Shopify 데이터 프로세싱 계약

발효: 2025년 7월 25일

Shopify 데이터 프로세싱 계약

I. 목적

본 Shopify 데이터 프로세싱 계약(“DPA”)은 귀하(또는 “판매자”)와 귀하가 사용하기로 선택한 추가 Shopify 서비스(“약관”)에 적용되는 모든 약관과 함께 본 DPA와 관련된 특정 비즈니스 목적 및 서비스를 설명하는 약관에 명시된 대로 Shopify 서비스 약관을 보완하고 참조로 통합합니다. 약관과 본 DPA가 상충하는 경우 아래에 정의된 대로 귀하의 고객 개인 데이터 처리와 관련하여 DPA가 우선합니다.

귀하와 Shopify(각각 “당사자”, 총칭하여 “당사자”라 함)는 본 DPA가 귀하의 고객 개인 데이터 처리에 적용되는 당사자의 의무를 명시한다는 데 동의합니다. 귀하는 부록 E에 설명된 서비스를 제외하고 귀하의 고객 개인 데이터 처리에 의존하는 당사의 서비스 사용과 관련하여 귀하의 고객 개인 데이터 처리와 관련하여 데이터 컨트롤러 역할을 하고 Shopify는 데이터 처리자 역할을 합니다.

본 DPA에 따른 개인 데이터 처리가 유럽 경제 지역(“EEA”), 영국(“영국”) 또는 스위스의 데이터 보호 요구 사항을 적용받고 Shopify가 데이터 처리자 역할을 하는 경우 부록 C가 본 DPA를 보완합니다. 부록 C와 본 DPA의 다른 섹션 간에 충돌이 발생하는 경우 EEA, 영국 및 스위스 데이터 보호 요구 사항에 따른 고객 개인 데이터 처리와 관련하여 부록 C가 우선합니다. 의심의 여지를 없애기 위해 부록 C부록 E에 설명된 처리 활동에는 적용되지 않습니다.

본 DPA에 따른 개인 데이터 처리가 미국 데이터 보호법의 적용을 받고 Shopify가 데이터 처리자 또는 서비스 공급업체 역할을 하는 경우 부록 D가 본 DPA를 보완합니다. 부록 D와 본 DPA의 다른 섹션이 상충하는 경우 미국 데이터 보호법의 적용을 받는 고객 개인 데이터 처리와 관련하여 부록 D가 우선합니다. 의심의 여지를 없애기 위해 부록 D부록 E에 설명된 처리 활동에는 적용되지 않습니다.

귀하가 Shopify로부터 향상된 서비스를 받는 경우(서비스 약관 9.2절에 정의된 대로) Shopify는 부록 E에 명시된 대로 데이터 컨트롤러 또는 사업자로서 귀하의 고객 개인 데이터를 처리합니다. 부록 E와 본 DPA의 다른 섹션 간에 충돌이 발생하는 경우 데이터 컨트롤러 또는 사업자로서 Shopify의 고객 개인 데이터 처리와 관련하여 부록 E가 우선합니다.

의심의 여지를 없애기 위해, 본 DPA는 Shop 및 Shop Pay와 같은 서비스를 통해 고객과 Shopify의 관계로 인해 수신하는 고객에 대한 개인 데이터를 처리하는 Shopify의 행위에는 적용되지 않습니다.

II. 정의

본 DPA에서 사용되었으나 정의되지 않은 대문자로 표시된 용어는 본 약관에서 동일한 의미를 갖습니다.

A. 적용 가능한 데이터 보호법: 판매자 및/또는 귀하의 고객의 위치 또는 거주지에 따라 적용되는 법률을 포함하여 수시로 개정, 업데이트 또는 대체될 수 있는 약관, 해당 시행 규정 및 보조 법률에 따라 Shopify의 개인 데이터 처리에 적용되는 모든 데이터 보호 또는 개인정보 보호법입니다.

B. 고객: 귀하의 스토어를 방문, 참여 및/또는 귀하의 스토어에서 제품, 상품 또는 서비스를 구매하는 개인 또는 단체.

C. 데이터 권한 요청: 해당 데이터 보호법에 따라 개인 데이터와 관련하여 사용 가능한 권리를 행사하기 위한 개인의 유효하고 합법적인 요청.

D. 데이터 컨트롤러 또는 비즈니스: 개인 데이터 처리의 목적과 수단을 결정하는 당사자 또는 해당 데이터 보호법에 따라 달리 정의된 당사자.

E. 데이터 처리자 또는 서비스 제공자: 데이터 컨트롤러의 지시에 따라 또는 해당 데이터 보호법에 정의된 대로 데이터 컨트롤러를 대신하여 서비스를 제공하고 개인 데이터를 처리하는 당사자 또는 기타 법인 또는 사업체.

F. 개인 데이터: 해당 데이터 보호법에 따라 '개인 데이터', '개인정보' 또는 '개인 식별 정보'(또는 이와 유사한 용어)로 정의되는 정보 또는 데이터.

G. 개인 데이터 침해: 귀하의 고객 개인정보와 관련하여 해당 데이터 보호법에 따라 해석됩니다.

H. “프로세스,” ‘프로세스’ 또는 ‘프로세싱’: (a) 수집, 기록, 조직, 구조화, 저장, 조정 또는 변경, 검색, 상담, 사용, 전송, 유포 또는 기타 방법으로 공개, 정렬 또는 조합, 제한, 삭제 또는 파기 등 자동화된 수단에 의한 것인지 여부에 관계없이 개인정보 또는 개인정보 집합에 대해 수행되는 모든 작업 또는 일련의 작업 또는 해당 데이터 보호법에서 그러한 용어에 부여한 정의.

