Shopifys databehandlingstillägg

Gäller från och med: 25 juli 2025

Shopify databehandlingstillägg

I. SYFTE

Detta Shopifys databehandlingstillägg ("DPA") kompletterar och införlivas genom hänvisning i Shopifys [Användarvillkor]/se/legal/terms), tillsammans med eventuella villkor som gäller för eventuella ytterligare Shopify-tjänster som du väljer att använda ("Villkoren") av och mellan dig (eller "Handlaren") och Shopifys avtalsslutande enhet enligt vad som anges i Villkoren ("Shopify"), vilka beskriver de specifika affärsändamålen och tjänsterna relaterade till detta DPA. Vid eventuell konflikt mellan Villkoren och detta DPA ska DPA ha företräde med avseende på behandlingen av dina kunds personuppgifter, enligt definitionen nedan.

Du och Shopify (var och en en "Part", tillsammans "Parterna"), godkänner att detta DPA anger parternas skyldigheter gällande behandlingen av dina kundpersonuppgifter. Du ska agera som personuppgiftsansvarig och Shopify ska agera som databehandlare med avseende på behandlingen av dina kundpersonuppgifter i samband med din användning av våra tjänster som är beroende av vår behandling av dina kundpersonuppgifter, med undantag för de tjänster som beskrivs i bilaga E.

I de fall där behandlingen av personuppgifter enligt detta dataskyddsavtal omfattas av dataskyddskrav i Europeiska ekonomiska samarbetsområdet ("EES"), Storbritannien ("Storbritannien") eller Schweiz, och Shopify agerar som databehandlare, kompletterar bilaga C detta DPA. Vid eventuell konflikt mellan bilaga C och andra avsnitt i detta DPA ska bilaga C ha företräde med avseende på behandling av dina kunders personuppgifter som omfattas av dataskyddskrav i EES, Storbritannien och Schweiz. För att undvika tvivel ska bilaga C inte tillämpas på de behandlingsaktiviteter som beskrivs i bilaga E.

Där behandlingen av personuppgifter enligt detta DPA omfattas av amerikansk dataskyddslag, och Shopify agerar som databehandlare eller tjänsteleverantör, kompletterar bilaga D detta DPA. Vid eventuell konflikt mellan bilaga D och andra avsnitt i detta DPA ska bilaga D ha företräde med avseende på behandling av dina kunders personuppgifter i enlighet med amerikansk dataskyddslag. För att undvika tvivel ska bilaga D inte tillämpas på de behandlingsaktiviteter som beskrivs i bilaga E.

Om du får förbättrade tjänster från Shopify (enligt definitionen i avsnitt 9.2 i [Användarvillkoren])/se/legal/terms)) Shopify ska behandla dina kunds personuppgifter som personuppgiftsansvarig eller företag i enlighet med bilaga E. Vid eventuell konflikt mellan bilaga E och andra avsnitt i detta DPA ska bilaga E ha företräde med avseende på Shopifys behandling av dina kunds personuppgifter som personuppgiftsansvarig eller företag.

För att undvika missförstånd ska detta DPA inte gälla för Shopifys behandling av personuppgifter om kunder som Shopify tar emot till följd av kundens relation med Shopify genom tjänster som Shop och Shop Pay.

II. DEFINITIONER

Termer med versaler som används men inte definieras i detta DPA ska ha samma betydelse som de ges i villkoren:

A. Tillämplig(a) dataskyddslag(ar): Alla dataskydds- eller sekretesslagar som gäller för Shopifys behandling av personuppgifter enligt Villkoren, deras tillämpningsföreskrifter och sekundärlagstiftning, var och en i sin tur kan ändras, uppdateras eller ersättas från tid till annan, inklusive sådana lagar som gäller baserat på handlarens och/eller din(a) kund(er) plats eller bosättning.

B. Kund: En individ eller enhet som besöker, interagerar med och/eller köper en produkt, vara eller tjänst från din/dina butiker.

C. Begäran om datarättigheter: En giltig och laglig förfrågan från en individ om att utöva tillgängliga rättigheter avseende personuppgifter enligt en tillämplig dataskyddslag.

D. Personuppgiftsansvarig eller företag : Den part som fastställer ändamålen och medlen för behandlingen av personuppgifter, eller enligt definitionen i tillämplig dataskyddslag.

E. Databehandlare eller tjänsteleverantör: Den part eller annan enhet eller verksamhet som tillhandahåller tjänster för och behandlar personuppgifter på uppdrag av och för den personuppgiftsansvariges räkning eller enligt definitionen i tillämpliga dataskyddslagar.

F. Personuppgifter: Information eller data som definieras som "personuppgifter", "personlig information" eller "personligt identifierbar information" (eller analog term) enligt tillämpliga dataskyddslagar.

G. Personuppgiftsdataläcka: I samband med dina kunders personuppgifter ska tolkas i enlighet med tillämpliga dataskyddslagar.

