Addendum over gegevensverwerking van Shopify

Laatst bijgewerkt op: 10 september 2024

Addendum over Gegevensverwerking van Shopify

I. DOEL

Dit Addendum over Gegevensverwerking van Shopify (' Shopify Data Processing Addendum', 'DPA') is een aanvulling op en is door middel van verwijzing opgenomen in de Servicevoorwaarden van Shopify, samen met alle voorwaarden die van toepassing zijn op eventuele aanvullende diensten van Shopify die je voor jezelf wilt gebruiken (de 'Voorwaarden') en tussen jou (of 'Merchant') en de Shopify-contractant zoals uiteengezet in de Voorwaarden ('Shopify'), die de specifieke zakelijke doeleinden en diensten met betrekking tot de DPA uiteenzetten. In geval van tegenstrijdigheid tussen de Voorwaarden en deze DPA, prevaleert de DPA met betrekking tot de verwerking van jouw Persoonsgegevens.

Waar de verwerking van Persoonsgegevens op grond van de DPA onderworpen is aan gegevensbeschermingsvereisten in de Europese Economische Ruimte (de 'EER'), het Verenigd Koninkrijk (het 'VK') of Zwitserland, vult Bijlage C deze DPA aan. In geval van tegenstrijdigheden tussen Bijlage C en andere artikelen van deze DPA, prevaleert Bijlage C met betrekking tot de verwerking van jouw Persoonsgegevens die onderhevig zijn aan de privacyvereisten van de EER, het Verenigd Koninkrijk en Zwitserland.

Jij en Shopify (elk een 'Partij', samen de 'Partijen'), komen overeen dat deze DPA de verplichtingen van de Partijen beschrijft met betrekking tot de verwerking van jouw Persoonsgegevens in verband met de Voorwaarden en jouw gebruik van de Diensten. Voor alle duidelijkheid, deze DPA is niet van toepassing op de verwerking van Persoonsgegevens door Shopify als een Verwerkingsverantwoordelijke, met inbegrip van Persoonsgegevens over Klanten die het ontvangt als gevolg van de directe relatie of opzettelijke interactie van de Klant met Shopify, zoals via de klantgerichte diensten van Shopify, zoals Shop en Shop Pay.

II. DEFINITIES

Begrippen met een hoofdletter die in deze DPA worden gebruikt maar niet worden gedefinieerd, hebben dezelfde betekenis als in de Voorwaarden:

A.Toepasselijke Wetgeving inzake Gegevensbescherming: Alle gegevensbeschermings- of privacywetten die van toepassing zijn op de verwerking door Shopify van jouw Persoonsgegevens op grond van de Voorwaarden, hun uitvoeringsvoorschriften en secundaire wetgeving, elk zoals van tijd tot tijd kan worden gewijzigd, bijgewerkt of vervangen, met inbegrip van (indien van toepassing, op basis van de locatie of woonplaats van de Merchant en/of je Klant(en)):

1. Canada's Wet bescherming persoonsgegevens en elektronische documenten 2000 ('Personal Information Protection and Electronic Documents Act 2000', 'PIPEDA');

2. de (a) Privacywet voor consumenten van Californië, zoals gewijzigd door de Californische wet op privacyrechten ('California Privacy Rights Act', 'CCPA'), (b) Wet bescherming consumentengegevens van Virginia, (c) Privacywet van Colorado, (d) Gegevensprivacywet van Connecticut, (e) Privacywet voor consumenten van Utah, (f) Privacywet voor consumenten van Oregon, (g) Wet voor privacy en beveiliging van gegevens van Texas, (h) Wet op de privacy van consumentengegevens in Montana en (i) zodra deze van kracht zijn, soortgelijke uitgebreide privacywetten in andere Amerikaanse staten (samen, 'Amerikaanse Wetgeving inzake Gegevensbescherming');

3. Algemene regeling voor gegevensbescherming (Verordening (EU) 2016/679) ('GDPR') en alle toepasselijke nationale uitvoeringswetten;

4. EU e-Privacyrichtlijn (Richtlijn 2002/58/EG), zoals gewijzigd ('e-Privacywet');
pr

5. Algemene regeling voor gegevensbescherming voor het VK ('GDPR VK') en de Wet op de gegevensbescherming van het VK ('DPA VK');

6. Wet bescherming persoonsgegevens van Singapore ('PDPA'); en

7. de Federale Wet op Gegevensbescherming van Zwitserland ('FDPA Zwitserland')

B. Klant: Een individu of entiteit die een product, goed of dienst van je winkel(s) bezoekt, gebruikt en/of koopt.

C. Persoonsgegevens: Informatie of gegevens gedefinieerd als 'persoonsgegevens', 'persoonlijke informatie' of 'persoonlijk identificeerbare informatie' (of analoge term) op grond van de Toepasselijke Wetgeving inzake Gegevensbescherming van of over jouw Klanten die beschikbaar wordt gesteld aan Shopify (of externe partijen die handelen namens Shopify) door jou (of externe partijen die namens jou handelen) als onderdeel van het gebruik van de Diensten, evenals andere persoonlijke gegevens die je kiest om te delen met Shopify over jouw Klanten als onderdeel van het gebruik van de Diensten. Voor de duidelijkheid, Persoonsgegevens omvatten geen persoonlijke gegevens over Klanten die Shopify verwerkt als een Verwerkingsverantwoordelijke en/of ontvangt als gevolg van de directe relatie of opzettelijke interactie van de Klant met Shopify of met andere Shopify-merchants.

