Aneks dotyczący przetwarzania danych Shopify

Ostatnia aktualizacja: 25 lipca 2025 r.

Aneks dotyczący przetwarzania danych Shopify

I. CEL

Niniejszy Aneks dotyczący przetwarzania danych Shopify („Aneks DPA”) stanowi uzupełnienie i integralną część Warunków świadczenia usług Shopify(/pl/legal/terms), wraz ze wszelkimi postanowieniami mającymi zastosowanie do wszelkich dodatkowych usług Shopify, których Użytkownik zdecyduje się używać („Warunki”), które wiążą Użytkownika („Sprzedawca”) i akceptujący umowę podmiot Shopify określony w Warunkach („Shopify”) oraz określają konkretne cele biznesowe i usługi związane z Aneksem DPA. W przypadku sprzeczności między Warunkami a Aneksem DPA charakter rozstrzygający w odniesieniu do przetwarzania Danych osobowych Klientów Użytkownika ma Aneks DPA, jak zdefiniowano poniżej.

Użytkownik i Shopify (każdy z osobna zwany „Stroną”, a łącznie „Stronami”) zgadzają się, że niniejszy Aneks DPA określa obowiązki Stron regulujące przetwarzanie Danych osobowych Klientów Użytkownika. Użytkownik będzie działać jako Administrator Danych, a Shopify będzie działać jako Procesor Dane w odniesieniu do przetwarzania Danych osobowych klientów Użytkownika, w związku z korzystaniem przez niego z naszych Usług, które polegają na naszym przetwarzaniu Danych osobowych klientów Użytkownika, z wyjątkiem usług opisanych w Załączniku E.

W przypadku gdy przetwarzanie Danych osobowych na mocy niniejszego Aneksu DPA podlega wymogom ochrony danych w Europejskim Obszarze Gospodarczym („EOG”), Zjednoczonym Królestwie („UK”) lub Szwajcarii, a Shopify działa jako Procesor danych, Załącznik C uzupełnia niniejszy Aneks DPA. W przypadku jakiegokolwiek konfliktu między Załącznikiem C a innymi sekcjami niniejszego Aneksu DPA, Załącznik C ma pierwszeństwo w odniesieniu do przetwarzania Danych osobowych Klientów Użytkownika podlegających wymogom ochrony danych EOG, Wielkiej Brytanii i Szwajcarii. W celu uniknięcia wątpliwości Załącznik C nie ma zastosowania do działań przetwarzania opisanych w Załączniku E.

W przypadku gdy przetwarzanie Danych osobowych na mocy niniejszego Aneksu DPA podlega przepisom o ochronie danych USA, a Shopify działa jako Procesor danych lub Dostawca usług, Załącznik D uzupełnia niniejszy Aneks DPA. W przypadku jakiegokolwiek konfliktu między Załącznikiem D a innymi sekcjami niniejszego Aneksu DPA, Załącznik D ma pierwszeństwo w odniesieniu do przetwarzania Danych osobowych Klientów Użytkownika podlegających przepisom o ochronie danych USA. W celu uniknięcia wątpliwości Załącznik D nie ma zastosowania do działań przetwarzania opisanych w Załączniku E.

Jeśli Użytkownik otrzymuje Usługi rozszerzone od Shopify (zgodnie z definicją w Punkcie 9.2 Warunków świadczenia usług) Shopify będzie przetwarzać Dane osobowe klientów Użytkownika jako Kontroler danych lub Firma zgodnie z postanowieniami Załącznika E. W przypadku jakiegokolwiek konfliktu pomiędzy Załącznikiem E a innymi punktami niniejszego Aneksu DPA, Załącznik E będzie miał pierwszeństwo w odniesieniu do przetwarzania przez Shopify Danych osobowych klientów Użytkownika w roli Administratora danych lub Firmy.

W celu uniknięcia wątpliwości, niniejszy Aneks DPA nie ma zastosowania do przetwarzania przez Shopify Danych osobowych Klientów, które firma otrzymuje w wyniku relacji Klienta z Shopify za pośrednictwem usług takich jak Shop i Shop Pay.

II. DEFINICJE

Pisane z wielkiej litery terminy używane, ale nie zdefiniowane w Aneksie DPA, mają takie samo znaczenie, jakie zostało im przypisane w Warunkach:

A. Obowiązujące przepisy o ochronie danych: Wszelkie przepisy o ochronie danych lub prywatności mające zastosowanie do przetwarzania Danych osobowych przez Shopify na mocy Warunków, ich przepisy wykonawcze i akty prawne wtórne, z których każdy może być okresowo zmieniany, aktualizowany lub zastępowany, w tym przepisy mające zastosowanie w miejscu zamieszkania Sprzedawcy i/lub Klientów Użytkownika.

B. B. Klient: Osoba fizyczna lub podmiot, który odwiedza stronę, używa strony lub dokonuje zakupu produktu, towaru lub usługi w Sklepie Użytkownika.

C. Żądanie dotyczące praw do danych: Ważne i zgodne z prawem żądanie osoby fizycznej dotyczące wykonania przysługujących jej praw do Danych osobowych na mocy Obowiązujących przepisów o ochronie danych.

E. Administrator danych lub Firma: Strona, która określa cele i środki przetwarzania Danych osobowych, lub która została zdefiniowana w inny sposób na mocy obowiązujących przepisów o ochronie danych.

E. Procesor danych lub Dostawca usług: Strona lub inny podmiot lub firma świadcząca usługi w imieniu i przetwarzająca Dane osobowe na polecenie i w imieniu Administratora danych lub która została zdefiniowana w inny sposób na mocy obowiązujących przepisów o ochronie danych.

F. Dane osobowe: Informacje lub dane zdefiniowane jako „dane osobowe”, „informacje osobowe” lub „informacje umożliwiające identyfikację osoby” (lub analogiczne terminy) zgodnie z Obowiązującymi przepisami o ochronie danych.

G. Naruszenie ochrony danych osobowych. W odniesieniu do Danych osobowych Klientów Użytkownika wykładnia tego terminu jest zgodna z Obowiązującymi przepisami o ochronie danych.