H. ”Bearbetning”, ”processer” eller ”behandling”: (a) Varje åtgärd eller serie av åtgärder som utförs på personuppgifter eller uppsättningar av personuppgifter, oavsett om de utförs automatiserat eller inte, såsom insamling, registrering, organisering, strukturering, lagring, anpassning eller ändring, hämtning, konsultation, användning, utlämnande genom överföring, spridning eller på annat sätt tillgängliggörande, sammanställning eller kombination, begränsning, radering eller förstörelse; eller (b) definitionen av sådan/sådana termer enligt tillämplig//tillämpliga dataskyddslagar.

I. "Subprocessor": Anslutna företag eller tredjepartspersonbiträden eller tjänsteleverantörer som kan komma att behandla personuppgifter på Shopifys uppdrag i syfte att tillhandahålla tjänsterna.

J. "Du", "Din" eller "Handlare": Avser varje företag som du driver och som använder eller drar nytta av Tjänsterna, de Förbättrade tjänster eller andra Tilläggstjänster och är part i Villkoren med Shopify.

K. "Dina kundpersonuppgifter": Personuppgifter från eller om dina kunder, exklusive personuppgifter om kunder som Shopify tar emot till följd av kundens relation med Shopify, vilka regleras av Shopifys konsumentpolicy och inte denna DPA.

III. BEHANDLINGENS ART OCH PARTERNAS ROLLER

Shopify som databehandlare eller tjänsteleverantör. Shopify tar emot och behandlar dina kundpersonuppgifter för att tillhandahålla dig tjänsterna och enligt vad som anges nedan. Beroende på vilken av tjänsterna du begär eller använder kommer Shopify att behandla de kategorier av personuppgifter som anges i bilaga A, på det sätt och på de grunder som anges däri.

Shopify ska behandla dina kundpersonuppgifter som databehandlare eller tjänsteleverantör endast för att tillhandahålla de tjänster som anges i villkoren och eventuella kompletterande villkor och i den utsträckning det är nödvändigt för att tillhandahålla, utveckla och förbättra sina tjänster och utföra andra ändamål som är tillåtna enligt tillämpliga dataskyddslagar.

Shopify som personuppgiftsansvarig eller företag. Shopify ska behandla dina kunders personuppgifter som personuppgiftsansvarig eller företag (a) under de omständigheter och på det sätt som anges i bilaga E, och (b) för ytterligare ändamål som är förenliga med kundens instruktioner och tillämplig dataskyddslag.

IV. PARTERNAS SKYLDIGHETER

Följande avsnitt beskriver parternas respektive skyldigheter avseende behandling av personuppgifter som omfattas av detta DPA.

A. Allmän efterlevnad

  1. Parterna ska uppfylla sina respektive skyldigheter enligt tillämpliga dataskyddslagar.

  2. Shopify har ingen skyldighet att tolka eller ge dig råd om dina skyldigheter enligt tillämpliga dataskyddslagar, inklusive med avseende på behandling av personuppgifter som omfattas av detta dataskyddsavtal. Du är ensam ansvarig för att fastställa dina rättsliga och regulatoriska skyldigheter, inklusive att utvärdera om de tekniska och organisatoriska åtgärderna för Tjänsterna är förenliga med dina oberoende rättsliga och regulatoriska skyldigheter.

B. Shopifys skyldigheter

1. Datasäkerhet
Shopify kommer att implementera och upprätthålla lämpliga tekniska och organisatoriska åtgärder utformade för att skydda dina kunders personuppgifter mot obehörig eller olaglig behandling och mot oavsiktlig förlust, förstörelse, skada, stöld, ändring eller avslöjande, enligt vad som anges i bilaga B.

2. Anmälan och utredning av personuppgiftsdataläcka

a) I enlighet med gällande dataskyddslagar kommer Shopify att meddela dig när Shopify bekräftar eventuella personuppgiftsdataläcka.

b) Ett sådant meddelande ska innehålla den information som krävs enligt tillämpliga dataskyddslagar i den utsträckning sådan information rimligen är tillgänglig för Shopify. Shopifys svar på, eller meddelande om, ett personuppgiftsdataläcka är inte ett erkännande från Shopifys sida av något fel eller ansvar.

c) Shopify samtycker till att utreda eventuella personuppgiftsdataläcka och vidta kommersiellt rimliga åtgärder för att identifiera, förebygga, mildra och åtgärda effekterna.

C. Dina skyldigheter avseende personuppgifter

1. Sekretessmeddelande och transparens: Du försäkrar och garanterar att du följer alla skyldigheter enligt tillämpliga dataskyddslagar att tillhandahålla meddelande och transparens gällande din behandling av dina kundpersonuppgifter enligt villkoren och i samband med din användning av tjänsterna. I enlighet med tillämpliga dataskyddslagar ska du meddela berörda individer alla upplysningar som är nödvändiga för att Shopify lagligt och rättvist ska kunna behandla dina kundpersonuppgifter i samband med detta DPA, inklusive när du får utökade tjänster eller andra ytterligare tjänster, genom att tillhandahålla en länk till Shopifys policy for konsumentintegritet och till din integritetspolicy och tillhandahålla andra upplysningar enligt avsnitt 9.2.5 i Villkoren.

