnosti podle evropských právních předpisů o ochraně údajů.

c) Společnost Shopify vás bez zbytečného odkladu informuje o porušení bezpečnosti, které vede k náhodnému nebo nezákonnému zničení, ztrátě, změně, neoprávněnému zveřejnění nebo přístupu k vašim přenášeným, uloženým nebo jinak zpracovávaným osobním údajům zákazníka.

d) Společnost Shopify se zavazuje prošetřit jakékoli takové narušení bezpečnosti a vyvinout komerčně přiměřené úsilí ke zmírnění jeho dopadů.

**4. Subprocesory **

a) Společnost Shopify obecně zmocňujete k zapojení dílčích zpracovatelů, kteří zpracovávají vaše osobní údaje zákazníků. Dále souhlasíte s tím, že společnost Shopify může jako dílčí zpracovatele zapojit své přidružené společnosti.

b) Používání dílčích zpracovatelů společností Shopify ke zpracování vašich osobních údajů zákazníků bude v souladu s evropskými zákony o ochraně osobních údajů.

c) Společnost Shopify vede aktualizovaný seznam všech dílčích zpracovatelů , jak je uvedeno v příloze 3. Společnost Shopify bude seznam dílčích zpracovatelů podle potřeby aktualizovat a poskytne vám mechanismus, jak získat oznámení o doplnění seznamu.

d) Pokud máte námitky proti využívání dílčího zpracovatele společností Shopify a společnost Shopify není schopna nebo ochotna těmto požadavkům vyhovět, můžete ukončit používání ovlivněných služeb do 30 dnů od takového oznámení v souladu s podmínkami.

e) Pokud společnost Shopify najme nového dílčího zpracovatele, uzavře s ním písemnou smlouvu a uloží mu smluvní povinnosti, které jsou v podstatě stejné jako povinnosti uvedené v této dohodě o ochraně osobních údajů. Společnost Shopify nese plnou odpovědnost za jednání a opomenutí svých dílčích zpracovatelů ve stejném rozsahu, v jakém by nesla odpovědnost, kdyby služby každého dílčího zpracovatele vykonávala přímo podle podmínek této DPA. Odpovědnost společnosti Shopify nicméně podléhá podmínkám a omezením odpovědnosti stanoveným v Podmínkách.

**5. Pomoc správci **
S ohledem na povahu vašich osobních údajů zákazníků a souvisejícího zpracování vám společnost Shopify poskytne přiměřenou pomoc, kterou si můžete přiměřeně vyžádat, aby vám pomohla při plnění vašich povinností:

● reagovat na žádosti o práva na ochranu údajů podle evropských zákonů o ochraně údajů, pokud jde o veškeré zpracování vašich osobních údajů zákazníků společností Shopify;

● oznámit porušení zabezpečení osobních údajů příslušným orgánům a/nebo subjektům údajů;

● provádět posouzení vlivu na ochranu osobních údajů a předběžné konzultace;

● zajištění bezpečnosti zpracování v souladu s oddílem 3.

6. Posuzování shody

a) Společnost Shopify může splnit vaše právo na audit podle evropských právních předpisů o ochraně údajů v souvislosti se zpracováním vašich osobních údajů zákazníků tím, že vám na základě vaší písemné žádosti a s výhradou důvěrnosti poskytne:

(i) výsledky poslední auditní zprávy společnosti Shopify, a to buď z vlastních auditů společnosti Shopify, nebo vypracované nezávislým auditorem třetí strany;
(ii) další informace, které má společnost Shopify k dispozici, pokud si je vyžádá orgán pro ochranu údajů nebo vládní orgán.