H. „Przetwarzanie”, „procesy przetwarzania” lub „przetwarzać”. (a) Każda operacja lub zestaw operacji wykonywanych na Danych Osobowych lub zestawach Danych Osobowych w sposób zautomatyzowany lub niezautomatyzowany, taka jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie, modyfikowanie, pobieranie, przeglądanie, używanie, ujawnianie przez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie, łączenie, ograniczanie, usuwanie lub niszczenie; lub (b) definicja nadana tym terminom na mocy Obowiązujących przepisów o ochronie danych.

I. „Podwykonawcy przetwarzania”. Partnerzy afiliacyjni lub zewnętrzni Procesorzy danych lub Dostawcy usług, którzy mogą przetwarzać Dane osobowe na zlecenie Shopify w celu świadczenia Usług.

J. „Użytkownik”, „Użytkownika” lub „Sprzedawca”: oznacza każdą działalność gospodarczą, którą Użytkownik prowadzi, a która korzysta z Usług, Usług rozszerzonych lub innych Usług dodatkowych i jest Stroną Warunków Shopify.

K. „Dane osobowe Klientów Użytkownika”: Dane osobowe pochodzące od lub dotyczące Klientów Użytkownika, z wyłączeniem Danych osobowych dotyczących Klientów, które Shopify otrzymuje w wyniku relacji Klienta z Shopify, a które podlegają Polityce prywatności konsumentów Shopify, a nie niniejszemu Aneksowi DPA.

III. CHARAKTER PRZETWARZANIA I ROLE STRON

Shopify jako Procesor danych lub Dostawca usług. Shopify otrzymuje i przetwarza Dane osobowe Klientów Użytkownika w celu świadczenia mu usług i w innych celach określonych poniżej. W zależności od tego, o które usługi Użytkownik poprosi lub z których skorzysta, Shopify będzie przetwarzać kategorie danych osobowych określone w Załączniku A, w sposób i na podstawie w nim zawartej.

Shopify będzie przetwarzać Dane osobowe Klientów Użytkownika jako Procesor danych lub Dostawca usług wyłącznie w celu świadczenia usług określonych w Warunkach i wszelkich dodatkowych Warunkach, a także w zakresie niezbędnym do świadczenia, rozwijania i ulepszania swoich Usług oraz realizacji wszelkich innych celów dozwolonych przez Obowiązujące przepisy o ochronie danych.

Shopify jako Administrator danych lub Firma. Shopify będzie przetwarzać Dane osobowe klientów Użytkownika jako Administrator danych lub Firma (a) w okolicznościach i w sposób określony w Załączniku E oraz (b) w dodatkowych celach zgodnych z instrukcjami Klienta i Obowiązującymi przepisami o ochronie danych.

IV. ZOBOWIĄZANIA STRON

W poniższym punkcie opisano odpowiednie zobowiązania Stron w odniesieniu do przetwarzania Danych Osobowych objętych Aneksem DPA.

A. Ogólna zgodność z przepisami

  1. Strony będą przestrzegać swoich zobowiązań wynikających z Obowiązujących przepisów o ochronie danych.

  2. Shopify nie ma obowiązku interpretowania ani doradzania Użytkownikowi w zakresie zobowiązań Użytkownika na mocy Obowiązujących przepisów o ochronie danych, w tym w zakresie przetwarzania Danych osobowych objętych Aneksem DPA. Użytkownik ponosi wyłączną odpowiedzialność za określenie swoich zobowiązań prawnych i regulacyjnych, w tym za ocenę, czy właściwe dla Usług środki techniczne i organizacyjne są zgodne z niezależnymi zobowiązaniami prawnymi i regulacyjnymi Użytkownika.

B. Zobowiązania Shopify

1. Bezpieczeństwo danych
Shopify wdroży i będzie utrzymywać odpowiednie środki techniczne i organizacyjne w celu ochrony Danych osobowych Klientów Użytkownika przed nieautoryzowanym lub niezgodnym z prawem przetwarzaniem oraz przed przypadkową utratą, zniszczeniem, uszkodzeniem, kradzieżą, zmianą lub ujawnieniem, zgodnie z Załącznikiem B.

2. Powiadomienie o naruszeniu danych osobowych i dochodzenie w tej sprawie

a) Zgodnie z wymogami Obowiązujących przepisów o ochronie danych, po potwierdzeniu przez Shopify jakiegokolwiek Naruszenia ochrony danych osobowych Shopify przekaże Użytkownikowi powiadomienie o tym fakcie.

b) Powiadomienie takie zawiera informacje wymagane na mocy Obowiązujących przepisów o ochronie danych w zakresie, w jakim takie informacje są racjonalnie dostępne dla Shopify. Reakcja Shopify na Naruszenie ochrony danych osobowych lub powiadomienie o nim przez Shopify nie stanowi przyjęcia na siebie przez Shopify jakiejkolwiek winy lub odpowiedzialności.

c) Shopify zgadza się zbadać każde Naruszenie ochrony danych osobowych i dokłada uzasadnionych z handlowego punktu widzenia starań, aby zidentyfikować, złagodzić i naprawić skutki takiego Naruszenia ochrony danych osobowych lub im zapobiec.

C. Zobowiązania Użytkownika co do Danych osobowych

1. Informacje o ochronie prywatności i przejrzystość: Użytkownik oświadcza i gwarantuje, że przestrzega wszystkich obowiązków wynikających z obowiązujących przepisów o ochronie danych w celu zapewnienia powiadomień i przejrzystości dotyczących przetwarzania przez niego Danych osobowych Klienta Użytkownika zgodnie z Warunkami i w związku z korzystaniem przez niego z Usług. Zgodnie z Obowiązującymi przepisami o ochronie danych, Użytkownik przekaże odpowiednim osobom wszystkie informacje niezbędne do tego, aby Shopify mógł zgodnie z prawem i uczciwie przetwarzać Dane osobowe Klientów Użytkownika w związku z niniejszym Aneksem DPA, w tym w przypadku otrzymania przez Użytkownika rozszerzonych usług lub innych dodatkowych usług, podając link do Polityki prywatności Konsumenta Shopify i do Polityki prywatności Użytkownika oraz podając inne informacje określone w Sekcji 9.2.5 Warunków.