2. Kundens rättigheter och tillstånd: Du försäkrar och garanterar att du har alla nödvändiga rättigheter, tillstånd och samtycke för att göra dina kundpersonuppgifter tillgängliga för Shopify, och för att Shopify ska behandla dina kundpersonuppgifter för att du ska kunna ta emot Tjänsterna, inklusive Förbättrade tjänster eller andra Tilläggstjänster som du får, i enlighet med Villkoren, detta DPA och tillämpliga dataskyddslagar.

3. Begäran om datarättigheter: Du försäkrar och garanterar att du ger dina kunder möjlighet att utöva begäran om datarättigheter, i enlighet med gällande dataskyddslagar, med avseende på behandling av dina kunders personuppgifter av Shopify för vilken du är personuppgiftsansvarig.

4. Förfrågningar från myndigheter: Om det inte är förbjudet enligt tillämplig lag ska du omedelbart meddela oss i enlighet med meddelandeklausulen i Villkoren om eventuella förfrågningar eller klagomål från myndigheter eller andra tredje parter angående din användning av Tjänsterna.

V. DIVERSE

A. Globala dataöverföringar
Du bekräftar att dina kundpersonuppgifter kan komma att överföras och behandlas i alla länder där Shopify, dess dotterbolag eller tredjepartsleverantörer är belägna (inklusive i Singapore och Kanada). All överföring av dina kundpersonuppgifter till dessa mottagare kommer att ske i enlighet med tillämpliga dataskyddslagar. För mer information om internationella dataöverföringar, där Shopify omfattas av dataskyddskrav i EES, Storbritannien eller Schweiz, se avsnitt II(B)(8) i bilaga C.

B. Svar på rättsliga förfrågningar

  1. Du bekräftar att Shopify, i samband med att tjänsterna tillhandahålls till dig, kan komma att dela dina kundpersonuppgifter (i) för att följa lagkrav eller för att svara på domstolsbeslut eller andra liknande myndighets- eller tillsynskrav; eller (ii) för att förhindra eller utreda misstänkt bedrägeri, hot mot fysisk säkerhet, olaglig aktivitet eller kontraktsbrott (såsom [Användarvillkoren]/se/legal/terms)) eller våra policyer (såsom vår Policy för godtagbar användning).

  2. Shopify kommer att göra rimliga ansträngningar innan dina kunders personuppgifter tas fram för att säkerställa att sådant utlämnande är tillåtet enligt tillämpliga dataskyddslagar och kommer att behandlas som konfidentiell information enligt tillämplig rättslig ram.

C. Upplysningar vid företagstransaktioner
Du bekräftar att Shopify, i samband med att tjänsterna tillhandahålls till dig, kan vara skyldigt att dela dina kunduppgifter med potentiella motparter i företags- eller omstruktureringstransaktioner.

D. Shopifys användning av tjänsteleverantörer

  1. Du bekräftar och samtycker till att Shopify, i samband med att tjänsterna tillhandahålls till dig, kan använda tjänsteleverantörer för att behandla dina kunduppgifter. Shopify upprätthåller en uppdaterad [lista över alla tjänsteleverantörer]https://help.shopify.com/sv/manual/your-account/privacy/subprocessors) används. Om tillämpliga dataskyddslagar ger dig sådana rättigheter kan du invända mot Shopifys användning av en tjänsteleverantör, och om Shopify inte kan eller vill tillmötesgå sådana förfrågningar kan du, i enlighet med sådana lagar, säga upp din användning av de berörda tjänsterna inom 30 dagar efter sådan anmälan i enlighet med villkoren.

  2. Shopifys användning av tjänsteleverantörer för att behandla dina kundpersonuppgifter som du tillhandahåller kommer att ske i enlighet med tillämpliga dataskyddslagar. Om Shopify anlitar en tjänsteleverantör kommer Shopify att ingå en skriftlig överenskommelse med tjänsteleverantören som ålägger avtalsenliga skyldigheter som i huvudsak är desamma som de som anges i denna DPA.

E. DPA-ändring
Du bekräftar och samtycker till att Shopify kan komma att ändra detta DPA från tid till annan genom att publicera det relevanta ändrade och omformulerade DPA:t på Shopifys webbplats, tillgänglig på https://shopify.com/legal/dpa och sådana ändringar i DPA-avtalet träder i kraft från och med publiceringsdatumet. Din fortsatta användning av Tjänsterna efter att det ändrade DPA-avtalet har publicerats på Shopifys webbplats utgör ditt samtycke till och godkännande av det ändrade DPA-avtalet. Om du inte samtycker till några ändringar i DPA-avtalet ska du inte fortsätta att använda Tjänsterna.

VI Bilagor

  1. Bilaga A - Kategorier av personuppgifter

  2. Bilaga B - Datasäkerhet

  3. Bilaga C - GDPR, GDPR för Storbritannien och bilaga om databehandling i Schweiz

  4. Bilaga D - Amerikansk dataskyddslag

  5. Bilaga E - Shopify som personuppgiftsansvarig eller företag för förbättrade tjänster

BILAGA A: KATEGORIER AV PERSONUPPGIFTER

Som en del av din användning av Tjänsterna, och beroende på vilka Tjänster du använder, kan vi ta emot och behandla följande kategorier av personuppgifter för att tillhandahålla Tjänsterna:

● Kundens namn, e-postadress, kontaktuppgifter, fakturerings- och leveransinformation.

