Shopify-databehandlingsavtale

Sist oppdatert: 25. juli 2025

Shopify-databehandlingsavtale

I. FORMÅL

Denne Shopify-databehandlingsavtalen («DPA») supplerer og er innlemmet ved referanse i Shopifys vilkår for bruk, sammen med eventuelle vilkår som gjelder for eventuelle ytterligere Shopify-tjenester du velger å bruke («vilkårene») av og mellom deg (eller «forhandler») og Shopifys kontraktsenhet som angitt i vilkårene («Shopify»), som beskriver de spesifikke forretningsformålene og tjenestene knyttet til DPA. Ved konflikt mellom vilkårene og denne DPA, skal DPA ha forrang med hensyn til behandlingen av kundepersonopplysningene dine.

Du og Shopify (hver en «part», samlet kalt «partene»), samtykker i at denne databehandleravtalen angir partenes forpliktelser knyttet til behandlingen av dine kundepersonopplysninger. Du skal fungere som behandlingsansvarlig, og Shopify skal fungere som databehandler med hensyn til behandlingen av dine kundepersonopplysninger i forbindelse med din bruk av tjenestene våre som er avhengige av vår behandling av dine kundepersonopplysninger, med unntak av tjenestene beskrevet i tillegg E.

Der behandlingen av personopplysninger i henhold til databehandlingsavtalen er underlagt databeskyttelseskrav i Det europeiske økonomiske samarbeidsområdet («EØS»), Storbritannia («UK») eller Sveits, og Shopify fungerer som databehandler, utfyller tillegg C denne databehandlingsavtalen. Ved konflikt mellom tillegg C og andre avsnitt av denne databehandlingsavtalen, skal tillegg C ha forrang med hensyn til behandling av kundepersonopplysningene dine i henhold til personvernkrav i EØS, Storbritannia og Sveits. Tillegg C skal ikke gjelde for behandlingsaktivitetene beskrevet i tillegg E.

Der behandlingen av personopplysninger i henhold til denne databehandleravtalen er underlagt amerikanske personvernlover, og Shopify fungerer som databehandler eller tjenesteleverandør, utfyller tillegg D denne databehandleravtalen. Ved konflikt mellom tillegg D og andre deler av denne databehandleravtalen, skal tillegg D ha forrang med hensyn til behandling av dine kundepersonopplysninger i henhold til amerikanske personvernlover. For å unngå tvil skal tillegg D ikke gjelde for behandlingsaktivitetene beskrevet i tillegg E.

Hvis du mottar forbedrede tjenester fra Shopify (som definert i avsnitt 9.2 i vilkårene for bruk) Shopify skal behandle kundepersonopplysningene som behandlingsansvarlig eller bedrift som angitt i tillegg E. Ved konflikt mellom tillegg E og andre deler av denne databehandleravtalen, skal tillegg E ha forrang med hensyn til Shopifys behandling av dine kundepersonopplysninger som behandlingsansvarlig eller bedrift.

For å unngå tvil, skal denne databehandleravtalen ikke gjelde for Shopifys behandling av personopplysninger om kunder som Shopify mottar som følge av kundens forhold til Shopify gjennom tjenester som Shop og Shop Pay.

II. DEFINISJONER

Begreper med stor bokstav brukt, men ikke definert i denne databehandleravtalen, skal ha samme betydning som er gitt i vilkårene:

A. Gjeldende databeskyttelseslov(er): Eventuelle databeskyttelseslover eller personvernlover som gjelder for Shopifys behandling av personopplysningene dine i henhold til vilkårene, deres implementeringsforskrifter og sekundærlovgivning, som hver kan endres, oppdateres eller erstattes fra tid til annen, inkludert slike lover som gjelder basert på hvor forhandleren og/eller kunden(e) befinner seg eller hvor de bor.

B. Kunde: En person eller enhet som besøker, samhandler med og/eller kjøper et produkt, en vare eller en tjeneste fra butikken(e) din(e).

C. Forespørsel om datarettigheter: En gyldig og lovlig forespørsel fra en person om å utøve tilgjengelige rettigheter knyttet til personopplysninger i henhold til gjeldende databeskyttelseslov.

D. Behandlingsansvarlig eller virksomhet: Parten som bestemmer formålene og midlene for behandling av personopplysninger, eller som ellers definert i henhold til enhver gjeldende databeskyttelseslov.

E. Databehandler eller tjenesteleverandør: Parten eller annen enhet eller virksomhet som yter tjenester på vegne av og behandler personopplysninger etter instruks og på vegne av den behandlingsansvarlige, og skal tolkes i samsvar med gjeldende databeskyttelseslover.

F. Personopplysninger: Informasjon eller data definert som «personopplysninger», «personlig informasjon» eller «personlig identifiserbar informasjon» (eller tilsvarende begrep) i henhold til gjeldende personvernlover.

G. Brudd på personopplysningssikkerheten: I forbindelse med kundepersonopplysningene dine skal tolkes i samsvar med gjeldende databeskyttelseslov.