2. Prawa i uprawnienia Klienta: Użytkownik oświadcza i gwarantuje, że posiada wszelkie niezbędne prawa, uprawnienia i zgody na udostępnianie Danych osobowych Klientów Użytkownika firmie Shopify oraz na przetwarzanie przez Shopify Danych osobowych Klientów Użytkownika w celu umożliwienia Użytkownikowi korzystania z Usług, w tym Usług rozszerzonych lub innych Usług dodatkowych, zgodnie z Warunkami, niniejszym Aneksem DPA i Obowiązującymi przepisami o ochronie danych.

3. Żądania dotyczące praw do danych: Użytkownik oświadcza i gwarantuje, że umożliwia swoim Klientom korzystanie z żądań dotyczących praw do danych, zgodnie z wymogami Obowiązujących przepisów o ochronie danych, w odniesieniu do przetwarzania Danych osobowych Klientów Użytkownika przez Shopify, dla których Użytkownik jest Administratorem danych.

4. Zapytania regulacyjne. O ile nie zabraniają tego przepisy obowiązującego prawa, Użytkownik niezwłocznie (zgodnie z postanowieniami dotyczącymi powiadomień zawartymi w Warunkach) powiadomi nas o wszelkich zapytaniach lub skargach ze strony organów administracji państwowej, organów regulacyjnych lub innych osób trzecich dotyczących używania Usług przez Użytkownika.

VI. POSTANOWIENIA RÓŻNE

A. Globalne przekazywanie danych
Użytkownik zgadza się, że Dane osobowe Klientów Użytkownika mogą być przekazywane i przetwarzane w dowolnym kraju, w którym działalność prowadzi Shopify, partnerzy afiliacyjni Shopify lub dostawcy usług Shopify będący osobami trzecimi (w tym w Singapurze i Kanadzie). Wszelkie przekazywanie Danych osobowych Klientów Użytkownika do tych odbiorców będzie odbywać się zgodnie z Obowiązującymi przepisami o ochronie danych. Więcej informacji na temat międzynarodowego przekazywania danych, w przypadku gdy Shopify podlega wymogom dotyczącym prywatności w EOG, Zjednoczonym Królestwie lub Szwajcarii, znajduje się w punkcie II(B)(8) Załącznika C.

B. Odpowiedź na wnioski prawne

  1. Użytkownik zgadza się, że w trakcie świadczenia Usług na rzecz Użytkownika Shopify może udostępniać Dane osobowe Klientów Użytkownika (i) w celu spełnienia wymogów prawnych lub w odpowiedzi na nakazy lub zakazy sądowe lub inne podobne żądania organów administracji rządowej lub organów regulacyjnych;lub (ii) w celu badania przypadków podejrzewanych oszustw, zagrożeń bezpieczeństwa fizycznego, nielegalnej działalności lub naruszenia umowy lub zapobiegania im (np. Warunków świadczenia usług(/pl/legal/terms)) lub naszych zasad (np. naszych Zasad dozwolonego użytkowania)(/pl/legal/aup).

  2. Przed udostępnieniem Danych osobowych Klientów Użytkownika Shopify dołoży uzasadnionych starań, aby zapewnić, że jest to dozwolone na mocy Obowiązujących przepisów o ochronie danych i dane te będą traktowane jako informacje poufne zgodnie z przepisami prawa właściwego.

C. Ujawnianie danych w Transakcjach korporacyjnych
Użytkownik zgadza się, że w ramach świadczenia na jego rzecz Usług Shopify może mieć obowiązek udostępnienia Danych osobowych Klientów Użytkownika potencjalnym stronom jakiejkolwiek transakcji korporacyjnej lub restrukturyzacyjnej.

D. Korzystanie przez Shopify z Dostawców usług

  1. Użytkownik przyjmuje do wiadomości i zgadza się, że w trakcie świadczenia Usług na rzecz Użytkownika Shopify może korzystać z dostawców usług w celu przetwarzania Danych osobowych Klientów Użytkownika. Shopify utrzymuje aktualizowaną listę wszystkich używanych dostawców usług. Jeśli Obowiązujące przepisy o ochronie danych przyznają Użytkownikowi takie prawa, może on sprzeciwić się korzystaniu przez Shopify z dostawcy usług, a jeśli Shopify nie jest w stanie lub nie chce uwzględnić takich żądań, Użytkownik może, zgodnie z takimi przepisami, wypowiedzieć korzystanie z Usług, których to dotyczy, w ciągu 30 dni od takiego powiadomienia zgodnie z Warunkami.

  2. Korzystanie przez Shopify z dostawców usług w celu przetwarzania Danych osobowych Klientów Użytkownika, które Użytkownik dostarcza, będzie zgodne z Obowiązującymi przepisami o ochronie danych. W przypadku, gdy Shopify angażuje dostawcę usług, Shopify zawrze pisemną umowę z dostawcą usług, która nakłada zobowiązania umowne, które są zasadniczo takie same jak te określone w niniejszym Aneksie DPA.

E. Zmiana Aneksu DPA Użytkownik zgadza się, że Shopify może zmieniać Aneks DPA od czasu do czasu poprzez zamieszczenie odpowiedniego zmienionego lub przeformułowanego Aneksu DPA w witrynie internetowej Shopify dostępnej pod adresem https://shopify.com/legal/dpa, a takie zmiany Aneksu DPA wchodzą w życie z dniem ich zamieszczenia. Dalsze używanie Usług przez Użytkownika po zamieszczeniu zmienionego Aneksu DPA w witrynie internetowej Shopify oznacza, że Użytkownik akceptuje zmieniony Aneks DPA i wyraża na niego zgodę. Jeśli Użytkownik nie zgadza się na jakiekolwiek zmiany Aneksu DPA, nie powinien dalej używać Usług.

VI. ZAŁĄCZNIKI

  1. Załącznik A — Kategorie danych osobowych

  2. Załącznik B — Bezpieczeństwo danych

  3. Załącznik C — RODO, Brytyjskie RODO i Szwajcarska Ustawa o Ochronie Danych

  4. Załącznik D – Przepisy o ochronie danych w USA

  5. Załącznik E — Shopify jako Kontroler danych lub Firma świadcząca Usługi rozszerzone

ZAŁĄCZNIK A — KATEGORIE DANYCH OSOBOWYCH

W ramach używania Usług przez Użytkownika i w zależności od tego, których Usług używa Użytkownik, Shopify może otrzymywać i przetwarzać następujące kategorie Danych osobowych w celu świadczenia Usług:

● Imię i nazwisko, adres e-mail oraz informacje kontaktowe, rozliczeniowe i wysyłkowe Klienta.