● Köp- och annan transaktionsinformation från din(a) butik(er).

● Uppdatering(ar) om statusen för transaktion(er) med dig eller din(a) butik(er).

● Kundaktivitet i din(a) butik(er), inklusive produkter som visats och/eller inkluderats i varukorgar.

● Kundpreferenssignaler, inklusive Global Privacy Control ("GPC"), signaler för att välja bort och välja att delta.

● Kundens enhetsinformation för enhet(er) som används vid besök på din(a) butik(er), inklusive IP-adress, webbläsare och nätverksaktivitet.

● Övrig information om kundernas interaktioner med dig.

● Alla andra personuppgifter som du eller dina kunder väljer att göra tillgängliga för Shopify.

BILAGA B: DATASÄKERHET

Shopify kommer att upprätthålla ett informationssäkerhetsprogram utformat för att (a) göra det möjligt för dig att skydda dina kunders personuppgifter mot obehörig eller olaglig behandling och mot oavsiktlig förlust, förstörelse, skada, stöld, ändring eller avslöjande; (b) identifiera rimligen förutsebara risker för säkerheten och tillgängligheten för de tjänster du mottager; och (c) minimera säkerhetsriskerna för tjänsterna.

I. Shopifys informationssäkerhetsprogram kommer att omfatta följande skyddsåtgärder:

A. Logisk säkerhet

  1. Åtkomstkontroller: Shopify kommer att göra sina system tillgängliga endast för behörig personal, och endast i den utsträckning det är nödvändigt för att underhålla och tillhandahålla Tjänsterna. Shopify kommer att upprätthålla åtkomstkontroller och policyer utformade för att hantera behörigheter för åtkomst till sina system, inklusive genom användning av brandväggar och/eller annan teknik och autentiseringskontroller.

  2. Begränsad användaråtkomst: Shopify kommer att (i) tillhandahålla och begränsa åtkomst till sina system i enlighet med principerna om lägsta privilegium baserat på personalens arbetsuppgifter, och (ii) kräva tvåfaktorsautentisering (2FA) för åtkomst till sina system.

  3. Sårbarhetsbedömningar: Shopify kommer att upprätthålla ett program för sårbarhetsbedömning och penetrationstestning, med ansvar för att undersöka och spåra identifierade problem med Tjänsterna för att lösa dem vid behov.

  4. Applikationssäkerhet: Shopify upprätthåller ett applikationssäkerhetsprogram som ansvarar för att skydda Tjänsterna från applikationssäkerhetshot.

  5. Ändringshantering: Shopify kommer att upprätthålla kontroller utformade för att logga, auktorisera, testa, godkänna och dokumentera ändringar av befintliga tjänsteresurser, och kommer att dokumentera ändringsdetaljer i sina verktyg för ändringshantering eller distribution. Shopify kommer att testa ändringar enligt sina standarder för ändringshantering innan migrering till produktion.

  6. Dataintegritet: Shopify kommer, i förekommande fall, att upprätthålla kontroller utformade för att säkerställa dataintegritet under överföring, lagring och bearbetning inom Tjänsterna.

  7. Tillgänglighet: Shopify kommer att (i) implementera redundans där så är lämpligt för Tjänsterna för att minimera effekten av ett fel på Tjänsterna, (ii) utforma Tjänsterna för att förutse och tolerera fel, och (iii) implementera lämpliga processer utformade för att flytta personuppgiftstrafik bort från de berörda områdena när det är nödvändigt för att återställa från fel.

  8. Verksamhetskontinuitet och katastrofåterställning: Shopify kommer att upprätthålla ett riskhanteringsprogram utformat för att stödja kontinuiteten i dess kritiska affärsfunktioner, inklusive processer och procedurer för identifiering av, respons på och återhämtning från händelser som kan förhindra eller väsentligt försämra Shopifys tillhandahållande av de Tjänster du får.

  9. Incidenthantering: Shopify tillhandahåller dokumentation för att du ska kunna rapportera säkerhets- eller tillgänglighetsincidenter, ställa säkerhets- eller tillgänglighetsfrågor och skicka in information om potentiella säkerhets- eller tillgänglighetsproblem. Shopify kommer att upprätthålla korrigerande åtgärdsplaner och incidenthanteringsplaner utformade för att upptäcka, mildra, undersöka och reagera på potentiella säkerhetshot mot Tjänsterna.

B. Fysisk säkerhet: Där det är nödvändigt för att skydda Tjänsterna kommer Shopify att (i) implementera rimliga åtgärder som är utformade för att förhindra obehörig fysisk åtkomst, skada eller störningar av Tjänsterna, (ii) använda lämpliga kontrollenheter som är utformade för att begränsa fysisk åtkomst till Tjänsterna till endast behörig personal som har ett legitimt affärsbehov av sådan åtkomst, och (iii) utföra regelbundna granskningar för att validera efterlevnaden av dessa standarder.

C. Shopify-anställda: Shopify-anställda som har behörighet att få åtkomst till dina kundpersonuppgifter är bundna av sekretesskyldigheter som en del av sina anställningsvillkor. Shopify kommer att implementera och upprätthålla säkerhetsutbildningsprogram för anställda gällande Shopifys informationssäkerhetskrav. Utbildningsprogrammen för säkerhetsmedvetenhet kommer att ses över och uppdateras regelbundet.