I. “하위 처리자": 서비스 제공을 목적으로 Shopify의 지시에 따라 개인 데이터를 처리할 수 있는 계열사 또는 타사 데이터 처리자 또는 서비스 공급업체.

J. “사용자”, ‘귀하’ 또는 ‘판매자’: 귀하가 운영하며 서비스, 향상된 서비스 또는 기타 추가 서비스를 사용하거나 혜택을 받는 각 비즈니스를 의미하며 Shopify와 약관의 당사자입니다.

K. “고객 개인 데이터": 본 DPA가 아닌 Shopify의 소비자 개인정보처리방침의 적용을 받는 고객과 Shopify의 관계로 인해 Shopify가 수신하는 고객에 대한 개인 데이터를 제외한 고객으로부터 또는 고객에 관한 개인 데이터.

III. 처리의 성격 및 당사자의 역할

데이터 처리자 또는 서비스 공급업체로서의 Shopify. Shopify는 귀하에게 서비스를 제공하기 위해 그리고 아래에 명시된 대로 귀하의 고객 개인 데이터를 수신하고 처리합니다. 귀하가 요청하거나 사용하는 서비스에 따라 Shopify는 부록 A에 명시된 개인 데이터 범주에 따라 여기에 포함된 방식과 근거에 따라 개인 데이터를 처리합니다.

Shopify는 데이터 처리자 또는 서비스 공급업체로서 약관 및 추가 약관에 명시된 서비스를 제공하고 서비스를 제공, 개발 및 개선하고 관련 데이터 보호법이 허용하는 기타 목적을 달성하기 위해 필요한 경우에만 고객 개인 데이터를 처리합니다.

데이터 관리자 또는 사업자로서의 Shopify. Shopify는 데이터 관리자 또는 사업자로서 (a) 부록 E에 명시된 상황 및 방식으로, (b) 고객의 지침 및 해당 데이터 보호법에 부합하는 추가 목적을 위해 고객 개인 데이터를 처리해야 합니다.

IV. 당사자의 의무

다음 섹션에서는 본 DPA가 적용되는 개인정보 처리와 관련한 각 당사자의 의무에 대해 설명합니다.

A. 일반 규정 준수

  1. 양 당사자는 해당 데이터 보호법에 따른 각자의 의무를 준수합니다.

  2. Shopify는 본 DPA가 적용되는 개인 데이터 처리와 관련하여 적용 가능한 데이터 보호법에 따른 귀하의 의무를 해석하거나 조언할 의무가 없습니다. 서비스의 기술적 및 조직적 조치가 귀하의 독립적인 법적 및 규제 의무와 일치하는지 여부를 평가하는 것을 포함하여 귀하의 법적 및 규제 의무를 결정할 책임은 전적으로 귀하에게 있습니다.

B. Shopify의 의무

1. 데이터 보안
Shopify는 부록 B에 명시된 대로 무단 또는 불법 처리 및 우발적인 손실, 파기, 손상, 도난, 변경 또는 공개로부터 고객 개인 데이터를 보호하기 위해 설계된 적절한 기술적 및 조직적 조치를 구현하고 유지합니다.

2. 개인정보 침해 통지 및 조사

a) 관련 데이터 보호법에서 요구하는 바에 따라 Shopify는 개인 데이터 침해가 확인되면 귀하에게 통지를 제공합니다.

b) 이러한 통지에는 해당 데이터 보호법에 따라 요구되는 정보가 Shopify가 합리적으로 이용할 수 있는 범위 내에서 포함됩니다. 개인 데이터 침해에 대한 Shopify의 응답 또는 통지는 Shopify가 어떠한 잘못이나 책임을 인정하는 것이 아닙니다.

c) Shopify는 모든 개인 데이터 침해를 조사하고 그 영향을 식별, 예방, 완화 및 해결하기 위해 상업적으로 합리적인 노력을 기울이는 데 동의합니다.

C. 개인 데이터에 대한 귀하의 의무

1. 개인정보 고지 및 투명성: 귀하는 본 약관 및 귀하의 서비스 이용과 관련하여 귀하의 고객 개인정보 처리와 관련하여 통지 및 투명성을 제공해야 하는 관련 데이터 보호법에 따른 모든 의무를 준수하고 있음을 진술하고 보증합니다. 관련 데이터 보호법에 따라 귀하는 Shopify의 소비자 개인정보처리방침 및 개인정보처리방침에 대한 링크를 제공하고 약관의 9.2.5항에 명시된 기타 공개를 제공함으로써 귀하가 향상된 서비스 또는 기타 추가 서비스를 받는 경우를 포함하여 본 DPA와 관련하여 귀하의 고객 개인정보 데이터를 합법적이고 공정하게 처리하는 데 필요한 모든 공개를 관련 개인에게 전달해야 합니다.

2. 고객 권리 및 권한: 귀하는 약관, 본 DPA 및 관련 데이터 보호법에 따라 귀하가 받는 향상된 서비스 또는 기타 추가 서비스를 포함한 서비스를 받기 위해 귀하의 고객 개인 데이터를 Shopify에 제공하고 Shopify가 귀하의 고객 개인 데이터를 처리하는 데 필요한 모든 권리, 권한 및 동의를 보유하고 있음을 진술하고 보증합니다.