● Informacje o zakupach i innych transakcjach ze Sklepów Użytkownika.

● Aktualizacje statusu transakcji z Użytkownikiem lub Sklepami Użytkownika

● Informacje o aktywności Klientów w Sklepach Użytkownika, w tym o przeglądanych produktach lub produktach znajdujących się w koszykach zakupów.

● Sygnały dotyczące preferencji Klientów, w tym sygnały Globalnej Kontroli Prywatności („GPC”), sygnały rezygnacji i sygnały zgody.

● Informacje o urządzeniu, z którego Klient korzysta podczas odwiedzin w Sklepie Użytkownika, w tym adres IP, przeglądarka i aktywność sieciowa takiego urządzenia.

● Inne informacje o interakcjach Klientów z Użytkownikiem.

● Wszelkie inne Dane osobowe, które Użytkownik lub Klienci Użytkownika udostępnią Shopify.

ZAŁĄCZNIK B — BEZPIECZEŃSTWO DANYCH

Shopify będzie prowadzić program bezpieczeństwa informacji mający na celu (a) umożliwienie Użytkownikowi zabezpieczenia Danych osobowych Klientów Użytkownika przed nieautoryzowanym lub niezgodnym z prawem przetwarzaniem oraz przed przypadkową utratą, zniszczeniem, uszkodzeniem, kradzieżą, zmianą lub ujawnieniem; (b) identyfikację dających się racjonalnie przewidzieć zagrożeń dla bezpieczeństwa i dostępności świadczonych Usług oraz (c) minimalizację zagrożeń dla bezpieczeństwa Usług.

I. Program bezpieczeństwa informacji Shopify będzie obejmować następujące zabezpieczenia:

A. Bezpieczeństwo logiczne

  1. Kontrola dostępu: Shopify udostępni swoje systemy wyłącznie autoryzowanemu personelowi i tylko w zakresie niezbędnym do utrzymania i świadczenia Usług. Shopify będzie utrzymywać środki kontroli dostępu i zasady mające na celu zarządzanie autoryzacją dostępu do swoich systemów, w tym przy użyciu zapór lub innych technologii i środków kontroli uwierzytelniania.

  2. Ograniczony dostęp Użytkowników: Shopify (i) zapewni i ograniczy dostęp do swoich systemów zgodnie z zasadami najmniejszych uprawnień na podstawie funkcji związanych z danym stanowiskiem oraz (ii) będzie wymagać uwierzytelniania dwuskładnikowego (2FA) w celu uzyskania dostępu do swoich systemów.

  3. Ocena podatności: Shopify będzie prowadzić program oceny podatności i testów penetracji w celu badania i śledzenia zidentyfikowanych problemów z Usługami w celu ich ewentualnego rozwiązania.

  4. Bezpieczeństwo aplikacji: Shopify prowadzi program bezpieczeństwa aplikacji w celu ochrony Usług przed zagrożeniami dla bezpieczeństwa aplikacji.

  5. Zarządzanie zmianami: Shopify będzie utrzymywać środki kontroli służące do rejestrowania, autoryzowania, testowania, zatwierdzania i dokumentowania zmian w istniejących zasobach Usług oraz będzie dokumentować szczegóły zmian w swoich narzędziach do zarządzania zmianami lub wdrażania zmian. Shopify przetestuje zmiany zgodnie ze swoimi standardami zarządzania zmianami przed migracją do środowiska produkcyjnego.

  6. Integralność danych: W stosownych przypadkach Shopify utrzyma środki kontroli służące zapewnieniu integralności danych podczas ich przesyłania, przechowywania i przetwarzania w ramach Usług.

  7. Dostępność: Shopify (i) wdroży w stosownych przypadkach nadmiarowość Usług w celu zminimalizowania wpływu awarii na Usługi, (ii) zaprojektuje Usługi tak, aby przewidywały i zapewniały odporność na awarie oraz (iii) wdroży odpowiednie procesy mające na celu przeniesienie ruchu Danych osobowych z obszarów objętych wpływem awarii, gdy będzie to konieczne w celu przywrócenia działania po awarii.

  8. Zapewnienie ciągłości biznesowej i przywrócenie działania w przypadku awarii systemu: Shopify będzie utrzymywać program zarządzania ryzykiem służący zapewnianiu ciągłości działania krytycznych funkcji biznesowych, w tym procesów i procedur identyfikacji zdarzeń, reagowania na zdarzenia i odzyskiwania danych po zdarzeniach, które mogłyby uniemożliwić lub istotnie zakłócić świadczenie przez Shopify Usług dla Użytkownika.

  9. Zarządzanie incydentami: Shopify udostępnia dokumentację umożliwiającą Użytkownikowi zgłaszanie incydentów z zakresu bezpieczeństwa lub dostępności, zadawanie pytań dotyczących bezpieczeństwa lub dostępności oraz przesyłanie informacji o potencjalnych problemach z bezpieczeństwem lub dostępnością. Shopify będzie utrzymywać plany działań korygujących i reakcji na incydenty służące do wykrywania, łagodzenia i badania potencjalnych zagrożeń dla bezpieczeństwa Usług oraz reagowania na nie.

B. Bezpieczeństwo fizyczne: Ilekroć jest to konieczne w celu ochrony Usług, Shopify (i) wdroży uzasadnione środki mające na celu zapobieganie nieautoryzowanemu fizycznemu uszkodzeniu, zakłóceniu lub dostępowi do Usług, (ii) zastosuje odpowiednie urządzenia kontrolne mające na celu ograniczenie fizycznego dostępu do Usług wyłącznie do autoryzowanego personelu, który ma uzasadnioną potrzebę biznesową takiego dostępu, oraz (iii) będzie przeprowadzać okresowe przeglądy w celu zapewnienia zgodności z tymi standardami.