II. Ändringar av denna bilaga

Shopify granskar sina säkerhetsåtgärder då och då och kan komma att uppdatera denna bilaga efter eget gottfinnande. Sådana uppdateringar kommer att ersätta tidigare versioner av detta bilaga från och med det datum då Shopify publicerar den uppdaterade versionen.

BILAGA C: GDPR, GDPR FÖR STORBRITANNIEN OCH BILAGA OM DATABEHANDLING I SCHWEIZ

I de fall där behandlingen av dina kunders personuppgifter enligt DPA omfattas av dataskyddskrav i Europeiska ekonomiska samarbetsområdet ("EES"), Storbritannien ("Storbritannien") eller Schweiz (gemensamt kallade "europeiska dataskyddslagar"), och Shopify agerar som databehandlare, kompletterar bilaga C detta dataskyddsavtal.

I. Behandlingens art och parternas roll

A. Personuppgifter

Enligt denna bilaga ska du agera som personuppgiftsansvarig och Shopify ska agera som personuppgiftsbiträde med avseende på behandlingen av dina kunders personuppgifter enligt beskrivningen i bilaga 1, i den utsträckning det är nödvändigt för att uppfylla de affärsändamål som anges i villkoren och tillhandahålla dig de tjänster du väljer att använda.

II. Parternas skyldigheter

A. Dina skyldigheter

Du ska följa:

● Europeiska dataskyddslagar som är bindande för dig i samband med din användning av Tjänsterna; och

● Dina skyldigheter som anges i DPA, inklusive dina skyldigheter som anges i denna bilaga.

Du försäkrar och garanterar att du har en giltig rättslig grund för att behandla dina kundpersonuppgifter (inklusive att göra sådana uppgifter tillgängliga för Shopify) och att du har erhållit alla nödvändiga samtycken, rättigheter och auktorisationer samt lämnat alla nödvändiga meddelanden till individer för att Shopify ska kunna behandla dina kundpersonuppgifter för att tillhandahålla Tjänsterna, i enlighet med europeiska dataskyddslagar.

B. Shopifys skyldigheter

1. Anvisningar från den personuppgiftsansvarige och överträdelse av europeiska dataskyddslagar

a) Parterna är överens om att Villkoren tillsammans med detta DPA utgör Dina dokumenterade instruktioner gällande Shopifys behandling av din kunds personuppgifter ("Dokumenterade instruktioner").

b) Shopify kommer att behandla dina kundpersonuppgifter som personuppgiftsbiträde: (i) i enlighet med dina dokumenterade instruktioner, eller (ii) för att uppfylla Shopifys skyldigheter enligt tillämplig lag, med förbehåll för eventuella meddelandekrav enligt EES-, EES-medlemsstats-, brittisk eller schweizisk lag som Shopify omfattas av.

c) Shopify kommer att meddela dig om de får en instruktion som de rimligen kan bedöma bryter mot europeiska dataskyddslagar (men Shopify har ingen skyldighet att aktivt övervaka din efterlevnad av europeiska dataskyddslagar).

2. Sekretesskyldighet

Shopify kommer att säkerställa att personer som bemyndigar att behandla dina kundpersonuppgifter antingen ingår skriftliga sekretessavtal eller är föremål för lagstadgade sekretesskyldigheter.

3. Säkerhetsåtgärder

a) Shopify ska implementera och upprätthålla lämpliga tekniska och organisatoriska åtgärder som är utformade för att skydda dina kunders personuppgifter mot obehörig eller olaglig behandling och mot oavsiktlig förlust, förstörelse, skada, stöld, obehörig åtkomst, ändring eller avslöjande, i enlighet med bilaga 2.

b) Med hänsyn till arten av dina kunds personuppgifter och relaterad behandling ska Shopify tillhandahålla sådan rimlig hjälp som du rimligen kan begära för att hjälpa dig att uppfylla dina säkerhetsskyldigheter enligt europeiska dataskyddslagar.

c) Shopify ska utan onödigt dröjsmål meddela dig om ett säkerhetsintrång som leder till oavsiktlig eller olaglig förstörelse, förlust, ändring, obehörigt avslöjande av eller åtkomst till dina kundpersonuppgifter som överförts, lagrats eller på annat sätt behandlats.

d) Shopify samtycker till att utreda alla sådana säkerhetsintrång och vidta kommersiellt rimliga åtgärder för att mildra effekterna.