H. «Behandling», «behandler» eller «behandle»: (a) Enhver operasjon eller serie med operasjoner som utføres på personopplysninger eller sett med personopplysninger, enten det er automatisert eller ikke, for eksempel samling, registrering, organisering, strukturering, lagring, tilpasning eller endring, henting, konsultasjon, bruk, utlevering ved overføring, formidling eller annen tilgjengeliggjøring, sammenstilling eller kombinasjon, begrensning, sletting eller ødeleggelse; eller (b) definisjonen gitt til slike begrep(er) i henhold til gjeldende databeskyttelseslover.

I. «Underprosessor(er)»: Tilknyttede bedrifter eller tredjeparts databehandlere eller tjenesteleverandører som kan behandle personopplysninger etter Shopifys anvisninger med det formål å levere tjenestene.

J. « Du», «Din» eller «Forhandler»: Betyr hver bedrift du driver og som bruker eller drar nytte av tjenestene, de forbedrede tjenestene eller andre tilleggstjenester, og som er part i vilkårene med Shopify.

K. «Dine kundepersonopplysninger»: Personopplysninger fra eller om dine kunder, unntatt personopplysninger om kunder som Shopify mottar som følge av kundens forhold til Shopify, som er underlagt Shopifys personvernregler for forbrukere og ikke denne databehandleravtalen.

III. BEHANDLINGENS ART OG PARTENES ROLLER

Shopify som en databehandler eller tjenesteleverandør. Shopify mottar og behandler kundepersonopplysningene for å kunne tilby deg tjenestene og som ellers angitt nedenfor. Avhengig av hvilke av tjenestene du ber om eller bruker, behandler Shopify kategoriene av personopplysninger som er angitt i tillegg A, på den måten og på grunnlaget som er angitt der.

Shopify skal behandle kundepersonopplysninger som databehandler eller tjenesteleverandør kun for å levere tjenestene som er angitt i vilkårene og eventuelle tilleggsvilkår, og etter behov for å levere, utvikle og forbedre tjenestene sine og utføre andre formål som er tillatt i henhold til gjeldende databeskyttelseslover.

Shopify som behandlingsansvarlig eller bedrift. Shopify skal behandle kundepersonopplysninger som behandlingsansvarlig eller bedrift (a) under de omstendighetene og på den måten som er angitt i tillegg E, og (b) for eventuelle ytterligere formål som er forenlige med kundens instruksjoner og gjeldende databeskyttelseslover.

IV. PARTENES FORPLIKTELSER

Følgende avsnitt beskriver partenes respektive forpliktelser med hensyn til behandling av personopplysninger som omfattes av denne databehandleravtalen.

A. Generelt samsvar

  1. Partene skal overholde sine respektive forpliktelser i henhold til gjeldende databeskyttelseslover.

  2. Shopify har ingen plikt til å tolke eller gi deg råd om dine forpliktelser i henhold til gjeldende databeskyttelseslover, inkludert med hensyn til personopplysninger som dekkes av denne databehandleravtalen. Du er eneansvarlig for å fastslå dine juridiske og regulatoriske forpliktelser, inkludert å vurdere om de tekniske og organisatoriske tiltakene i tjenestene er i samsvar med dine uavhengige juridiske og regulatoriske forpliktelser.

B. Shopifys forpliktelser

1. Datasikkerhet
Shopify implementerer og opprettholder passende tekniske og organisatoriske tiltak som er utformet for å beskytte kundepersonopplysningene mot uautorisert eller ulovlig behandling og mot utilsiktet tap, ødeleggelse, skade, tyveri, endring eller utlevering, som angitt i tillegg B.

2. Varsling og etterforskning av brudd på personopplysninger

a) Som påkrevd av gjeldende databeskyttelseslover, varsler Shopify deg når Shopify bekrefter et brudd på personopplysningssikkerheten.

b) Et slikt varsel skal inneholde informasjonen som er påkrevd i henhold til gjeldende databeskyttelseslover i den grad slik informasjon er rimelig tilgjengelig for Shopify. Shopifys svar på, eller varsel om, et brudd på personopplysningssikkerheten er ikke en erkjennelse fra Shopifys side av noen feil eller ansvar.

c) Shopify samtykker i å undersøke ethvert brudd på personopplysningssikkerheten og bruke kommersielt rimelige tiltak for å identifisere, forhindre, redusere og avhjelpe effektene.

C. Dine forpliktelser med hensyn til personopplysninger

1. Personvernmerknader og åpenhet: Du erklærer og garanterer at du overholder alle forpliktelser i henhold til gjeldende databeskyttelseslover om å gi varsel og åpenhet om din behandling av kundepersonopplysninger i henhold til vilkårene og i forbindelse med din bruk av tjenestene. I den grad det kreves i henhold til gjeldende databeskyttelseslover, skal du kommunisere til de relevante personene alle opplysninger som er nødvendige for at Shopify lovlig og rettferdig skal kunne behandle kundepersonopplysninger i forbindelse med denne databehandleravtalen, inkludert ved å oppgi en kobling til Shopifys personvernerklæring eller til din egen personvernerklæring og å gi andre opplysninger som angitt i avsnitt 9.2.5 i vilkårene.