C. Pracownicy Shopify. Pracownicy Shopify autoryzowani do dostępu do Danych osobowych Klientów Użytkownika są związani zobowiązaniami do zachowania poufności w ramach swoich warunków zatrudnienia. Shopify wdroży i będzie utrzymywać programy szkoleń pracowników w zakresie bezpieczeństwa dotyczące wymogów bezpieczeństwa informacji Shopify. Programy szkoleń z zakresu bezpieczeństwa będą okresowo weryfikowane i aktualizowane.

II. Zmiany tego Załącznika

Shopify dokonuje okresowych przeglądów swoich środków bezpieczeństwa i może aktualizować ten Załącznik według własnego uznania. Wszelkie takie aktualizacje zastępują wcześniejsze wersje tego Załącznika z dniem opublikowania zaktualizowanej wersji przez Shopify.

ZAŁĄCZNIK C — RODO, BRYTYJSKIE RODO I SZWAJCARSKA USTAWA O OCHRONIE DANYCH

W przypadku gdy przetwarzanie Danych osobowych Klientów Użytkownika zgodnie z niniejszym Aneksem DPA podlega wymogom ochrony danych obowiązującym w Europejskim Obszarze Gospodarczym („EOG”), Zjednoczonym Królestwie („Wielka Brytania”) lub Szwajcarii (łącznie „Europejskie przepisy o ochronie danych”), a Shopify działa jako Procesor danych, Załącznik C stanowi uzupełnienie niniejszego Aneksu DPA.

I. Charakter przetwarzania i role Stron

A. Dane osobowe

Na mocy tego Załącznika Użytkownik działa jako Kontroler danych, a Shopify działa jako Procesor danych w odniesieniu do przetwarzania Danych osobowych Klientów Użytkownika zgodnie z opisem w Dodatku 1, w zakresie niezbędnym do realizacji celów biznesowych określonych w Warunkach i do świadczenia Usług, których chce używać Użytkownik.

II. Zobowiązania Stron

A. Zobowiązania Użytkownika

Użytkownik musi przestrzegać:

● Europejskich przepisów o ochronie danych wiążących Użytkownika w związku z korzystaniem przez niego z Usług; i

● Zobowiązań Użytkownika określonych w Aneksie DPA, w tym zobowiązań Użytkownika określonych w tym Załączniku.

Użytkownik oświadcza i gwarantuje, że posiada ważną podstawę prawną do przetwarzania Danych osobowych Klientów Użytkownika (w tym udostępniania takich danych firmie Shopify) i że uzyskał wszelkie niezbędne zgody, prawa i upoważnienia, a także przekazał wszelkie niezbędne powiadomienia osobom, aby umożliwić firmie Shopify przetwarzanie Danych osobowych Klientów Użytkownika w celu świadczenia Usług, zgodnie z wymogami Europejskich przepisów o ochronie danych.

B. Zobowiązania Shopify

1. Instrukcje Administratora danych i naruszenie europejskich przepisów o ochronie danych

a) Strony zgadzają się, że Warunki wraz z Aneksem DPA stanowią udokumentowane instrukcje dla Użytkownika dotyczące przetwarzania przez Shopify Danych osobowych klientów Użytkownika („Udokumentowane Instrukcje”).

b) Shopify będzie przetwarzać Dane osobowe klientów Użytkownika jako Procesor danych (i) zgodnie z udokumentowanymi instrukcjami Użytkownika; (ii) w celu wywiązania się ze swoich zobowiązań wynikających z obowiązujących przepisów prawa, z uwzględnieniem wszelkich wymogów dotyczących powiadomień na mocy przepisów prawa obowiązujących w EOG lub przepisów prawa państwa członkowskiego EOG, którym podlega Shopify.

c) Shopify powiadomi Użytkownika, jeśli otrzyma instrukcję, którą w uzasadniony sposób uzna za naruszającą europejskie przepisy o ochronie danych (ale Shopify nie musi aktywnie monitorować zgodności Użytkownika z europejskimi przepisami o ochronie danych).

2. Zobowiązanie do zachowania poufności

Shopify dopilnuje, aby osoby, które Shopify autoryzuje do przetwarzania Danych osobowych, zawarły pisemne umowy o zachowaniu poufności lub podlegały ustawowym zobowiązaniom do zachowania poufności.

3. Środki bezpieczeństwa

a) Shopify wdraża i utrzymuje odpowiednie środki techniczne i organizacyjne w celu ochrony Danych osobowych klientów Użytkownika przed nieautoryzowanym lub niezgodnym z prawem przetwarzaniem oraz przed przypadkową utratą, zniszczeniem, uszkodzeniem, kradzieżą, nieautoryzowanym dostępem, zmianą lub ujawnieniem, zgodnie z Dodatkiem 2.

b) Uwzględniając charakter Danych osobowych klientów Użytkownika i powiązanego z nimi przetwarzania, Shopify zapewni taką rozsądną pomoc, o jaką może w uzasadniony sposób poprosić Użytkownik, aby mógł wywiązywać się ze swoich zobowiązań w zakresie bezpieczeństwa na mocy europejskich przepisów o ochronie danych.

c) Shopify bezzwłocznie powiadomi Użytkownika, gdy dowie się o naruszeniu bezpieczeństwa prowadzącym do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieautoryzowanego ujawnienia lub dostępu do przesyłanych, przechowywanych lub przetwarzanych Danych osobowych klientów Użytkownika.

d) Shopify zgadza się zbadać każde takie naruszenie bezpieczeństwa i dokłada uzasadnionych z handlowego punktu widzenia starań, aby złagodzić jego skutki.