4. Subprocessor

a) Du godkänner generellt att Shopify anlitar subprocessor för att behandla dina kundpersonuppgifter. Du samtycker vidare till att Shopify kan anlita sina dotterbolag som subprocessor.

b) Shopifys användning av subprocessor för att behandla dina kunders personuppgifter kommer att ske i enlighet med europeiska dataskyddslagar.

c) Shopify upprätthåller en uppdaterad lista över alla subprocessor enligt bilaga 3. Shopify kommer att uppdatera listan över subprocessor vid behov och förse dig med en mekanism för att få meddelande om tillägg eller ersättning av en subprocessor. Du kan invända mot Shopifys användning av en ny subprocessor.

d) I den utsträckning du invänder mot Shopifys användning av en underleverantör, och Shopify inte kan eller vill tillmötesgå sådana förfrågor, kan du säga upp din användning av de berörda tjänsterna inom 30 dagar efter sådan anmälan i enlighet med villkoren.

e) Om Shopify anlitar en ny underleverantör ska Shopify ingå en skriftligt överenskommelse med subprocessor och Shopify ska ålägga underleverantören avtalsenliga skyldigheter som i huvudsak är desamma som de som anges i detta databehandlingsavtal. Shopify ska vara fullt ansvarigt för sina subprocessor handlingar och underlåtenheter i samma utsträckning som Shopify skulle vara ansvarigt om de utförde varje subprocessor tjänster direkt enligt villkoren i detta databehandlingsavtal. Shopifys ansvar ska dock vara föremål för de villkor och begränsning av ansvar som anges i Villkoren.

5. Bistånd till den registeransvarige
Med hänsyn till arten av dina kundpersonuppgifter och relaterad behandling ska Shopify tillhandahålla sådan rimlig hjälp som du rimligen kan begära för att hjälpa dig att uppfylla dina skyldigheter:

● för att svara på begäran om datarättigheter enligt europeiska dataskyddslagar, avseende all behandling av dina kunders personuppgifter av Shopify;

● att underrätta relevanta myndigheter och/eller registrerade om en personuppgiftsdataläcka;

● att genomföra konsekvensbedömningar gällande dataskydd och förhandssamråd;

● för att säkerställa säkerheten för behandlingen i enlighet med avsnitt 3.

6. Bedömning av efterlevnad

a) Shopify kan fullgöra din rätt till granskning enligt europeiska dataskyddslagar avseende behandlingen av dina kunders personuppgifter genom att – på din skriftliga förfrågan och med förbehåll för sekretess – förse dig med:

(i) Shopifys senaste resultat från revisionsrapport, antingen från Shopifys egna revisioner eller utarbetade av en oberoende tredjepartsrevisor;
(ii) ytterligare information som Shopify kontrollerar om en dataskyddsmyndighet eller myndighet begär det.

b) Förutsatt att och endast i den utsträckning europeiska dataskyddslagar ger dig denna rätt, får du utöva din granskningsrätt: (i) i den utsträckning en oberoende internationellt erkänd revisor intygar att Shopifys tillhandahållande av en granskningsrapport inte ger tillräcklig information för att du ska kunna verifiera Shopifys efterlevnad av detta DPA och europeiska dataskyddslagar eller (ii) i den utsträckning som är nödvändig för att du ska kunna svara på en myndighetsrevision. Varje revision måste uppfylla följande parametrar: (i) utföras av en oberoende tredje part som kommer att ingå ett sekretessavtal med Shopify; (ii) vara begränsad i omfattning till frågor som rimligen krävs, och som ömsesidigt överenskommits, för att du ska kunna bedöma Shopifys efterlevnad av detta DPA och parternas efterlevnad av europeiska dataskyddslagar; (iii) ske vid ett ömsesidigt överenskommet datum och tidpunkt och endast under Shopifys ordinarie öppettider; (iv) ske högst en gång per år (såvida det inte krävs enligt europeiska dataskyddslagar); (v) endast omfatta anläggningar som kontrolleras av Shopify; (vi) begränsa resultaten till endast dina kundpersonuppgifter; och (vii) behandla alla resultat som konfidentiell information i den utsträckning som tillåts enligt europeiska dataskyddslagar. För att förtydliga, kommer Shopify att följa alla dina rättigheter enligt detta avsnitt 6 i enlighet med sina sekretesskyldigheter gentemot tredje part.

7. Bearbetningens slut

a) Under din användning av Tjänsterna kan du använda kontoverktyg för att få åtkomst till, återställa inställningarna för dig själv eller radera dina kundpersonuppgifter.

b) Efter uppsägning kommer Shopify, efter ditt val, att radera eller återlämna dina kundpersonuppgifter. Oaktat det föregående kan Shopify behålla dina kundpersonuppgifter: (i) enligt lag, inklusive europeiska dataskyddslagar; och (ii) i enlighet med sina standardpolicyer för säkerhetskopiering eller lagring av självrisk, förutsatt att Shopify i båda fallen kommer att upprätthålla sekretessen för, och i övrigt följa tillämpliga bestämmelser i detta dataskyddsavtal med avseende på, behållna dina kundpersonuppgifter, och inte ytterligare behandla behållna dina kundpersonuppgifter förutom för sådant/sådana ändamål och för den varaktighet som tillåts enligt sådan tillämplig lag.