3. 데이터 권리 요청: 귀하는 귀하가 데이터 컨트롤러인 Shopify의 고객 개인정보 처리와 관련하여 해당 데이터 보호법에 따라 요구되는 대로 고객이 데이터 권리 요청을 행사할 수 있는 기능을 제공할 것을 진술하고 보증합니다.

4. 규제 문의: 관련 법률에 의해 금지되지 않는 한, 귀하는 귀하의 서비스 사용과 관련된 정부, 규제 기관 또는 기타 타사의 문의 또는 불만 사항을 약관의 통지 조항에 따라 즉시 당사에 통지해야 합니다.

V. 기타

A. 글로벌 데이터 전송
귀하는 귀하의 고객 개인 데이터가 Shopify, 그 계열사 또는 타사 서비스 공급업체가 위치한 모든 국가(싱가포르 및 캐나다 포함)에서 전송 및 처리될 수 있음을 인정합니다. 이러한 수신자에게 귀하의 고객 개인 데이터를 전송하는 경우 해당 데이터 보호법을 준수하여 이루어집니다. Shopify가 EEA, 영국 또는 스위스에서 데이터 보호 요구 사항을 적용받는 국제 데이터 전송에 대한 자세한 내용은 부록 C의 섹션 II(B)(8)을 참조하십시오.

B. 법적 요청에 대한 대응

  1. 귀하는 귀하에게 서비스를 제공하는 과정에서 (i) 법적 요구 사항을 준수하거나 법원 명령 또는 기타 유사한 정부 또는 규제 기관의 요구에 대응하기 위해, 또는 (ii) 사기, 물리적 안전 위협, 불법 활동 또는 계약(예: 서비스 약관 또는 당사의 정책(예: 사용 정책 위반을 방지하거나 조사하기 위해 Shopify가 고객 개인 데이터를 공유할 수 있음을 인정합니다.)

  2. Shopify는 고객 개인 데이터를 생성하기 전에 해당 데이터 보호법에 따라 그러한 공개가 허용되고 해당 법적 프레임워크에 따라 기밀 정보로 취급되는지 확인하기 위해 합리적인 노력을 기울입니다.

C. 기업 거래에서의 공개
귀하는 귀하에게 서비스를 제공하는 과정에서 Shopify가 귀하의 고객 개인 데이터를 기업 또는 구조 조정 거래의 잠재적 상대방과 공유해야 할 수 있음을 인정합니다.

D. Shopify의 서비스 공급업체 사용

  1. 귀하는 귀하에게 서비스를 제공하는 과정에서 Shopify가 서비스 공급업체를 사용하여 귀하의 고객 개인 데이터를 처리할 수 있음을 인정하고 이에 동의합니다. Shopify는 사용되는 모든 서비스 공급업체 목록을 업데이트하여 유지합니다. 관련 데이터 보호법이 귀하에게 그러한 권리를 부여하는 경우 귀하는 Shopify의 서비스 공급업체 사용에 이의를 제기할 수 있으며, Shopify가 그러한 요청을 수용할 수 없거나 수용하지 않으려는 경우 해당 법률에 따라 약관에 따라 해당 통지 후 30일 이내에 영향을 받는 서비스 이용을 종료할 수 있습니다.

  2. 귀하가 제공하는 고객 개인 데이터를 처리하기 위한 서비스 공급업체의 사용은 관련 데이터 보호법을 준수합니다. Shopify가 서비스 공급업체를 고용하는 경우, Shopify는 서비스 공급업체와 본 DPA에 명시된 것과 실질적으로 동일한 계약 의무를 부과하는 서면 계약을 체결합니다.

E. DPA 개정 귀하는 Shopify가 https://shopify.com/legal/dpa에서 제공되는 Shopify 웹사이트에 관련 수정 및 재작성된 DPA를 게시하여 본 DPA를 수시로 개정할 수 있으며 이러한 DPA 개정은 게시 날짜부터 유효하다는 것을 인정하고 이에 동의합니다. 수정된 DPA가 Shopify 웹사이트에 게시된 후에도 서비스를 계속 사용하면 수정된 DPA에 동의하고 이를 수락하는 것으로 간주됩니다. DPA의 변경 사항에 동의하지 않는 경우 서비스를 계속 사용하지 마십시오.

VI 부록

  1. 부록 A - 개인 데이터의 범주

  2. 부록 B - 데이터 보안

  3. 부록 C - GDPR, 영국 GDPR 및 스위스 데이터 프로세싱 계약

  4. 부록 D - 미국 데이터 보호법

  5. 부록 E - 향상된 서비스를 위한 데이터 컨트롤러 또는 사업자로서의 Shopify

부록 A: 개인 데이터의 범주

귀하의 서비스 사용의 일부로, 그리고 귀하가 사용하는 서비스에 따라 당사는 서비스를 제공하기 위해 다음 범주의 개인 데이터를 수신하고 처리할 수 있습니다.

● 고객 이름, 이메일, 연락처, 청구 및 배송 정보.

● 귀하의 스토어에서 발생한 구매 및 기타 거래 정보.

● 귀하 또는 귀하의 스토어와의 거래 상태에 대한 업데이트

● 조회한 제품 및/또는 장바구니에 포함된 제품을 포함한 스토어 내 고객 활동.