4. Podwykonawcy przetwarzania

a) Użytkownik zasadniczo upoważnia Shopify do zatrudniania Podwykonawców przetwarzania w celu przetwarzania Danych osobowych klientów Użytkownika. Ponadto Użytkownik zgadza się, że Shopify może zatrudniać jako Podwykonawców przetwarzania również swoje podmioty stowarzyszone.

b) Korzystanie przez Shopify z usług Podwykonawców przetwarzania w celu przetwarzania Danych osobowych klientów Użytkownika będzie zgodne z europejskimi przepisami o ochronie danych.

c) Shopify utrzymuje zaktualizowaną listę wszystkich Podwykonawców przetwarzania zgodnie z Dodatkiem 3. Shopify będzie w razie potrzeby aktualizować listę Podwykonawców przetwarzania i zapewni Użytkownikowi mechanizm otrzymywania powiadomień o dodaniu lub zastąpieniu Podwykonawcy przetwarzania na takiej liście. Użytkownik może sprzeciwić się skorzystaniu przez Shopify z usług nowego Podwykonawcy przetwarzania.

d) W zakresie, w jakim Użytkownik sprzeciwia się korzystaniu przez Shopify z usług Podwykonawcy przetwarzania, a Shopify nie jest w stanie lub nie chce uwzględnić takiego żądania, Użytkownik może wypowiedzieć korzystanie z Usług objętych tym żądaniem w ciągu 30 dni od daty takiego powiadomienia zgodnie z Warunkami.

e) Ilekroć Shopify angażuje nowego Podwykonawcę przetwarzania, zawiera z nim pisemną umowę oraz nakłada na niego zobowiązania umowne, które są zasadniczo takie same jak zobowiązania określone w Aneksie DPA. Shopify ponosi pełną odpowiedzialność za działania i zaniechania Podwykonawców przetwarzania w takim samym zakresie, w jakim ponosiłaby odpowiedzialność, gdyby świadczyła usługi każdego Podwykonawcy przetwarzania bezpośrednio na mocy Aneksu DPA. Odpowiedzialność Shopify będzie jednak podlegać warunkom i ograniczeniom odpowiedzialności określonym w Warunkach.

5. Pomoc dla Administratora
Uwzględniając charakter Danych osobowych Użytkownika i powiązanego z nimi przetwarzania, Shopify zapewni taką rozsądną pomoc, o jaką może w uzasadniony sposób poprosić Użytkownik, aby mógł wywiązywać się ze swoich zobowiązań do:

● odpowiadania na żądania dotyczące praw do danych na mocy europejskich przepisów o ochronie danych, w odniesieniu do wszelkiego przetwarzania Danych osobowych klientów Użytkownika przez Shopify;

● powiadamiania odpowiednich organów i/lub podmiotów danych o naruszeniach przepisów o ochronie danych;

● przeprowadzania ocen skutków dla ochrony danych i wcześniejszych konsultacji;

● zapewniania bezpieczeństwa przetwarzania danych zgodnie z Punktem 3.

6. Ocena zgodności z przepisami

a) Shopify może zaspokoić prawo Użytkownika do audytu na mocy europejskich przepisów o ochronie danych w związku z przetwarzaniem Danych osobowych klientów Użytkownika poprzez przekazanie mu na jego pisemne żądanie i pod warunkiem zachowania poufności:

(i) Wyników najnowszego raportu z audytu Shopify, pochodzącego z samodzielnych audytów Shopify lub przygotowanego przez niezależnego audytora zewnętrznego;
(ii) dodatkowych informacji znajdujących się pod kontrolą Shopify, jeśli zażąda tego organ ochrony danych lub organ administracji rządowej.

b) Pod warunkiem, że, oraz tylko w zakresie, w jakim europejskie przepisy o ochronie danych przyznają Użytkownikowi to prawo, Użytkownik możesz skorzystać ze swojego prawa do audytu: (i) w zakresie, w jakim niezależny, uznany międzynarodowo audytor poświadczy, że dostarczony przez Shopify raport z audytu nie zawiera wystarczających informacji, aby można było zweryfikować zgodność Shopify z niniejszym Aneksem DPA i europejskimi przepisami o ochronie danych; (ii) w zakresie niezbędnym do udzielenia przez Użytkownika odpowiedzi na audyt organu rządowego. Każdy audyt musi być zgodny z następującymi parametrami: (i) być przeprowadzany przez niezależną stronę trzecią, która zawrze umowę o zachowaniu poufności z Shopify; (ii) być ograniczony w zakresie do kwestii rozsądnie wymaganych i wzajemnie uzgodnionych, aby Użytkownik mógł ocenić zgodność Shopify z niniejszym Aneksem DPA i zgodność stron z europejskimi przepisami o ochronie danych; (iii) odbyć się we wzajemnie uzgodnionym dniu i o ustalonej godzinie oraz wyłącznie w standardowych godzinach pracy Shopify; (iv) odbywać się nie częściej niż raz w roku (chyba że jest to wymagane na mocy europejskich przepisów o ochronie danych); (v) obejmować wyłącznie obiekty kontrolowane przez Shopify; (vi) ograniczać ustalenia wyłącznie do danych osobowych klientów Użytkownika; (vii) traktować wszelkie wyniki jako informacje poufne w najszerszym zakresie dozwolonym przez europejskie przepisy o ochronie danych. Dla wyjaśnienia, Shopify będzie przestrzegać wszelkich praw Użytkownika na mocy niniejszego Punktu 6 zgodnie ze swoimi zobowiązaniami do zachowania poufności wobec osób trzecich.

7. Zakończenie przetwarzania

a) Podczas korzystania z Usług Użytkownik może używać narzędzi Konta w celu przywracania, usuwania lub uzyskiwania dostępu do Danych osobowych swoich klientów.

b) Po wypowiedzeniu umowy Shopify, zgodnie z wyborem Użytkownika, usunie lub zwróci Dane osobowe jego klientów. Niezależnie od powyższego Shopify może zatrzymać Dane osobowe klientów Użytkownika (i) zgodnie z wymogami przepisów prawa, w tym europejskich przepisów o ochronie danych; (ii) zgodnie ze swoimi standardowymi zasadami tworzenia kopii zapasowych lub zatrzymywania danych, o ile w obu przypadkach Shopify zachowa poufność i będzie przestrzegać właściwych postanowień Aneksu DPA w odniesieniu do zachowanych Danych osobowych klientów Użytkownika oraz nie będzie dalej przetwarzać zachowanych Danych osobowych klientów Użytkownika, chyba że do takich celów i przez taki okres, jakie są dozwolone przez przepisy prawa.