b) Za předpokladu a pouze v rozsahu, v jakém vám toto právo přiznávají evropské právní předpisy o ochraně osobních údajů, můžete uplatnit své právo na audit: (i) v rozsahu, v jakém nezávislý mezinárodně uznávaný auditor potvrdí, že poskytnutí zprávy o auditu společností Shopify neposkytuje dostatečné informace k ověření souladu společnosti Shopify s touto smlouvou o ochraně osobních údajů a s evropskými právními předpisy o ochraně osobních údajů, nebo (ii) pokud je to nezbytné k tomu, abyste mohli reagovat na audit vládního orgánu. Každý audit musí splňovat následující parametry: (i) musí být proveden nezávislou třetí stranou, která se společností Shopify uzavře dohodu o zachování důvěrnosti; (ii) musí být omezen co do rozsahu na záležitosti, které jsou přiměřeně nutné a vzájemně dohodnuté, abyste mohli posoudit, zda společnost Shopify dodržuje toto DPA a zda strany dodržují evropské právní předpisy o ochraně údajů; (iii) musí proběhnout ve vzájemně dohodnutém termínu a čase a pouze v běžné pracovní době společnosti Shopify; (iv) proběhne maximálně jednou ročně (pokud to nevyžadují evropské právní předpisy o ochraně údajů); (v) bude se týkat pouze zařízení kontrolovaných společností Shopify; (vi) omezí zjištění pouze na vaše osobní údaje zákazníků; a (vii) s veškerými výsledky bude nakládáno jako s důvěrnými informacemi v maximálním rozsahu povoleném evropskými právními předpisy o ochraně údajů. Pro upřesnění uvádíme, že společnost Shopify bude dodržovat veškerá vaše práva podle tohoto oddílu 6 v souladu se svými závazky k zachování důvěrnosti vůči třetím stranám.

7. Ukončení zpracování

a) Během používání Služeb můžete využívat nástroje účtu k přístupu k vašim osobním údajům zákazníka, k jejich navrácení nebo odstranění.

b) Po ukončení smlouvy společnost Shopify podle vaší volby odstraní nebo vrátí vaše osobní údaje zákazníka. Bez ohledu na výše uvedené může společnost Shopify uchovávat vaše Osobní údaje zákazníka: (i) podle požadavků právních předpisů, včetně evropských právních předpisů o ochraně osobních údajů, a (ii) v souladu se svými standardními zásadami zálohování nebo uchovávání záznamů za předpokladu, že v obou případech bude společnost Shopify zachovávat důvěrnost uchovávaných vašich Osobních údajů zákazníka a jinak dodržovat příslušná ustanovení této DPA, a nebude uchovávané Osobní údaje zákazníka dále zpracovávat s výjimkou účelu (účelů) a doby trvání, které jsou povoleny podle těchto platných právních předpisů.

8. Mezinárodní transfery

a) V souladu s evropskými zákony o ochraně osobních údajů může společnost Shopify International Ltd. předávat vaše osobní údaje zákazníků zpracovávané podle tohoto dodatku mimo EHP, Spojené království a Švýcarsko, pokud je to nezbytné pro poskytování jejích služeb („mezinárodní předávání“).

b) Takové předávání spočívá především v předávání osobních údajů vašich zákazníků společnosti Shopify Inc. se sídlem v Kanadě, která využívá rozhodnutí Komise EU 2002/2/ES ze dne 20. prosince 2001 o přiměřené ochraně osobních údajů stanovené kanadským zákonem o ochraně osobních údajů a elektronických dokumentů.

c) Jakékoli mezinárodní předávání do zemí, které nezajišťují odpovídající úroveň ochrany údajů ve smyslu evropských právních předpisů o ochraně údajů, bude podléhat příslušným ochranným opatřením, včetně následujících mechanismů předávání:

● příslušné moduly podle standardních smluvních doložek 2021 schválených Evropskou komisí rozhodnutím 2021/914/ES ze dne 4. června 2021;

● dodatek o mezinárodním předávání údajů ke standardním smluvním doložkám Evropské komise pro mezinárodní předávání údajů, který vydal Úřad komisaře Spojeného království pro informace podle článku 119A odst. 1 zákona Spojeného království o ochraně údajů z roku 2018;

● standardní smluvní doložky 2021 ve znění, které splňuje požadavky švýcarského federálního zákona o ochraně údajů (ve znění pozdějších předpisů) ze dne 19. června 1992, revidovaného ke dni 25. září 2001; a

● jakékoli standardní smluvní doložky, dodatek o mezinárodním předávání údajů nebo jiné doložky, dodatky nebo mechanismy předávání, které by mohly nahradit stávající doložky a dodatek.

d) Společnost Shopify může podle vlastního uvážení nahradit jakýkoli mechanismus přenosu, aby zajistila, že přenosy dat budou v souladu s platnými zákony. Pokud je přenos založen na standardních smluvních doložkách a tyto doložky jsou aktualizovány příslušnými orgány, budou tyto aktualizované doložky nebo podobné dohody začleněny do této dohody o ochraně osobních údajů, jako by zde byly uvedeny v plném rozsahu.