● 글로벌 개인정보처리방침(“GPC”), 옵트아웃 및 옵트인 신호를 포함한 고객 기본 설정 신호.

● IP 주소, 브라우저, 네트워크 활동 등 스토어 방문 시 사용된 기기에 대한 고객 기기 정보.

● 고객과 귀하와의 상호 작용에 대한 기타 정보.

● 귀하 또는 귀하의 고객이 Shopify에 제공하기로 선택한 기타 모든 개인 데이터.

부록 B: 데이터 보안

Shopify는 (a) 무단 또는 불법 처리 및 우발적 손실, 파기, 손상, 도난, 변경 또는 공개로부터 고객 개인 데이터를 보호하고, (b) 귀하가 받는 서비스의 보안 및 가용성에 대해 합리적으로 예측 가능한 위험을 식별하며, (c) 서비스에 대한 보안 위험을 최소화하도록 설계된 정보 보안 프로그램을 유지 관리합니다.

I. Shopify의 정보 보안 프로그램에는 다음과 같은 안전장치가 포함됩니다.

A. 논리적 보안

  1. 액세스 제어: Shopify는 권한이 부여된 직원만 서비스를 유지 관리하고 제공하는 데 필요한 경우에만 시스템에 액세스할 수 있도록 합니다. Shopify는 방화벽 및/또는 기타 기술 및 인증 제어를 포함하여 시스템에 대한 액세스 권한을 관리하도록 설계된 액세스 제어 및 정책을 유지 관리합니다.

  2. 제한된 사용자 액세스: Shopify는 (i) 직원의 직무에 따라 최소 권한 원칙에 따라 시스템에 대한 액세스 권한을 제공하고 제한하며, (ii) 시스템 액세스 시 이중 인증(2FA)을 요구합니다.

  3. 취약점 평가: Shopify는 취약성 평가 및 침투 테스트 프로그램을 유지하여 서비스에서 확인된 문제를 조사하고 추적하여 필요한 경우 해결합니다.

  4. 응용 프로그램 보안: Shopify는 응용 프로그램 보안 위협으로부터 서비스를 보호하는 응용 프로그램 보안 프로그램을 유지 관리합니다.

  5. 변경 관리: Shopify는 기존 서비스 리소스에 대한 변경 사항을 기록, 권한 부여, 테스트, 승인 및 문서화하도록 설계된 제어를 유지하고 변경 관리 또는 배포 도구 내에서 변경 세부 정보를 문서화합니다. Shopify는 프로덕션으로 마이그레이션하기 전에 변경 관리 표준에 따라 변경 사항을 테스트합니다.

  6. 데이터 무결성: 적절한 경우, Shopify는 서비스 내에서 전송, 저장 및 처리하는 동안 데이터 무결성을 제공하도록 설계된 제어를 유지합니다.

  7. 가용성: Shopify는 (i) 서비스에 대한 오작동의 영향을 최소화하기 위해 서비스에 적절한 경우 이중화를 구현하고, (ii) 장애를 예상하고 견딜 수 있도록 서비스를 설계하며, (iii) 장애 복구에 필요한 경우 개인 데이터 트래픽을 영향을 받는 영역에서 멀리 이동하도록 설계된 적절한 프로세스를 구현합니다.

  8. 비즈니스 연속성 및 재해 복구: Shopify는 귀하가 받는 서비스 제공을 방해하거나 실질적으로 손상시킬 수 있는 이벤트를 식별, 대응 및 복구하는 프로세스 및 절차를 포함하여 중요한 비즈니스 기능의 연속성을 지원하도록 설계된 위험 관리 프로그램을 유지합니다.

  9. 사고 관리: Shopify는 귀하가 보안 또는 가용성 사고를 보고하고, 보안 또는 가용성 관련 질문을 하고, 잠재적인 보안 또는 가용성 문제에 대한 정보를 제출할 수 있는 문서를 제공합니다. Shopify는 서비스에 대한 잠재적인 보안 위협을 감지, 완화, 조사 및 대응하기 위해 설계된 시정 조치 계획 및 사고 대응 계획을 유지 관리합니다.

B. 물리적 보안: 서비스를 보호하기 위해 필요한 경우 Shopify는 (i) 서비스에 대한 무단 물리적 액세스, 손상 또는 간섭을 방지하기 위해 설계된 합리적인 조치를 구현하고, (ii) 서비스에 대한 물리적 액세스를 정당한 업무상 필요가 있는 승인된 직원으로만 제한하도록 설계된 적절한 제어 장치를 사용하며, (iii) 이러한 표준 준수 여부를 확인하기 위해 정기적인 검토를 수행합니다.

C. Shopify 직원: 고객 개인 데이터에 액세스할 수 있는 권한이 있는 Shopify 직원은 고용 약관의 일부로 기밀 유지 의무를 준수해야 합니다. Shopify는 Shopify 정보 보안 요구 사항에 관한 직원 보안 교육 프로그램을 구현하고 유지합니다. 보안 인식 교육 프로그램은 주기적으로 검토 및 업데이트됩니다.

II. 본 부록의 수정 사항

Shopify는 수시로 보안 조치를 검토하고 단독 재량으로 본 부록을 업데이트할 수 있습니다. 이러한 업데이트는 Shopify가 업데이트된 버전을 게시하는 날짜를 기준으로 본 부록의 이전 버전을 대체합니다.