8. Internationella överföringar

a) Med förbehåll för att följa europeiska dataskyddslagar kan Shopify International Ltd. komma att överföra dina kundpersonuppgifter som behandlats enligt detta bilaga utanför EES, Storbritannien och Schweiz i den utsträckning det är nödvändigt för att tillhandahålla sina tjänster (" Internationella överföringar ").

b) Sådana överföringar består huvudsakligen av överföring av dina kundpersonuppgifter till Shopify Inc., baserat i Kanada, som omfattas av ett beslut från EU-kommissionen 2002/2/EG daterat 20 december 2001 om adekvat skydd av personuppgifter enligt den kanadensiska lagen om skydd av personuppgifter och elektroniska dokument.

c) Alla internationella överföringar till länder som inte säkerställer en adekvat dataskyddsnivå i enlighet med europeiska dataskyddslagar kommer att omfattas av lämpliga skyddsåtgärder, inklusive följande överföringsmekanismer:

● de relevanta modulerna enligt standardavtalsklausulerna från 2021 som godkänts av Europeiska kommissionen i dess beslut 2021/914/EG daterat 4 juni 2021;

● Tillägget om internationell dataöverföring till Europeiska kommissionens standardavtalsklausuler för internationella dataöverföringar utfärdat av Storbritanniens informationskommissionärs kontor enligt S119A(1) i Storbritanniens dataskyddslag 2018;

● Standardavtalsklausulerna från 2021 i dess ändrade lydelse för att uppfylla kraven i den schweiziska federala dataskyddslagen (i dess ändrade lydelse) av den 19 juni 1992, reviderad den 25 september 2001; och

● eventuella standardavtalsklausuler, tillägg för internationell dataöverföring eller andra klausuler, tillägg eller överföringsmekanismer som kan ersätta de nuvarande klausulerna och tillägget.

d) Shopify kan, efter eget gottfinnande, ersätta överföringsmekanismer för att säkerställa att dataöverföringar följer gällande lagar. Om en överföring baseras på standardavtalsklausuler och sådana klausuler uppdateras av relevanta myndigheter, kommer sådana uppdaterade klausuler eller liknande avtal att införlivas i denna DPA som om de anges fullständigt häri.

BILAGA 1 - PERSONUPPGIFTER

BESKRIVNING AV BEHANDLINGEN AV PERSONUPPGIFTER

I. Behandlingens föremål

Tillhandahållande av Shopify-tjänster till handlare.

II. Kategorier av registrerade

Kund hos handlare

III. Kategorier av personuppgifter som behandlas

Se bilaga A ovan.

IV. Överföringsfrekvens

Kontinuerlig.

V. Bearbetningens art

Insamling, registrering, lagring, åtkomst, användning, överföring och radering av personuppgifter enligt beskrivningen i villkoren.

VI. Ändamål för vilka personuppgifter behandlas för den personuppgiftsansvariges räkning

För prestanda och förbättring av Tjänsterna enligt beskrivningen i Villkoren.

VII. Behandlingens varaktighet

Tjänsternas varaktighet enligt Villkoren eller tillämplig överenskommelse, plus perioden efter sådant utgång tills anonymisering, retur eller radering av data.

VIII. Behörig tillsynsmyndighet Den behöriga tillsynsmyndigheten ska vara Irlands dataskyddskommission.

BILAGA 2 - SÄKERHETSÅTGÄRDER

Information om säkerhetsåtgärder finns i bilaga B till DPA.

BILAGA 3 - FÖRTECKNING ÖVER SUBPROCESSOR

De subprocessor som Shopify använder för att utföra Tjänsterna enligt Villkoren listas här.

Subprocessor kommer att behandla de kategorier av personuppgifter som beskrivs ovan i samband med Tjänsterna under hela deras avtal med Shopify.

Bilaga D: Amerikansk dataskyddslag

Detta avsnitt gäller endast i den utsträckning att: (i) amerikanska dataskyddslagar gäller för dig och/eller dina kunders personuppgifter i samband med din användning av tjänsterna; (ii) följande bestämmelser krävs enligt amerikanska dataskyddslagar; och (iii) Shopify agerar som databehandlare eller tjänsteleverantör. För att undvika missförstånd ska denna bilaga D inte tillämpas på de behandlingsaktiviteter som beskrivs i bilaga E.

a) Parterna är överens om att Villkoren tillsammans med detta DPA utgör dina dokumenterade instruktioner gällande Shopifys behandling av din kunds personuppgifter ("Dokumenterade instruktioner").

B. Förutom vad som anges i bilaga E, om du får vissa Förbättrade tjänster, kommer Shopify inte att: (i) behålla, använda eller lämna ut dina kundpersonuppgifter utanför sin direkta affärsrelation med dig eller för något annat ändamål än för de begränsade och specificerade syften som identifieras i detta DPA och/eller Villkoren, inklusive att tillhandahålla, utveckla och förbättra Tjänsterna eller som annars är tillåtet enligt tillämpliga amerikanska dataskyddslagar, eller (ii) "sälja" eller "dela" dina kundpersonuppgifter eller bedriva "riktad reklam" med dina kundpersonuppgifter i den mening som avses i CCPA eller andra amerikanska dataskyddslagar; eller (iii) kombinera dina kundpersonuppgifter med personuppgifter som Shopify tar emot från andra källor, i varje enskilt fall förutom vad som är tillåtet enligt amerikanska dataskyddslagar.