2. Kundens rettigheter og tillatelser: Du erklærer og garanterer at du har alle nødvendige rettigheter, tillatelser og samtykker til å gjøre dine kundepersonopplysninger tilgjengelige for Shopify, og for at Shopify skal behandle dine kundepersonopplysninger slik at du kan motta tjenestene, inkludert forbedrede tjenester eller andre tilleggstjenester du mottar, i samsvar med vilkårene, denne databehandleravtalen og gjeldende databeskyttelseslover.

3. Forespørsler om datarettigheter: Du erklærer og garanterer at du gir kundene dine muligheten til å utøve forespørsler om datarettigheter, som kreves i henhold til gjeldende databeskyttelseslover, med hensyn til behandling av kundepersonopplysninger av Shopify og som du er behandlingsansvarlig for.

4. Forespørsler angående regulatoriske forhold: Med mindre det er forbudt ved gjeldende lov, skal du varsle oss omgående i samsvar med varselbestemmelsen i vilkårene om enhver forespørsel eller klage fra myndigheter, regulatoriske forhold eller andre tredjeparter angående din bruk av tjenestene.

V. DIVERSE

A. Globale dataoverføringer
Du erkjenner at kundepersonopplysninger kan overføres og behandles i ethvert land der Shopify, dets tilknyttede bedrifter eller tredjeparts tjenesteleverandører befinner seg (inkludert i Singapore og Canada). Enhver overføring av kundepersonopplysninger til disse mottakerne gjøres i samsvar med gjeldende databeskyttelseslover. For mer informasjon om internasjonale dataoverføringer, der Shopify er underlagt personvernkrav i EØS, Storbritannia eller Sveits, se avsnitt II(B)(8) i tillegg C.

B. Svar på juridiske forespørsler

  1. Du erkjenner at Shopify, i forbindelse med levering av tjenestene til deg, kan dele kundepersonopplysningene dine (i) for å overholde juridiske krav eller for å svare på rettskjennelser eller andre lignende myndighets- eller regulatoriske krav; eller (ii) for å forhindre eller etterforske mistenkt svindel, trusler mot fysisk sikkerhet, ulovlig aktivitet eller brudd på en kontrakt (som vilkårene for bruk eller våre retningslinjer (som våre godkjente retningslinjer for bruk).

  2. Shopify gjør rimelige anstrengelser før slike kundepersonopplysninger utleveres for å sikre at slik utlevering er tillatt i henhold til gjeldende databeskyttelseslover og blir behandlet som konfidensiell informasjon i henhold til gjeldende juridiske rammeverk.

C. Utlevering ved selskapstransaksjoner
Du erkjenner at Shopify, i forbindelse med levering av tjenestene til deg, kan være pålagt å dele kundepersonopplysninger med potensielle motparter i enhver bedrifts- eller omstruktureringstransaksjon.

D. Shopifys bruk av tjenesteleverandører

  1. Du erkjenner at Shopify, i forbindelse med levering av tjenestene til deg, kan bruke tjenesteleverandører til å behandle kundepersonopplysninger. Shopify opprettholder en oppdatert liste over alle tjenesteleverandører som brukes. Hvis gjeldende databeskyttelseslover gir deg slike rettigheter, kan du protestere mot Shopifys bruk av en tjenesteleverandør, og hvis Shopify ikke kan eller ikke vil imøtekomme slike forespørsler, kan du, i samsvar med slike lover, avslutte bruken av de berørte tjenestene innen 30 dager etter et slikt varsel i samsvar med vilkårene.

  2. Shopifys bruk av tjenesteleverandører til å behandle kundepersonopplysninger du oppgir, er i samsvar med gjeldende databeskyttelseslover. Der Shopify engasjerer en tjenesteleverandør, inngår Shopify en skriftlig avtale med tjenesteleverandøren, som pålegger kontraktsmessige forpliktelser som i hovedsak er de samme som de som er angitt i denne databehandleravtalen.

E. Endring av databehandleravtalen Du erkjenner og samtykker i at Shopify kan endre denne databehandleravtalen fra tid til annen ved å legge ut den relevante endrede og omformulerte databehandleravtalen på Shopifys nettsted, tilgjengelig på https://shopify.com/legal/dpa, og slike endringer i databehandleravtalen trer i kraft fra datoen for publisering. Din fortsatte bruk av tjenestene etter at den endrede databehandleravtalen er lagt ut på Shopifys nettsted, utgjør ditt samtykke til og din aksept av den endrede databehandleravtalen. Hvis du ikke samtykker i noen endringer i databehandleravtalen, må du ikke fortsette å bruke tjenesten.

VI TILLEGG

  1. Tillegg A – Kategorier av personopplysninger

  2. Tillegg B – Datasikkerhet

  3. Tillegg C – GDPR, GDPR i Storbritannia og tillegg om databehandling i Sveits

  4. Tillegg D – Amerikanske databeskyttelseslover

  5. Tillegg E – Shopify som behandlingsansvarlig eller bedrift for forbedrede tjenester

TILLEGG A: KATEGORIER AV PERSONOPPLYSNINGER

Som en del av din bruk av tjenestene, og avhengig av hvilke tjenester du bruker, kan vi motta og behandle følgende kategorier av personopplysninger for å levere tjenestene:

● Kundenavn, e-post, kontaktinformasjon, faktura- og leveringsinformasjon.

● Kjøpsinformasjon og annen transaksjonsinformasjon fra butikken(e) din(e).