PŘÍLOHA 1 – OSOBNÍ ÚDAJE

POPIS ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

I. Předmět zpracování

Poskytování služeb Shopify obchodníkovi.

II. Kategorie subjektů údajů

Zákazníci obchodníka.

III. Kategorie zpracovávaných osobních údajů

Viz Dodatek A výše.

IV. Frekvence převodu

Průběžně.

V. Povaha zpracování

Shromažďování, zaznamenávání, hostování, přístup, používání, přenos a mazání osobních údajů, jak je popsáno v Podmínkách.

VI. Účely, pro které jsou osobní údaje zpracovávány jménem správce

Za účelem provádění a zlepšování Služeb, jak je popsáno v Podmínkách.

VII. Doba trvání zpracování

Doba trvání Služeb podle Podmínek nebo příslušné smlouvy a doba po jejím uplynutí až do anonymizace, vrácení nebo vymazání údajů.

VIII. Příslušný dozorový úřad Příslušným dozorovým úřadem bude irská Komise pro ochranu údajů.

PŘÍLOHA 2 - BEZPEČNOSTNÍ OPATŘENÍ

Informace o bezpečnostních opatřeních jsou uvedeny v dodatku B dohody o ochraně osobních údajů.

PŘÍLOHA 3 – SEZNAM DÍLČÍCH ZPRACOVATELŮ

Dílčí zpracovatelé, které společnost Shopify používá pro poskytování Služeb podle Podmínek, jsou uvedeni zde.

Dílčí zpracovatelé budou zpracovávat výše popsané kategorie osobních údajů v souvislosti se službami po dobu trvání jejich smlouvy se společností Shopify.

Příloha D: Zákony USA o ochraně údajů

Tento oddíl se použije pouze tehdy, pokud: (ii) následující ustanovení jsou vyžadována americkými zákony o ochraně údajů a (iii) společnost Shopify vystupuje jako zpracovatel údajů nebo poskytovatel služeb. Pro vyloučení pochybností se tento Dodatek D nevztahuje na činnosti zpracování popsané v Dodatku E.

  1. Smluvní strany se dohodly, že Podmínky spolu s touto Dohodou o ochraně osobních údajů představují vaše zdokumentované pokyny týkající se zpracování osobních údajů vašich zákazníků společností Shopify („zdokumentované pokyny“).

  2. Kromě případů uvedených v příloze E, pokud obdržíte určité rozšířené služby, společnost Shopify nebude: (i) uchovávat, používat ani zveřejňovat vaše osobní údaje zákazníků mimo přímý obchodní vztah s vámi nebo pro jiné účely než pro omezené a specifikované účely uvedené v této dohodě o ochraně osobních údajů a/nebo v podmínkách, včetně poskytování, vývoje a zlepšování služeb nebo jak je jinak povoleno platnými právními předpisy. (ii) „prodávat“ nebo ‚sdílet‘ vaše osobní údaje zákazníků nebo se zapojit do „cílené reklamy“ s vašimi osobními údaji zákazníků ve smyslu CCPA nebo jiných zákonů USA o ochraně údajů; nebo (iii) kombinovat vaše osobní údaje zákazníků s osobními údaji, které získává z jiných zdrojů, v každém případě s výjimkou případů povolených zákony USA o ochraně údajů.

  3. Shopify bude: (i) poskytne stejnou úroveň ochrany soukromí, jakou od podniků nebo správců údajů vyžadují Spojené státy americké. (ii) zajistí, aby pracovníci, které pověří zpracováním osobních údajů zákazníků, buď uzavřeli písemné dohody o mlčenlivosti, nebo se na ně vztahovala zákonná povinnost mlčenlivosti, (iii) na základě přiměřené písemné žádosti a v rámci umožnění vám přijmout přiměřené a vhodné kroky k zajištění toho, aby společnost Shopify používala osobní údaje zákazníků způsobem, který je v souladu s právními předpisy USA, (iv) zajistí, aby společnost Shopify používala osobní údaje zákazníků způsobem, který je v souladu s právními předpisy USA. USA o ochraně osobních údajů, poskytne zprávu SOC2, která prokazuje přiměřené posouzení programu zabezpečení informací společnosti Shopify; a (iv) po ukončení poskytování služeb vám společnost Shopify zahájí svůj proces čištění za účelem odstranění, vrácení nebo zrušení identifikace vašich osobních údajů zákazníků poskytnutých společnosti Shopify ke zpracování výhradně jako zpracovateli údajů nebo poskytovateli služeb.