부록 C: GDPR, 영국 GDPR 및 스위스 데이터 프로세싱 계약

DPA에 따른 고객 개인 데이터 처리가 유럽 경제 지역(“EEA”), 영국(“영국”) 또는 스위스(총칭하여 “유럽 데이터 보호법”)의 데이터 보호 요구 사항을 적용받고 Shopify가 데이터 처리자 역할을 하는 경우 부록 C가 본 DPA를 보완합니다.

I. 처리의 성격 및 당사자의 역할

A. 개인 데이터

본 부록에 따라 귀하는 약관에 명시된 비즈니스 목적을 달성하고 귀하가 선택한 서비스를 제공하는 데 필요한 경우 부록 1에 설명된 대로 고객 개인 데이터 처리와 관련하여 데이터 컨트롤러 역할을 하며 Shopify는 데이터 처리자 역할을 합니다.

II. 당사자의 의무

A. 귀하의 의무

귀하는 다음을 준수해야 합니다.

● 귀하의 서비스 이용과 관련하여 귀하를 구속하는 유럽 데이터 보호법 및

● 본 부록에 명시된 귀하의 의무를 포함하여 DPA에 명시된 귀하의 의무

귀하는 유럽 데이터 보호법에서 요구하는 대로 Shopify가 서비스를 제공하기 위해 귀하의 고객 개인 데이터를 처리할 수 있도록 필요한 동의, 권리 및 권한을 획득하고 개인에게 필요한 통지를 제공했으며, 귀하의 고객 개인 데이터를 처리할 수 있는 유효한 법적 근거(해당 데이터를 Shopify에 제공하는 것 포함)를 보유하고 있음을 진술하고 보증합니다.

B. Shopify의 의무

1. 컨트롤러의 지침 및 유럽 데이터 보호법 위반

a) 양 당사자는 본 DPA와 함께 약관이 Shopify의 고객 개인 데이터 처리에 관한 귀하의 문서화된 지침(“문서화된 지침”)을 구성한다는 데 동의합니다.

b) Shopify는 데이터 처리자로서 (i) 귀하의 문서화된 지침에 따라 또는 (ii) 관련 법률에 따른 Shopify의 의무를 준수하기 위해, Shopify가 적용되는 EEA, EEA 회원국, 영국 또는 스위스 법률에 따른 통지 요건에 따라 귀하의 고객 개인 데이터를 처리할 것입니다.

c) Shopify는 유럽 데이터 보호법을 위반한다고 합리적으로 판단하는 지시를 받은 경우 이를 귀하에게 통지합니다(단, Shopify는 귀하의 유럽 데이터 보호법 준수 여부를 적극적으로 모니터링할 의무가 없습니다).

2. 기밀 유지 의무

Shopify는 귀하의 고객 개인 데이터를 처리하도록 권한을 부여한 사람이 서면 기밀 유지 계약을 체결하거나 법적 기밀 유지 의무를 준수하도록 합니다.

3. 보안 조치

a) Shopify는 부록 2에 명시된 대로 무단 또는 불법 처리 및 우발적 손실, 파기, 손상, 도난, 무단 액세스, 변경 또는 공개로부터 고객 개인 데이터를 보호하기 위해 설계된 적절한 기술적 및 조직적 조치를 구현하고 유지해야 합니다.

b) 귀하의 고객 개인 데이터 및 관련 처리의 특성을 고려하여 Shopify는 유럽 데이터 보호법에 따른 귀하의 보안 의무를 이행하는 데 도움이 되도록 귀하가 합리적으로 요청할 수 있는 합리적인 지원을 제공합니다.

c) Shopify는 전송, 저장 또는 기타 방식으로 처리된 고객 개인 데이터의 우발적 또는 불법적인 파기, 분실, 변경, 무단 공개 또는 접근으로 이어지는 보안 위반을 인지하는 즉시 과도한 지체 없이 귀하에게 통지해야 합니다.

d) Shopify는 이러한 보안 위반을 조사하고 그 영향을 완화하기 위해 상업적으로 합리적인 노력을 기울이는 데 동의합니다.

4. 하위 처리자

a) 귀하는 일반적으로 Shopify가 하위 처리자를 고용하여 고객 개인 데이터를 처리할 수 있도록 승인합니다. 또한 귀하는 Shopify가 계열사를 하위 처리자로 고용할 수 있음에 동의합니다.

b) Shopify가 하위 처리자를 사용하여 귀하의 고객 개인 데이터를 처리하는 것은 유럽 데이터 보호법을 준수합니다.

c) Shopify는 부록 3에 명시된 대로 업데이트된 모든 하위 처리자 목록을 유지합니다. Shopify는 하위 처리자 목록을 적절히 업데이트하고 하위 처리자의 추가 또는 교체에 대한 통지를 받을 수 있는 메커니즘을 귀하에게 제공합니다. 귀하는 Shopify의 새로운 하위 프로세서 사용에 이의를 제기할 수 있습니다.

d) 귀하가 Shopify의 하위 프로세서 사용에 이의를 제기하고 Shopify가 그러한 요청을 수용할 수 없거나 수용할 의사가 없는 경우, 귀하는 약관에 따라 해당 통지일로부터 30일 이내에 영향을 받는 서비스 사용을 종료할 수 있습니다.

e) Shopify가 새로운 하위 처리자를 고용하는 경우 Shopify는 하위 처리자와 서면 계약을 체결하고 Shopify는 하위 처리자에게 본 DPA에 명시된 것과 실질적으로 동일한 계약상의 의무를 부과합니다. Shopify는 본 DPA의 조건에 따라 각 하위 프로세서의 서비스를 직접 수행하는 경우 Shopify가 책임을 지는 것과 동일한 범위에서 하위 프로세서의 행위 및 부작위에 대해 전적으로 책임을 집니다. 그럼에도 불구하고 Shopify의 책임은 약관에 명시된 책임의 조건 및 제한의 적용을 받습니다.