C. Shopify kommer att: (i) tillhandahålla samma nivå av integritetsskydd som krävs av företag eller personuppgiftsansvariga enligt amerikansk dataskyddslag, och informera dig om de fastställer att de inte längre kan uppfylla dessa skyldigheter, i vilket fall du kan vidta rimliga och lämpliga åtgärder för att stoppa eller åtgärda obehörig behandling av dina kundpersonuppgifter, (ii) säkerställa att personal som de bemyndigar att behandla dina kundpersonuppgifter antingen ingår skriftliga sekretessavtal eller är föremål för lagstadgade sekretesskyldigheter, (iii) på rimlig skriftlig förfrågan, och som en del av att göra det möjligt för dig att vidta rimliga och lämpliga åtgärder för att säkerställa att Shopify använder dina kundpersonuppgifter på ett sätt som överensstämmer med amerikansk dataskyddslag, tillhandahålla SOC2-rapporten som visar en rimlig bedömning av Shopifys informationssäkerhetsprogram; och (iv) vid uppsägning av sina tjänster till dig kommer Shopify att initiera sin rensningsprocess för att radera, returnera eller avidentifiera dina kundpersonuppgifter som tillhandahållits Shopify för behandling enbart som personuppgiftsbiträde eller tjänsteleverantör.

C. Du försäkrar och garanterar att du inte kommer att dela några personuppgifter med Shopify som tillhör en person som har utövat en rätt att neka detta, som du har åtagit dig att respektera eller några känsliga personuppgifter som tillhör en person som inte har samtyckt till behandling av sådana känsliga uppgifter i enlighet med kraven enligt tillämpliga dataskyddslagar.

Bilaga E: Shopify som personuppgiftsansvarig eller företag för förbättrade tjänster

Shopify ska agera som personuppgiftsansvarig eller företag när du mottager de utökade tjänsterna enligt definitionen i avsnitt 9.2 i [Användarvillkoren]{{site, url(path: '/legal/terms')} Shopify kan komma att uppdatera de tjänster och produkter för vilka det agerar som personuppgiftsansvarig eller företag från tid till annan.

Som en del av Shopifys tillhandahållande av de förbättrade tjänsterna samtycker du till att Shopify kommer att behandla dina kundpersonuppgifter som personuppgiftsansvarig eller företag enligt tillämpliga dataskyddslagar för att tillhandahålla, utveckla och förbättra analyser, produktanpassning, reklam och andra tjänster till dig som inkluderar dina kunders interaktioner och transaktioner med din butik, med andra handlare och med Shopify. När Shopify behandlar dina kundpersonuppgifter på detta sätt gäller Shopifys konsumentpolicy och denna bilaga E till denna DPA. Du kan inaktivera Shopifys användning av dina kundpersonuppgifter på detta sätt genom att inaktivera Shopify Network Intelligence här, även om du inte kommer att kunna använda vissa appar eller funktioner, vilka anges.

Sekretessmeddelanden, transparens och rättigheter. I enlighet med tillämpliga dataskyddslagar ska du meddela berörda individer alla upplysningar som är nödvändiga för att Shopify lagligt och rättvist ska kunna behandla dina kundpersonuppgifter för att tillhandahålla dig förbättrade tjänster i samband med denna bilaga E till dataskyddsavtalet, inklusive genom att tillhandahålla en länk till Shopifys policy for konsumentintegritet i din integritetspolicy och tillhandahålla de upplysningar som anges i avsnitt 9.2.5 i [Användarvillkoren]{{site, url(path: '/legal/terms')} }).

Europeiska krav. Om du är baserad i EES, Storbritannien eller Schweiz, eller om dina kunder är i EES, Storbritannien eller Schweiz, samtycker du till, försäkrar och garanterar att du har inhämtat samtycke från kunder och ger kunderna möjlighet att utöva rätten att avanmäla samtycke, invända mot viss behandling och välja bort viss behandling, där det krävs enligt tillämpliga dataskyddslagar. För att undvika missförstånd måste du inhämta samtycke till riktad annonsering som en del av de förbättrade tjänsterna och användningen av cookies eller andra lokala lagringstekniker i den utsträckning det krävs enligt tillämpliga dataskyddslagar. Mer information om hur du implementerar dessa krav finns här.

Personuppgiftsansvarigs ansvar. Du är personuppgiftsansvarig för dina kunds personuppgifter och ska individuellt fastställa ändamålen och medlen för din behandling av dina kunds personuppgifter och hur dina kunds personuppgifter ska användas och behandlas, inklusive att fastställa den rättsliga grunden för din behandling enligt tillämplig dataskyddslag. Shopify är personuppgiftsansvarig för dina kunds personuppgifter som behandlas i enlighet med denna bilaga E och ska individuellt fastställa ändamålen och medlen för behandlingen av sådana personuppgifter och hur sådana personuppgifter ska användas och behandlas, inklusive att fastställa den rättsliga grunden för behandlingen enligt tillämplig dataskyddslag.

Varje part är individuellt ansvarig för att svara på begäran om datarättigheter som den tar emot avseende sin behandling av dina kunders personuppgifter i egenskap av personuppgiftsansvarig.

Ingen effekt på återstående del av DPA. Denna bilaga E ska inte i övrigt påverka några villkor, inklusive återstående del av detta DPA, som återspeglar en relation mellan personuppgiftsansvarig och personuppgiftsbehandlare mellan handlare och Shopify.