  4. Prohlašujete a zaručujete, že nebudete se společností Shopify sdílet žádné osobní údaje fyzické osoby, která uplatnila právo na odhlášení, které jste se zavázali respektovat, ani žádné citlivé osobní údaje fyzické osoby, která nesouhlasila se zpracováním těchto citlivých údajů v souladu s požadavky platných zákonů o ochraně osobních údajů.

Dodatek E: Shopify jako správce údajů nebo podnik pro rozšířené služby

Společnost Shopify vystupuje jako správce údajů nebo podnik, když obdržíte Rozšířené služby, jak jsou definovány v oddíle 9.2 (/cz/legal/terms). Společnost Shopify může čas od času aktualizovat služby a produkty, u nichž vystupuje jako Správce údajů nebo Podnik.

V rámci poskytování Rozšířených služeb společností Shopify souhlasíte s tím, že společnost Shopify bude zpracovávat osobní údaje vašich zákazníků jako správce údajů nebo podnikatel podle platných zákonů o ochraně údajů, aby vám mohla poskytovat, vyvíjet a zlepšovat analytické služby, služby přizpůsobení produktů, reklamní služby a další služby, které zahrnují interakce a transakce vašich zákazníků s vaším obchodem, s jinými obchodníky a se společností Shopify. Pokud společnost Shopify tímto způsobem zpracovává osobní údaje vašich zákazníků, platí zásady ochrany osobních údajů spotřebitelů společnosti Shopify a tato příloha E této dohody o ochraně osobních údajů. Používání vašich osobních údajů zákazníků společností Shopify tímto způsobem můžete zakázat tak, že vypnete Shopify Network Intelligence zde}), ačkoli nebudete moci používat některé aplikace nebo funkce, jak je uvedeno zde.

Oznámení o ochraně osobních údajů, transparentnosti a právech. V souladu s platnými zákony o ochraně osobních údajů sdělíte příslušným osobám veškerá sdělení, která jsou nezbytná k tomu, aby společnost Shopify mohla zákonně a spravedlivě zpracovávat vaše osobní údaje zákazníků za účelem poskytování rozšířených služeb v souvislosti s touto přílohou E dohody o ochraně osobních údajů, včetně uvedení odkazu na zásady ochrany osobních údajů spotřebitelů společnosti Shopify ve svých zásadách ochrany osobních údajů a poskytnutí sdělení, jak je uvedeno v oddíle 1 Podmínek služby.

2. Evropské požadavky. Pokud sídlíte v EHP, Spojeném království nebo Švýcarsku nebo pokud se vaši zákazníci nacházejí v EHP, Spojeném království nebo Švýcarsku, souhlasíte, prohlašujete a zaručujete, že jste od zákazníků získali souhlas a poskytujete zákazníkům možnost uplatnit právo na odvolání souhlasu, vznést námitku proti určitému zpracování a odhlásit se z určitého zpracování, pokud to vyžadují platné právní předpisy o ochraně údajů. Aby se předešlo pochybnostem, musíte získat souhlas s cílenou reklamou v rámci Rozšířených služeb a s používáním souborů cookie nebo jiných technologií místního ukládání v rozsahu vyžadovaném Platnými zákony o ochraně údajů. Další informace o provádění těchto požadavků naleznete zde.

3. Povinnosti kontrolora. Jste správcem osobních údajů svých zákazníků a sami určujete účely a prostředky zpracování osobních údajů svých zákazníků a způsob použití a zpracování osobních údajů svých zákazníků, včetně určení právního základu pro zpracování podle platných právních předpisů o ochraně osobních údajů. Společnost Shopify je správcem vašich osobních údajů zákazníků, které zpracovává v souladu s touto přílohou E, a samostatně určuje účely a prostředky zpracování těchto osobních údajů a způsob jejich použití a zpracování, včetně určení právního základu pro jejich zpracování podle platných právních předpisů o ochraně osobních údajů.

Každá strana je samostatně odpovědná za reakci na žádosti o práva k údajům, které obdrží v souvislosti se zpracováním osobních údajů vašich zákazníků jako správce údajů.

4. Žádný vliv na zbývající část dohody o prodloužení platnosti. Tento dodatek E jinak neovlivňuje žádné podmínky, včetně zbývající části této dohody o ochraně osobních údajů, které odrážejí vztah správce údajů a zpracovatele údajů mezi obchodníky a společností Shopify.