5. 개인정보처리자에 대한 지원
귀하의 고객 개인정보 및 관련 처리의 특성을 고려하여 Shopify는 귀하의 의무 준수를 지원하기 위해 귀하가 합리적으로 요청할 수 있는 합리적인 지원을 제공해야 합니다.

● Shopify의 모든 고객 개인정보 처리와 관련하여 유럽 데이터 보호법에 따른 데이터 권리 요청에 응답하기 위해

● 관련 당국 및/또는 데이터 주체에게 개인 데이터 위반을 통지하기 위해

● 데이터 보호 영향 평가 및 사전 협의를 수행하기 위해

● 섹션 3에 따라 처리의 보안을 보장하기 위해

6. 규정 준수 평가

a) Shopify는 귀하의 서면 요청에 따라 기밀 유지 조건 하에 다음을 제공함으로써 고객 개인정보 처리와 관련하여 유럽 데이터 보호법에 따른 귀하의 감사 권리를 이행할 수 있습니다.

(i) Shopify의 자체 감사 또는 독립적인 타사 감사인이 작성한 가장 최근 감사 보고서 결과
(ii) 데이터 보호 또는 정부 기관이 요청하는 경우 Shopify가 통제할 수 있는 추가 정보.

b) 유럽 데이터 보호법이 귀하에게 이 권리를 부여하는 한도 내에서만 귀하는 (i) 국제적으로 인정받는 독립 감사인이 Shopify의 감사 보고서 제공이 본 DPA 및 유럽 데이터 보호법 준수 여부를 확인하기에 충분한 정보를 제공하지 못한다고 증명하는 경우 또는 (ii) 정부 기관 감사에 대응하기 위해 필요한 경우 감사 권리를 행사할 수 있습니다. 각 감사는 다음 매개 변수를 준수해야 합니다. (i) Shopify와 기밀 유지 계약을 체결하는 독립적인 타사가 수행할 것, (ii) 귀하가 본 DPA 및 당사자의 유럽 데이터 보호법 준수 여부를 평가하기 위해 합리적으로 필요하고 상호 합의한 사안으로 범위를 제한할 것, (iii) 상호 합의된 날짜와 시간에 Shopify의 정규 업무 시간 중에만 수행할 것, (iv) 상호 합의된 날짜 및 시간에 수행할 것 (iv) 유럽 데이터 보호법에 따라 요구되지 않는 한 1년에 한 번만 수행, (v) Shopify가 관리하는 시설만 대상, (vi) 조사 결과를 귀하의 고객 개인 데이터로만 제한, (vii) 유럽 데이터 보호법이 허용하는 최대 범위까지 모든 결과를 기밀 정보로 취급. 명확히 하기 위해, Shopify는 타사에 대한 기밀 유지 의무에 따라 본 섹션 6에 따른 귀하의 권리를 준수합니다.

7. 처리 종료

a) 귀하가 서비스를 사용하는 동안 계정 도구를 활용하여 고객 개인정보에 액세스하거나 자신에게 반환하거나 삭제할 수 있습니다.

b) 종료 후 Shopify는 귀하의 선택에 따라 귀하의 고객 개인 데이터를 삭제하거나 반환합니다. 전술한 내용에도 불구하고 Shopify는 (i) 유럽 데이터 보호법을 포함한 법률에서 요구하는 경우, (ii) 표준 백업 또는 기록 보존 정책에 따라 고객 개인 데이터를 보유할 수 있으며, 두 경우 모두 Shopify는 보유 고객 개인 데이터의 기밀을 유지하고 보유 고객 개인 데이터와 관련하여 본 DPA의 해당 조항을 준수하며 해당 법률에서 허용하는 목적 및 기간을 제외하고 보유 고객 개인 데이터를 추가로 처리하지 않는다는 전제 하에 고객 개인 데이터를 보유할 수 있습니다.

8. 국제 전송

a) 유럽 데이터 보호법을 준수하는 경우 Shopify International Ltd.는 서비스 제공에 필요한 경우 본 부록에 따라 처리된 귀하의 고객 개인 데이터를 EEA, 영국 및 스위스 외부로 전송할 수 있습니다(“국제 전송”).

b) 이러한 전송은 주로 캐나다 개인정보 보호 및 전자문서법에 의해 제공되는 개인정보의 적절한 보호에 대한 2001년 12월 20일자 EU 위원회 2002/2/EC 결정의 혜택을 받는 캐나다에 소재한 Shopify Inc.로 귀하의 고객 개인 데이터를 전송하는 것으로 구성됩니다.

c) 유럽 데이터 보호법의 의미 내에서 적절한 수준의 데이터 보호를 보장하지 않는 국가로의 모든 국제 전송에는 다음과 같은 전송 메커니즘을 포함한 적절한 안전장치가 적용됩니다.