● Oppdatering(er) om statusen til transaksjonen(e) med deg eller butikken(e) din(e).

● Kundeaktivitet i butikken(e) din(e), inkludert produkter som er sett på og/eller inkludert i handlekurver.

● Kundepreferansesignaler, inkludert Global Privacy Control («GPC»), signaler for avmelding og deltakelse.

● Kundens enhetsinformasjon for enhet(er) som brukes ved besøk på butikken(e) din(e), inkludert IP-adresse, nettleser og nettverksaktivitet.

● Annen informasjon om kundenes samhandling med deg.

● Eventuelle andre personopplysninger du eller dine kunder velger å gjøre tilgjengelige for Shopify.

TILLEGG B: DATASIKKERHET

Shopify opprettholder et informasjonssikkerhetsprogram som er utformet for å (a) gjøre det mulig for deg å sikre kundepersonopplysningene dine mot uautorisert eller ulovlig behandling og mot utilsiktet tap, ødeleggelse, skade, tyveri, endring eller avsløring; (b) identifisere rimelig forutsigbare risikoer for sikkerheten og tilgjengeligheten til tjenestene du mottar; og (c) minimere sikkerhetsrisikoer for tjenestene.

I. Shopifys informasjonssikkerhetsprogram inkluderer følgende sikkerhetstiltak:

A. Logisk sikkerhet

  1. Tilgangskontroller: Shopify gjør kun systemene sine tilgjengelige for autorisert personell, og kun etter behov for å vedlikeholde og levere tjenestene. Shopify opprettholder tilgangskontroller og retningslinjer utformet for å administrere autorisasjoner for tilgang til systemene sine, inkludert gjennom bruk av brannmurer og/eller annen teknologi og autentiseringskontroller.

  2. Begrenset brukertilgang: Shopify skal (i) sørge for og begrense tilgang til systemene sine i samsvar med prinsippene om minste privilegium basert på personalets jobbfunksjoner og (ii) kreve tofaktorautentisering (2FA) for tilgang til systemene sine.

  3. Sårbarhetsvurderinger: Shopify skal opprettholde et program for sårbarhetsvurdering og inntrengningstesting, som er ansvarlig for å undersøke og spore identifiserte problemer med tjenestene for å løse dem der det er nødvendig.

  4. Applikasjonssikkerhet: Shopify har et program for app-sikkerhet som er ansvarlig for å beskytte tjenester mot sikkerhetstrusler for apper.

  5. Endringshåndtering: Shopify skal opprettholde kontroller utformet for å logge, autorisere, teste, godkjenne og dokumentere endringer i eksisterende tjenesteressurser, og skal dokumentere endringsdetaljer i verktøyene sine for endringshåndtering eller publisering. Shopify skal teste endringer i henhold til sine standarder for endringshåndtering før migrering til produksjon.

  6. Dataintegritet: Etter behov skal Shopify opprettholde kontroller som er utformet for å sikre dataintegritet under overføring, lagring og behandling innenfor tjenestene.

  7. Tilgjengelighet: Shopify skal (i) implementere redundans der det er hensiktsmessig for tjenestene for å minimere effekten av en funksjonsfeil på tjenestene, (ii) utforme tjenestene for å forutse og tolerere feil og (iii) implementere passende prosesser som er utformet for å flytte personopplysningstrafikk bort fra de berørte områdene når det er nødvendig for å gjenopprette etter svikt.

  8. Forretningskontinuitet og katastrofegjenoppretting: Shopify skal opprettholde et risikostyringsprogram som er utformet for å støtte kontinuiteten i de kritiske forretningsfunksjonene, inkludert prosesser og prosedyrer for identifisering av, respons på og gjenoppretting fra hendelser som kan forhindre eller vesentlig svekke Shopifys levering av tjenestene du mottar.

  9. Hendelseshåndtering: Shopify tilbyr dokumentasjon slik at du kan rapportere sikkerhets- eller tilgjengelighetshendelser, stille spørsmål om sikkerhet eller tilgjengelighet og sende inn informasjon om potensielle sikkerhets- eller tilgjengelighetsproblemer. Shopify skal opprettholde korrigerende handlingsplaner og hendelsesresponsplaner som er utformet for å oppdage, redusere, undersøke og reagere på potensielle sikkerhetstrusler mot tjenestene.

B. Fysisk sikkerhet: Der det er nødvendig for å beskytte tjenestene, skal Shopify (i) implementere rimelige tiltak som er utformet for å forhindre uautorisert fysisk tilgang, skade eller forstyrrelse av tjenestene, (ii) bruke passende kontrollenheter som er utformet for å begrense fysisk tilgang til tjenestene til kun autorisert personell som har et legitimt forretningsbehov for slik tilgang, og (iii) utføre periodiske gjennomganger for å validere overholdelse av disse standardene.

C. Shopify-ansatte: Shopify-ansatte som er autorisert til å få tilgang til kundepersonopplysninger er bundet av konfidensialitetsplikt som en del av sine ansettelsesvilkår. Shopify skal implementere og vedlikeholde sikkerhetsopplæringsprogrammer for ansatte angående Shopifys informasjonssikkerhetskrav. Opplæringsprogrammene for sikkerhetsbevissthet blir gjennomgått og oppdatert med jevne mellomrom.