8. Transgraniczne transfery danych

a) Z zastrzeżeniem zgodności z europejskimi przepisami o ochronie danych Shopify International Ltd. może przekazywać dane osobowe klientów Użytkownika, przetwarzane zgodnie z niniejszym Dodatkiem, poza EOG, Wielką Brytanię i Szwajcarię, jeśli jest to konieczne do świadczenia Usług („Transgraniczne transfery danych”).

b) Takie transfery polegają przede wszystkim na przekazywaniu Danych osobowych Użytkownika do spółki Shopify Inc. z siedzibą w Kanadzie, która korzysta z decyzji Komisji Europejskiej 2002/2/WE z dnia 20 grudnia 2001 r. w sprawie odpowiedniej ochrony danych osobowych zapewnianej przez kanadyjską ustawę o ochronie danych osobowych i dokumentów elektronicznych.

c) Wszelkie Transgraniczne transfery danych do krajów, które nie zapewniają odpowiedniego stopnia ochrony danych w rozumieniu europejskich przepisów o ochronie danych, będą podlegać odpowiednim zabezpieczeniom, w tym poniższym mechanizmom transferów danych:

● odpowiednim modułom zgodnie ze Standardowymi klauzulami umownymi z 2021 r. zatwierdzonymi przez Komisję Europejską w decyzji 2021/914/WE z dnia 4 czerwca 2021 r.;

● Aneksowi dotyczącemu Transgranicznych transferów danych do zatwierdzonych przez Komisję Europejską Standardowych klauzul umownych dotyczących międzynarodowych transferów danych wydanych przez Biuro Komisarza ds. informacji Wielkiej Brytanii na podstawie art. 119A(1) brytyjskiej ustawy o ochronie danych z 2018 r.;

● Standardowym klauzulom umownym z 2021 r. z poprawkami, mającym na celu spełnienie wymogów szwajcarskiej ustawy federalnej o ochronie danych (z późniejszymi zmianami) z dnia 19 czerwca 1992 r. ze zmianami z dnia 25 września 2001 r.;

● wszelkim Standardowym klauzulom umownym, Aneksowi dotyczącemu transgranicznych transferów danych lub innym klauzulom, dodatkom lub mechanizmom transferów, które mogą zastąpić obecne klauzule i dodatki.

d) Shopify może, według własnego uznania, zastąpić dowolny mechanizm transferu danych, aby zapewnić zgodność transferów danych z obowiązującymi przepisami prawa. Jeśli transfer danych odbywa się na podstawie Standardowych klauzul umownych i takie klauzule są zaktualizowane przez właściwe organy, takie zaktualizowane klauzule lub podobne postanowienia staną się integralną częścią Aneksu DPA, tak jakby były w nim w całości uwzględnione.

DODATEK 1 — DANE OSOBOWE

OPIS PRZETWARZANIA DANYCH OSOBOWYCH

I. Przedmiot przetwarzania

Świadczenie Usług Shopify na rzecz Sprzedawcy.

II. Kategorie osób, których dane dotyczą

Klienci Sprzedawcy.

III. Kategorie przetwarzanych Danych osobowych

Patrz Załącznik A powyżej.

IV. Częstotliwość przekazywania

Na bieżąco.

V. Charakter przetwarzania

Gromadzenie, rejestrowanie, hostowanie, wykorzystywanie, przekazywanie, usuwanie i uzyskiwanie dostępu do Danych osobowych w sposób opisany w Warunkach.

VI. Cele przetwarzania Danych osobowych w imieniu Administratora

Świadczenie i doskonalenie Usług w sposób opisany w Warunkach.

VII. Czas trwania przetwarzania

Okres świadczenia Usług zgodnie z Warunkami lub stosowną umową plus okres po wygaśnięciu do czasu anonimizacji, zwrotu lub usunięcia danych.

VIII. Właściwy organ nadzorczy Właściwym organem nadzorczym będzie irlandzka Komisja Ochrony Danych (Data Protection Commission, DPC).

DODATEK 2 — ŚRODKI BEZPIECZEŃSTWA

Informacje o środkach bezpieczeństwa znajdują się w Załączniku B do Aneksu DPA.

DODATEK 3 — LISTA PODWYKONAWCÓW PRZETWARZANIA

Lista Podwykonawców przetwarzania, z usług których korzysta firma Shopify w celu świadczenia Usług na mocy Warunków, znajduje się tutaj.

Podwykonawcy przetwarzania będą przetwarzać opisane powyżej kategorie Danych osobowych w ramach Usług przez okres obowiązywania ich umowy z Shopify.

Załącznik D — Przepisy o ochronie danych w USA

Niniejsza sekcja ma zastosowanie wyłącznie w zakresie, w jakim: (i) przepisy o ochronie danych w USA mają zastosowanie do Użytkownika i/lub Danych osobowych klientów Użytkownika w związku z korzystaniem z usług przez Użytkownika; (ii) poniższe postanowienia są wymagane przez przepisy o ochronie danych w USA; (iii) Shopify działa jako Procesor danych lub Dostawca usług. W celu uniknięcia wątpliwości niniejszy Załącznik D nie ma zastosowania do działań przetwarzania opisanych w Załączniku E.

  1. Strony zgadzają się, że Warunki wraz z Aneksem DPA stanowią udokumentowane instrukcje dla Użytkownika dotyczące przetwarzania przez Shopify Danych osobowych klientów Użytkownika („Udokumentowane Instrukcje”).

  2. Z wyjątkiem przypadków określonych w Załączniku E jeśli Użytkownik otrzymujesz określone Usługi rozszerzone, Shopify nie będzie: (i) przechowywać, wykorzystywać ani ujawniać Danych osobowych klientów Użytkownika poza bezpośrednimi relacjami biznesowymi z Użytkownikiem lub w żadnym innym celu innym niż ograniczone cele określone w niniejszym Aneksie DPA i/lub Warunkach, w tym w celu świadczenia, rozwijania i doskonalenia Usług albo w inny sposób dozwolony przez obowiązujące przepisy USA o ochronie danych, (ii) „sprzedawać” ani „udostępniać” danych osobowych klientów Użytkownika ani angażować się w „reklamę ukierunkowaną” z wykorzystaniem danych osobowych klientów Użytkownika w rozumieniu CCPA lub innych przepisów USA o ochronie danych; (iii) łączyć danych osobowych klientów Użytkownika z danymi osobowymi, które otrzymuje z innych źródeł, w każdym przypadku z wyjątkiem sytuacji dozwolonych na mocy przepisów USA o ochronie danych.