● 2021년 6월 4일자 결정 2021/914/EC에서 유럽 위원회가 승인한 2021 표준 계약 조항의 관련 모듈

● 2018년 영국 데이터 보호법 S119A(1)에 따라 영국 정보위원회 사무소가 발행한 국제 데이터 전송에 대한 유럽위원회의 표준 계약 조항에 대한 국제 데이터 전송 부록

● 1992년 6월 19일 스위스 연방 데이터 보호법(수시로 개정됨)의 요건을 충족하도록 개정된 2021년 표준 계약 조항(2001년 9월 25일자로 개정됨), 그리고

● 현행 조항 및 부록을 대체할 수 있는 표준 계약 조항, 국제 데이터 전송 부록 또는 기타 조항, 부록 또는 전송 메커니즘

d) Shopify는 단독 재량으로 데이터 전송이 관련 법률을 준수하도록 전송 메커니즘을 대체할 수 있습니다. 전송이 표준 계약 조항에 기반하고 해당 조항이 관련 당국에 의해 업데이트되는 경우 업데이트된 조항 또는 유사한 계약은 본 DPA에 완전히 명시된 것처럼 본 계약에 통합됩니다.

부록 1 - 개인 데이터

개인 데이터 처리에 대한 설명

I. 처리의 주제

판매자에 대한 Shopify 서비스 제공.

II. 데이터 주체의 범주

판매자의 고객.

III. 처리되는 개인 데이터의 범주

위의 부록 A를 참조하십시오.

IV. 전송 빈도

지속적.

V. 처리의 성격

약관에 설명된 대로 개인 데이터의 수집, 기록, 호스팅, 액세스, 사용, 전송 및 삭제.

VI. 컨트롤러를 대신하여 개인 데이터를 처리하는 목적

약관에 설명된 대로 서비스의 성능 및 개선을 위해.

VII. 처리 기간

약관 또는 해당 계약에 따른 서비스 기간과 해당 기간 만료 후 데이터의 익명화, 반환 또는 삭제까지의 기간.

VIII. 관할 감독 기관 관할 감독 기관은 아일랜드 데이터 보호 위원회입니다.

부록 2 - 보안 조치

보안 조치에 대한 정보는 DPA의 부록 B에 제공됩니다.

부록 3 - 하위 처리자 목록

약관에 따른 서비스 수행을 위해 Shopify가 사용하는 하위 프로세서는 여기에 나열되어 있습니다.

하위 프로세서는 Shopify와의 계약 기간 동안 서비스와 관련하여 위에 설명된 개인 데이터 범주를 처리합니다.

부록 D: 미국 데이터 보호법

이 섹션은 다음과 같은 경우에만 적용됩니다. (i) 미국 데이터 보호법이 귀하의 서비스 사용과 관련하여 귀하 및/또는 귀하의 고객 개인 데이터에 적용되는 경우, (ii) 미국 데이터 보호법에서 다음 조항을 요구하는 경우, (iii) Shopify가 데이터 처리자 또는 서비스 공급업체로 활동하는 경우. 의심의 여지를 없애기 위해 본 부록 D는 부록 E에 설명된 처리 활동에는 적용되지 않습니다.

  1. A. 양 당사자는 본 DPA와 함께 약관이 Shopify의 고객 개인 데이터 처리에 관한 귀하의 문서화된 지침(“문서화된 지침”)을 구성한다는 데 동의합니다.

  2. 귀하가 특정 향상된 서비스를 받는 경우 부록 E에 명시된 경우를 제외하고 Shopify는 (i) 귀하와의 직접적인 비즈니스 관계 외부 또는 본 DPA 및/또는 약관에 명시된 제한적이고 지정된 목적(서비스 제공, 개발 및 개선을 포함하거나 적용 가능한 U.S. 데이터 보호법에서 달리 허용하는 경우) 이외의 다른 목적으로 귀하의 고객 개인 데이터를 보유, 사용 또는 공개할 수 없습니다. S. 데이터 보호법에서 허용하는 경우, (ii) CCPA 또는 기타 미국 데이터 보호법의 의미 내에서 귀하의 고객 개인 데이터를 “판매” 또는 “공유”하거나 귀하의 고객 개인 데이터로 “표적 광고”를 하는 경우, 또는 (iii) 미국 데이터 보호법에서 허용하는 경우를 제외하고 귀하의 고객 개인 데이터를 다른 출처에서 받은 개인 데이터와 결합하는 경우 등 각 경우에 해당합니다.

  3. Shopify는 다음을 수행합니다. (i) 미국 데이터 보호법이 비즈니스 또는 데이터 컨트롤러에 요구하는 것과 동일한 수준의 개인정보 보호를 제공하고, 미국 데이터 보호법에 따라 귀하에게 통지합니다. 데이터 보호법에서 요구하는 것과 동일한 수준의 개인정보 보호를 제공하고, 더 이상 이러한 의무를 충족할 수 없다고 판단되는 경우 귀하에게 통지하며, 이 경우 귀하는 고객 개인 데이터의 무단 처리를 중지하거나 시정하기 위해 합리적이고 적절한 조치를 취할 수 있으며, (ii) 귀하의 고객 개인 데이터를 처리할 권한을 가진 직원이 서면 기밀 유지 계약을 체결하거나 법적 기밀 유지 의무를 준수하도록 보장하며, (iii) 합리적인 서면 요청 시 귀하가 합리적이고 적절한 조치를 취하도록 하는 일환으로 귀하의 고객 개인 데이터를 Shopify가 U.S. 데이터 보호법에 부합하는 방식으로 사용할 수 있도록 하는 것입니다. S. 데이터 보호법에 부합하는 방식으로 Shopify의 정보 보안 프로그램에 대한 합리적인 평가를 보여주는 SOC2 보고서를 제공하며, (iv) 귀하에게 대한 서비스가 종료되면 Shopify는 데이터 처리자 또는 서비스 공급업체로서만 처리하기 위해 Shopify에 제공된 귀하의 고객 개인 데이터를 삭제, 반환 또는 비식별화하기 위한 제거 절차를 개시할 것입니다.