II. Endringer i dette tillegget

Shopify gjennomgår sikkerhetstiltakene sine fra tid til annen, og kan oppdatere dette tillegget etter eget skjønn. Slike oppdateringer erstatter tidligere versjoner av dette tillegget fra datoen Shopify publiserer den oppdaterte versjonen.

TILLEGG C: GDPR, GDPR I STORBRITANNIA OG TILLEGG OM DATABEHANDLING I SVEITS

Der behandlingen av kundepersonopplysninger i henhold til databeskyttelsesavtalen er underlagt databeskyttelseskrav i Det europeiske økonomiske samarbeidsområdet («EØS»), Storbritannia («UK») eller Sveits (samlet kalt «europeiske databeskyttelseslover»), og Shopify fungerer som databehandler, utfyller tillegg C denne databeskyttelsesavtalen.

I. Behandlingens art og partenes rolle

A. Personopplysninger

I henhold til dette tillegget skal du fungere som behandlingsansvarlig, og Shopify skal fungere som databehandler med hensyn til behandlingen av kundepersonopplysningene dine, som beskrevet i tillegg 1, etter behov for å innfri forretningsformålene som er skissert i vilkårene og gi deg tjenestene du velger å bruke.

II. Partenes forpliktelser

A. Dine forpliktelser

Du skal overholde

● europeiske databeskyttelseslover som er bindende for deg i forbindelse med din bruk av tjenestene

● dine forpliktelser som er angitt i databehandleravtalen, inkludert dine forpliktelser som er angitt i dette tillegget

Du erklærer og garanterer at du har et gyldig juridisk grunnlag for å behandle kundepersonopplysningene (inkludert å gjøre slike data tilgjengelige for Shopify) og at du har innhentet nødvendige samtykker, rettigheter og autorisasjoner, og gitt nødvendige varsler til enkeltpersoner for å muliggjøre Shopifys behandling av kundepersonopplysninger for å levere tjenestene, som kreves av europeiske databeskyttelseslover.

B. Shopifys forpliktelser

1. Instruksjoner fra behandlingsansvarlig og brudd på europeiske databeskyttelseslover

a) Partene samtykker i at vilkårene sammen med denne databehandleravtalen utgjør dine dokumenterte instruksjoner angående Shopifys behandling av kundepersonopplysningene dine («dokumenterte instruksjoner»).

b) Shopify skal kun behandle kundepersonopplysninger som databehandler: (i) i samsvar med dine dokumenterte instruksjoner, eller (ii) for å overholde Shopifys forpliktelser i henhold til gjeldende lover, med forbehold om eventuelle varslingskrav i henhold til EU-, EØS-medlemsstat, britisk eller sveitsisk lovgivning som Shopify er underlagt.

c) Shopify skal varsle deg hvis de mottar en instruksjon som de med rimelighet kan anta er i strid med europeiske databeskyttelseslover (men Shopify har ingen forpliktelse til å aktivt overvåke din overholdelse av europeiske databeskyttelseslover).

2. Konfidensialitetsplikt

Shopify skal sørge for at personer som autoriseres til å behandle kundepersonopplysninger enten inngår skriftlige konfidensialitetsavtaler eller er underlagt lovbestemte konfidensialitetsforpliktelser.

3. Sikkerhetstiltak

a) Shopify skal implementere og opprettholde passende tekniske og organisatoriske tiltak som er utformet for å beskytte kundepersonopplysningene dine mot uautorisert eller ulovlig behandling og mot utilsiktet tap, ødeleggelse, skade, tyveri, uautorisert tilgang, endring eller avsløring, som angitt i tillegg 2.

b) Shopify skal, med tanke på arten av kundepersonopplysningene og tilhørende behandling, yte slik rimelig bistand som du med rimelighet kan be om for å hjelpe deg med å innfri dine sikkerhetsforpliktelser i henhold til europeiske databeskyttelseslover.

c) Shopify skal gi deg varsel, uten unødig forsinkelse, dersom de blir oppmerksomme på et sikkerhetsbrudd som fører til utilsiktet eller ulovlig ødeleggelse, tap, endring, uautorisert avsløring av eller tilgang til kundepersonopplysningene dine som er overført, lagret eller på annen måte behandlet.

d) Shopify samtykker i å undersøke ethvert slikt sikkerhetsbrudd og bruke kommersielt rimelige tiltak for å redusere effektene.