  3. Shopify: (i) zapewni taki sam poziom ochrony prywatności, jaki jest wymagany od Firm lub Administratorów Danych na mocy amerykańskich przepisów o ochronie danych i poinformuje Użytkownika, jeśli ustali, że nie jest już w stanie wywiązać się z tych zobowiązań; w takim przypadku Użytkownik może podjąć rozsądne i odpowiednie kroki w celu zatrzymania lub naprawienia jakiegokolwiek nieautoryzowanego przetwarzania Danych osobowych klientów Użytkownika; (ii) zapewni, że personel, którego upoważnia do przetwarzania Danych osobowych klientów Użytkownika, zawrze pisemne umowy o zachowaniu poufności lub będzie podlegał ustawowym obowiązkom zachowania poufności; (iii) na uzasadnione pisemne żądanie i w ramach umożliwienia Użytkownikowi podjęcia rozsądnych i odpowiednich kroków w celu zapewnienia, że Shopify wykorzystuje Dane osobowe klientów Użytkownika w sposób zgodny z amerykańskimi przepisami o ochronie danych, dostarczy raport SOC2 zawierający uzasadnioną ocenę programu bezpieczeństwa informacji Shopify; (iv) po zakończeniu świadczenia Usług na rzecz Użytkownika zainicjuje proces oczyszczania w celu usunięcia, zwrócenia lub zanonimizowania Danych osobowych klientów Użytkownika przekazanych Shopify w celu ich przetwarzania wyłącznie jako Procesor danych lub Dostawca usług.

  4. Użytkownik oświadcza i gwarantuje, że nie udostępni Shopify żadnych Danych osobowych osoby, która skorzystała z prawa do rezygnacji, którego Użytkownik zobowiązał się przestrzegać, ani żadnych poufnych Danych osobowych osoby, która nie wyraziła zgody na przetwarzanie takich danych zgodnie z wymogami obowiązujących przepisów o ochronie danych.

Załącznik E — Shopify jako Administrator danych lub Firma świadcząca Usługi rozszerzone

Shopify będzie działać jako Administrator danych lub Firma, gdy będzie świadczyć Użytkownikowi Usługi rozszerzone zgodnie z definicją zawartą w Punkcie 9.2 [Warunków świadczenia usług]/pl/legal/terms). Shopify może od czasu do czasu aktualizować usługi i produkty, w przypadku których działa jako Administrator danych lub Firma.

W ramach świadczenia przez Shopify Usług rozszerzonych Użytkownik zgadza się, że Shopify będzie przetwarzać Dane osobowe jego klienta jako Administrator danych lub Firma zgodnie z obowiązującymi przepisami o ochronie danych w celu zapewnienia, rozwijania i doskonalenia analiz, dostosowywania produktów, reklam i innych usług na rzecz Użytkownika, które obejmują interakcje i transakcje klientów ze Sklepem Użytkownika, z innymi sprzedawcami i z Shopify. Gdy Shopify przetwarza Dane osobowe klientów Użytkownika w ten sposób, obowiązuje Polityka prywatności konsumentów Shopify i niniejszy Załącznik E do Umowy DPA. Użytkownik może wyłączyć korzystanie przez Shopify z Danych osobowych klientów Użytkownika, wyłączając optymalizację danych klientów tutaj, chociaż nie będzie mógł korzystać z niektórych aplikacji ani funkcji, zgodnie ze specyfikacją dostępną tutaj.

Powiadomienia o ochronie prywatności, przejrzystość i prawa. Zgodnie z obowiązującymi przepisami o ochronie danych Użytkownik musisz przekazać odpowiednim osobom wszelkie informacje niezbędne do tego, aby firma Shopify mogła zgodnie z prawem i uczciwie przetwarzać Dane osobowe klientów Użytkownika w celu zapewniania mu Usług rozszerzonych w związku z niniejszym załącznikiem E do Aneksu DPA, w tym poprzez podanie łącza do [Polityki prywatności konsumenta Shopify]/pl/legal/privacy/app-users) w Polityce prywatności Użytkownika oraz podanie informacji określonych w Punkcie 1 Warunków świadczenia usług.

Wymagania europejskie. Jeśli Użytkownik mieszka w EOG, Wielkiej Brytanii lub Szwajcarii lub jeśli jego klienci mieszkają w EOG, Wielkiej Brytanii lub Szwajcarii, Użytkownik zgadza się, oświadcza i gwarantuje, że uzyskał odpowiednią zgodę od klientów i zapewnia im możliwość skorzystania z prawa do wycofania zgody, sprzeciwu wobec określonego przetwarzania i rezygnacji z określonego przetwarzania, jeśli wymagają tego obowiązujące przepisy o ochronie danych. Aby uniknąć wątpliwości, Użytkownik musi uzyskać zgodę na stosowanie reklam ukierunkowanych w ramach Usług rozszerzonych oraz na korzystanie z plików cookie lub innych lokalnych technologii przechowywania w zakresie wymaganym przez obowiązujące przepisy o ochronie danych. Aby uzyskać więcej informacji na temat wdrażania tych wymagań, patrz [tutaj].

3. Obowiązki Administratora. Użytkownik jest Administratorem Danych osobowych klientów oraz indywidualnie ustala cele i sposoby przetwarzania Danych osobowych klientów oraz sposób wykorzystywania i przetwarzania Danych osobowych klientów, w tym ustala podstawę prawną przetwarzania zgodnie z obowiązującym prawem o ochronie danych. Shopify jest Administratorem Danych osobowych klientów Użytkownika, które przetwarza zgodnie z niniejszym Załącznikiem E oraz indywidualnie ustala cele i sposoby przetwarzania takich Danych osobowych wraz ze sposobem ich wykorzystywania i przetwarzania, w tym ustala podstawę prawną ich przetwarzania zgodnie z obowiązującym prawem o ochronie danych.

Każda ze Stron ponosi indywidualną odpowiedzialność za odpowiadanie na Żądania związane z prawami podmiotów danych, które otrzymuje w związku z przetwarzaniem Danych osobowych klientów Użytkownika jako Administrator danych.

4. Brak wpływu na pozostałą część Aneksu DPA. Niniejszy Załącznik E nie będzie miał w inny sposób wpływu na żadne Warunki, w tym pozostałą część niniejszego Aneksu DPA, odzwierciedlającą relację typu Administrator danych–Procesor danych pomiędzy Sprzedawcą a Shopify.