  4. 귀하는 귀하가 존중하기로 약속한 옵트아웃 권리를 행사한 개인의 개인 데이터 또는 해당 데이터 보호법의 요구 사항에 따라 그러한 민감한 데이터 처리에 동의하지 않은 개인의 민감한 개인 데이터를 Shopify와 공유하지 않을 것임을 진술하고 보증합니다.

부록 E: 향상된 서비스를 위한 데이터 컨트롤러 또는 사업자로서의 Shopify

귀하가 서비스 약관 9.2항에 정의된 대로 향상된 서비스를 받는 경우 Shopify는 데이터 관리자 또는 사업자로서의 역할을 수행합니다. Shopify는 수시로 데이터 컨트롤러 또는 사업자로서의 역할을 수행하는 서비스 및 제품을 업데이트할 수 있습니다.

Shopify의 향상된 서비스 제공의 일환으로 귀하는 Shopify가 관련 데이터 보호법에 따라 데이터 관리자 또는 사업자로서 분석, 제품 사용자 지정, 광고 및 기타 서비스를 제공, 개발 및 개선하기 위해 귀하의 스토어, 다른 판매자 및 Shopify와의 고객 상호 작용 및 거래를 통합하는 기타 서비스를 귀하와 다른 판매자에게 제공하기 위해 귀하의 고객 개인 데이터를 처리하는 데 동의합니다. Shopify가 이러한 방식으로 귀하의 고객 개인 데이터를 처리하는 경우 Shopify의 소비자 개인정보처리방침 및 본 DPA의 부록 E가 적용됩니다. 귀하는 Shopify Network Intelligence 여기를 비활성화하여 이러한 방식으로 Shopify의 고객 개인 데이터 사용을 비활성화할 수 있지만, 지정된 [할 일: 링크]에 따라 특정 앱이나 기능을 사용할 수 없게 됩니다.

1. 개인정보 고지, 투명성 및 권리. 관련 데이터 보호법에 따라, 귀하는 개인정보처리방침에 Shopify의 소비자 개인정보처리방침 링크를 제공하고 서비스 약관 9.2.5항에 명시된 공개 사항을 제공하는 등 DPA의 부록 E와 관련하여 Shopify가 귀하에게 향상된 서비스를 제공하기 위해 귀하의 고객 개인 데이터를 합법적이고 공정하게 처리하는 데 필요한 모든 공개 사항을 해당 개인에게 전달해야 합니다.)

2. 유럽 요건. 귀하가 EEA, 영국 또는 스위스에 소재하거나 귀하의 고객이 EEA, 영국 또는 스위스에 있는 경우 귀하는 고객으로부터 동의를 얻었음을 동의, 진술 및 보증하며, 해당 데이터 보호법에서 요구하는 경우 고객에게 동의 철회, 특정 처리에 대한 이의 제기 및 특정 처리 거부권을 행사할 수 있는 기능을 고객에게 제공해야 합니다. 의심의 여지를 없애기 위해 귀하는 향상된 서비스의 일부인 타겟 광고와 관련 데이터 보호법이 요구하는 범위 내에서 쿠키 또는 기타 로컬 저장 기술의 사용에 대한 동의를 얻어야 합니다. 이러한 요건을 이행하는 방법에 대한 자세한 내용은 여기를 방문하여 확인하세요.

3. 컨트롤러 책임. 귀하는 고객 개인 데이터의 데이터 컨트롤러이며, 관련 데이터 보호법에 따라 귀하의 고객 개인 데이터 처리에 대한 법적 근거를 결정하는 것을 포함하여 고객 개인 데이터 처리의 목적과 수단, 고객 개인 데이터의 사용 및 처리 방법을 개별적으로 결정해야 합니다. Shopify는 본 부록 E에 따라 처리하는 고객 개인정보에 대한 데이터 컨트롤러로서 해당 개인정보 처리의 목적과 수단 및 해당 개인정보 사용 및 처리 방법을 개별적으로 결정하며, 관련 데이터 보호법에 따른 처리의 법적 근거를 결정하는 것을 포함해서 그러한 개인정보 처리의 목적과 수단을 결정합니다.

각 당사자는 데이터 컨트롤러로서 고객 개인정보 처리와 관련하여 수신하는 데이터 권리 요청에 개별적으로 대응할 책임이 있습니다.

4. 나머지 DPA에 미치는 영향 없음. 본 부록 E는 판매자와 Shopify 간의 데이터 컨트롤러-데이터 처리자 관계를 반영하는 본 DPA의 나머지 부분을 포함하여 어떠한 약관에도 영향을 미치지 않습니다.