4. Underprosessorer

a) Du gir generelt Shopify tillatelse til å bruke underprosessorer til å behandle kundepersonopplysninger. Du samtykker videre i at Shopify kan bruke sine tilknyttede selskaper som underprosessorer.

b) Shopifys bruk av underprosessorer for å behandle kundepersonopplysningene dine skal være i samsvar med europeiske databeskyttelseslover.

c) Shopify opprettholder en oppdatert liste over alle underprosessorer som angitt i tillegg 3. Shopify skal oppdatere listen over underprosessorer etter behov og gi deg en mekanisme for å motta varsel om tillegg eller erstatning av en underprosessor. Du kan protestere mot Shopifys bruk av en ny underprosessor.

d) I den grad du protesterer mot Shopifys bruk av en underprosessor, og Shopify ikke kan eller vil imøtekomme slike forespørsler, kan du avslutte bruken av de berørte tjenestene innen 30 dager etter et slikt varsel i samsvar med vilkårene.

e) Der Shopify engasjerer en ny underprosessor, skal Shopify inngå en skriftlig avtale med underprosessoren, og Shopify skal pålegge underprosessoren kontraktsmessige forpliktelser som i hovedsak er de samme som de som er angitt i denne databehandleravtalen. Shopify skal være fullt ansvarlig for handlinger og unnlatelser fra sine underprosessorer i samme grad som Shopify ville vært ansvarlig dersom de utførte tjenestene til hver underprosessor direkte i henhold til vilkårene i denne databehandleravtalen. Shopifys ansvar skal likevel være underlagt vilkårene og ansvarsbegrensningene som er angitt i vilkårene.

5. Bistand til behandlingsansvarlig
Med tanke på arten av kundepersonopplysningene dine og relatert behandling, skal Shopify yte slik rimelig bistand som du med rimelighet kan be om, for å hjelpe deg med å overholde forpliktelsene dine, som er som følger:

● Å svare på forespørsler om datarettigheter i henhold til europeiske databeskyttelseslover, med hensyn til all behandling av dine kundepersonopplysninger av Shopify.

● Å varsle relevante myndigheter og/eller registrerte om et brudd på personopplysningessikkerheten.

● Å gjennomføre konsekvensutredninger av databeskyttelse for personvern og forhåndskonsultasjoner.

● Å sørge for sikkerheten ved behandlingen i samsvar med avsnitt 3.

6. Vurdering av samsvar

a) Shopify kan innfri din rett til revisjon i henhold til europeiske databeskyttelseslover i forbindelse med behandlingen av kundepersonopplysninger ved å gi deg – på din skriftlige forespørsel og underlagt konfidensialitet – følgende:

(i) Resultater fra Shopifys nyeste revisjonsrapport, enten fra Shopifys egenrevisjoner eller utarbeidet av en uavhengig tredjepartsrevisor.
(ii) Tilleggsinformasjon som Shopify kontrollerer dersom en databeskyttelsesmyndighet eller offentlig myndighet ber om det.

b) Forutsatt at og kun i den grad europeiske databeskyttelseslover gir deg denne retten, kan du utøve din revisjonsrett (i) i den grad en uavhengig internasjonalt anerkjent revisor bekrefter at Shopifys levering av en revisjonsrapport ikke gir tilstrekkelig informasjon til at du kan bekrefte Shopifys overholdelse av denne databehandleravtalen og europeiske databeskyttelseslover, eller (ii) etter behov for at du skal kunne svare på en revisjon fra en offentlig myndighet. Hver revisjon må overholde følgende parametere: (i) Utføres av en uavhengig tredjepart som skal inngå en konfidensialitetsavtale med Shopify. (ii) Være begrenset i omfang til saker som er rimelig nødvendige, og som gjensidig avtalt, for at du skal kunne vurdere Shopifys overholdelse av denne databehandleravtalen og partenes overholdelse av europeiske databeskyttelseslover. (iii) Skje på gjensidig avtalt dato og tidspunkt og kun i Shopifys vanlige åpningstider. (iv) Skje ikke mer enn én gang i året (med mindre det er påkrevd i henhold til europeiske databeskyttelseslover). (v) Kun dekke anlegg kontrollert av Shopify. (vi) Begrense funn til kun kundepersonopplysninger. (vii) Behandle eventuelle resultater som konfidensiell informasjon i den grad det er tillatt i henhold til europeiske databeskyttelseslover. For avklaring: Shopify skal overholde alle rettighetene dine i henhold til dette avsnittet (6) i samsvar med sine konfidensialitetsforpliktelser overfor tredjeparter.

7. Slutt på behandlingen

a) Mens du bruker tjenestene, kan du bruke kontoverktøy for å få tilgang til, returnere til deg selv eller slette kundepersonopplysninger.

b) Etter avslutning skal Shopify, etter ditt valg, slette eller returnere kundepersonopplysningene dine. Uavhengig av det foregående, kan Shopify oppbevare kundepersonopplysninger (i) som påkrevd ved lov, inkludert europeiske databeskyttelseslover, og (ii) i samsvar med sine standard sikkerhetskopierings- eller oppbevaringsregler, forutsatt at Shopify i begge tilfeller opprettholder konfidensialiteten til, og ellers overholder, gjeldende bestemmelser i denne databehandleravtalen med hensyn til oppbevarte kundepersonopplysninger, og ikke behandler oppbevarte kundepersonopplysninger ytterligere unntatt for slike formål og for den varigheten som er tillatt i henhold til slike gjeldende lover.

8. Internasjonale overføringer

a) Med forbehold om overholdelse av europeiske databeskyttelseslover kan Shopify International Ltd. overføre kundepersonopplysninger behandlet i henhold til dette tillegget utenfor EØS, Storbritannia og Sveits etter behov for å tilby sine tjenester («internasjonale overføringer»).

b) Slike overføringer består hovedsakelig i overføring av kundepersonopplysninger til Shopify Inc., med base i Canada, som har fordelen av en beslutning fra EU-kommisjonen 2002/2/EF datert 20. desember 2001 om tilstrekkelig beskyttelse av personopplysninger i henhold til den kanadiske loven om beskyttelse av personopplysninger og elektroniske dokumenter.

c) Enhver internasjonal overføring til land som ikke sikrer et tilstrekkelig nivå av databeskyttelse i henhold til europeiske databeskyttelseslover, skal være underlagt passende sikkerhetstiltak, inkludert følgende overføringsmekanismer:

● De relevante modulene i henhold til standard personvernbestemmelser fra 2021, godkjent av Europakommisjonen i beslutning 2021/914/EF datert 4. juni 2021.

● Tillegget om internasjonal dataoverføring til Europakommisjonens standard personvernbestemmelser for internasjonale dataoverføringer, utstedt av det britiske datatilsynet (UK Information Commissioner's Office) i henhold til § 119A(1) i den britiske databeskyttelsesloven (UK Data Protection Act) 2018.

● Standard personvernbestemmelser fra 2021, endret for å oppfylle kravene i den sveitsiske føderale loven om databeskyttelse (med endringer fra tid til annen) av 19. juni 1992, revidert per 25. september 2001.

● Eventuelle standard personvernbestemmelser, tillegg for internasjonal dataoverføring eller andre klausuler, tillegg eller overføringsmekanismer som kan erstatte gjeldende klausuler og tillegg.

d) Shopify kan, etter eget skjønn, erstatte enhver overføringsmekanisme for å sikre at dataoverføringer er i samsvar med gjeldende lover. Hvis en overføring er basert på standard personvernbestemmelser og slike klausuler oppdateres av relevante myndigheter, skal slike oppdaterte klausuler eller lignende avtaler bli innlemmet i denne databehandleravtalen som om de var fullstendig angitt heri.

TILLEGG 1 – PERSONOPPLYSNINGER

BESKRIVELSE AV BEHANDLINGEN AV PERSONOPPLYSNINGER

I. Behandlingens gjenstand

Levering av Shopify-tjenester til forhandler.

II. Kategorier av registrerte personer

Kunder av forhandleren.

III. Kategorier av personopplysninger som behandles

Se tillegg A ovenfor.

IV. Overføringshyppighet

Kontinuerlig.

V. Behandlingens art

Samling, registrering, lagring, tilgang til, bruk, overføring og sletting av personopplysninger som beskrevet i vilkårene.

VI. Formål som personopplysningene behandles for på vegne av den behandlingsansvarlige

For ytelse og forbedring av tjenestene som beskrevet i vilkårene.

VII. Behandlingens varighet

Tjenestenes varighet i henhold til vilkårene eller gjeldende avtale, pluss perioden etter slik utløpstid frem til anonymisering, retur eller sletting av data.

VIII. Kompetent tilsynsmyndighet Den kompetente tilsynsmyndigheten skal være Irlands databeskyttelseskommisjon.

TILLEGG 2 – SIKKERHETSTILTAK

Informasjon om sikkerhetstiltak finnes i tillegg B til databehandleravtalen.

TILLEGG 3 – LISTE OVER UNDERPROSESSORER

Underprosessorene som brukes av Shopify for utførelsen av tjenestene i henhold til vilkårene er oppført her.

Underprosessorene skal behandle kategoriene av personopplysninger beskrevet ovenfor i forbindelse med tjenestene så lenge avtalen med Shopify varer.

Tillegg D: Amerikanske databeskyttelseslover

Denne delen gjelder kun i den grad (i) amerikanske databeskyttelseslover gjelder for deg og/eller dine kundepersonopplysninger i forbindelse med din bruk av tjenestene (ii) følgende bestemmelser kreves av amerikanske databeskyttelseslover og (iii) Shopify fungerer som databehandler eller tjenesteleverandør. For å unngå tvil skal dette tillegget D ikke gjelde for behandlingsaktivitetene beskrevet i tillegg E.

  1. Partene samtykker i at vilkårene sammen med denne databehandleravtalen utgjør dine dokumenterte instruksjoner angående Shopifys behandling av kundepersonopplysningene dine («dokumenterte instruksjoner»).

  2. Med unntak av det som er angitt i tillegg E, hvis du mottar visse forbedrede tjenester, skal ikke Shopify (i) oppbevare, bruke eller utlevere dine kundepersonopplysninger utenfor sitt direkte forretningsforhold med deg eller for noe annet formål enn de begrensede og spesifiserte formålene som er identifisert i denne databehandleravtalen og/eller vilkårene, inkludert å tilby, utvikle og forbedre tjenestene eller som ellers tillatt i henhold til gjeldende amerikanske databeskyttelseslover, (ii) «selge» eller «dele» dine kundepersonopplysninger eller drive med «målrettet annonsering» med dine kundepersonopplysninger i henhold til CCPA eller andre amerikanske databeskyttelseslover eller (iii) kombinere dine kundepersonopplysninger med personopplysninger som mottas fra andre kilder, i hvert tilfelle unntatt som tillatt i henhold til amerikanske databeskyttelseslover.

  3. Shopify skal (i) tilby samme nivå av personvernbeskyttelse som kreves av bedrifter eller behandlingsansvarlige i henhold til amerikanske databeskyttelseslover, og informere deg hvis de fastslår at de ikke lenger kan oppfylle disse forpliktelsene. I så fall kan du ta rimelige og passende skritt for å stoppe eller rette opp uautorisert behandling av dine kundepersonopplysninger, (ii) sørge for at personell som de autoriserer til å behandle kundepersonopplysninger enten inngår skriftlige konfidensialitetsavtaler eller er underlagt lovbestemte konfidensialitetsplikter, (iii) på rimelig skriftlig forespørsel, og som en del av å gjøre det mulig for deg å ta rimelige og passende skritt for å sikre at Shopify bruker dine kundepersonopplysninger på en måte som er i samsvar med amerikanske databeskyttelseslover, sørge for SOC2-rapporten som viser en rimelig vurdering av Shopifys informasjonssikkerhetsprogram, og (iv) ved avslutning av tjenestene til deg, skal Shopify starte slettingsprosessen for å slette eller avidentifisere kundepersonopplysningene gitt til Shopify for behandling utelukkende som databehandler eller tjenesteleverandør.

  4. Du erklærer og garanterer at du ikke skal dele noen personopplysninger med Shopify om en person som har utøvd en reservasjon mot behandling som du har forpliktet deg til å respektere, eller sensitive personopplysninger om en person som ikke har samtykket til behandlingen av slike sensitive opplysninger, i samsvar med kravene i henhold til gjeldende databeskyttelseslover.

Tillegg E: Shopify som behandlingsansvarlig eller bedrift for forbedrede tjenester

Shopify skal fungere som behandlingsansvarlig eller bedrift når du mottar de forbedrede tjenestene som definert i avsnitt 9.2 i vilkårene for bruk. Shopify kan fra tid til annen oppdatere tjenestene og produktene som de fungerer som behandlingsansvarlig eller bedrift for.

Som en del av Shopifys levering av de forbedrede tjenestene, samtykker du i at Shopify vil behandle dine kundepersonopplysninger som behandlingsansvarlig eller bedrift i henhold til gjeldende databeskyttelseslover for å tilby, utvikle og forbedre analyser, produkttilpasning, annonsering og andre tjenester til deg og andre forhandlere som inkluderer dine kunders interaksjoner og transaksjoner med din butikk, med andre forhandlere og med Shopify. Når Shopify behandler dine kundepersonopplysninger på denne måten, gjelder Shopifys personvernerklæring for forbrukere og dette tillegg E til denne databehandleravtalen. Du kan deaktivere Shopifys bruk av dine kundepersonopplysninger på denne måten ved å deaktivere Shopify Network Intelligence her, selv om du ikke vil kunne bruke enkelte apper eller funksjoner, som spesifisert her.

1. Personvernmerknader, åpenhet og rettigheter. I samsvar med gjeldende databeskyttelseslover skal du kommunisere til de relevante personene alle opplysninger som er nødvendige for at Shopify lovlig og rettferdig skal kunne behandle dine kundepersonopplysninger for å tilby deg forbedrede tjenester i forbindelse med dette tillegg E til databehandleravtalen, inkludert ved å oppgi en kobling til Shopifys personvernerklæring for forbrukere i personvernerklæringen din og oppgi opplysningene som angitt i avsnitt 1 i vilkårene for bruk.

2. Europeiske krav. Hvis du er basert i EØS, Storbritannia eller Sveits, eller hvis kundene dine er i EØS, Storbritannia eller Sveits, samtykker, erklærer og garanterer du at du har innhentet samtykke fra kunder, og gir kundene muligheten til å utøve retten til å trekke tilbake samtykke, protestere mot visse behandlinger og velge bort visse behandlinger, der det kreves av gjeldende databeskyttelseslover. For å unngå tvil må du innhente samtykke til målrettet annonsering som en del av de forbedrede tjenestene, og bruk av informasjonskapsler eller andre lokale lagringsteknologier i den grad det kreves av gjeldende databeskyttelseslover. For mer informasjon om implementering av disse kravene går du hit.

3. Ansvar for behandlingsansvarlig. Du er en behandlingsansvarlig for dine kundepersonopplysninger og skal individuelt bestemme formålene og midlene for din behandling av dine kundepersonopplysninger og hvordan dine kundepersonopplysninger skal brukes og behandles, inkludert å bestemme det rettslige grunnlaget for din behandling i henhold til gjeldende databeskyttelseslover. Shopify er behandlingsansvarlig for dine kundepersonopplysninger som behandles i samsvar med dette tillegg E, og skal individuelt bestemme formålene og midlene for behandlingen av slike personopplysninger og hvordan slike personopplysninger skal brukes og behandles, inkludert å bestemme det rettslige grunnlaget for behandlingen i henhold til gjeldende databeskyttelseslover.

Hver part er individuelt ansvarlig for å svare på forespørsler om datarettigheter som den mottar knyttet til behandlingen av dine kundepersonopplysninger som behandlingsansvarlig.

4. Ingen effekt på resten av databehandleravtalen. Dette tillegg E skal ikke ellers påvirke noen vilkår, inkludert resten av denne databehandleravtalen, som gjenspeiler et forhold mellom behandlingsansvarlig og databehandler mellom forhandlere og Shopify.