D. Aanvraag gegevensrechten: Een geldige en rechtmatige aanvraag van een persoon om beschikbare rechten uit te oefenen met betrekking tot Persoonsgegevens op grond van een Toepasselijke Wet inzake Gegevensbescherming.

E. Verwerkingsverantwoordelijke: De Partij die het doel van en de middelen voor de verwerking van Persoonsgegevens vaststelt, of zoals anderszins gedefinieerd op grond van een Toepasselijke Wet inzake Gegevensbescherming.

F. Verwerker of Dienstverlener: De Partij of andere entiteit of onderneming die diensten verleent namens en Persoonsgegevens verwerkt op aanwijzing en voor rekening van de Verwerkingsverantwoordelijke, en zal worden geïnterpreteerd in overeenstemming met de Toepasselijke Wetgeving inzake Gegevensbescherming.

G. Inbreuk op Persoonsgegevens:: Met betrekking tot je Persoonsgegevens, zal worden geïnterpreteerd in overeenstemming met de Toepasselijke Wetgeving inzake Gegevensbescherming.

H. 'Verwerking', 'verwerkingen,' of 'verwerken': (a) Elke bewerking of reeks bewerkingen die wordt uitgevoerd op Persoonsgegevens of op verzamelingen van Persoonsgegevens, al dan niet via geautomatiseerde middelen, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, openbaar maken door middel van uitwisseling, verspreiding of andere wijze van beschikbaar maken, samenbrengen of combineren, beperken, wissen of vernietigen; of (b) de definitie die aan dergelijke term(en) wordt gegeven op grond van de Toepasselijke Wetgeving inzake Gegevensbescherming.

I. 'Subverwerker(s)': Gelieerde ondernemingen of externe Verwerkers of Dienstverleners die in opdracht van Shopify Persoonsgegevens kunnen verwerken ten behoeve van het leveren van de Diensten.

J. '**Je/jij **', 'jouw', of 'Merchant': Duidt op het bedrijf dat de Diensten gebruikt en Partij is bij de Voorwaarden met Shopify.

III. AARD VAN DE VERWERKING EN ROL VAN DE PARTIJEN

Shopify ontvangt en verwerkt jouw Persoonsgegevens om jou de Diensten te leveren en anderszins zoals hieronder uiteengezet. Afhankelijk van welke van de Diensten jij aanvraagt of gebruikt, zal Shopify de categorieën van Persoonsgegevens verwerken zoals beschreven in **Bijlage A,**op de manier en op de grondslagen die daarin zijn opgenomen.

Shopify zal jouw Persoonsgegevens als Verwerker of Dienstverlener alleen verwerken als dit nodig is om zijn Diensten te leveren en te verbeteren of als dit anderszins is toegestaan door de Toepasselijke Wetgeving inzake Gegevensbescherming. Als onderdeel van de levering en voortdurende verbetering van zijn Diensten, kan Shopify jouw Persoonsgegevens samenvoegen, anonimiseren of de-identificeren.

Voor zover Shopify van jou Persoonsgegevens ontvangt die zijn gede-identificeerd, zal Shopify de gegevens alleen op een gede-identificeerde manier onderhouden en gebruiken.

IV. VERPLICHTINGEN VAN PARTIJEN

Het volgende artikel beschrijft de respectieve verplichtingen van de Partijen met betrekking tot de verwerking van Persoonsgegevens die onder deze DPA vallen.

A. Algemene naleving

1. De Partijen zullen voldoen aan hun respectieve verplichtingen krachtens de Toepasselijke Wetgeving inzake Gegevensbescherming.

2. Shopify is niet verplicht om je uit te leggen of te adviseren over jouw verplichtingen op grond van de Toepasselijke Wetgeving inzake Gegevensbescherming, inclusief met betrekking tot Persoonsgegevens die onder deze DPA vallen. Je bent zelf verantwoordelijk om jouw wettelijke en regelgevende verplichtingen te bepalen, met inbegrip van het evalueren of de technische en organisatorische maatregelen van de Diensten in overeenstemming zijn met jouw onafhankelijke wettelijke en regelgevende verplichtingen.

B. Verplichtingen van Shopify

1. Gegevensbeveiliging
Shopify zal passende technische en organisatorische maatregelen implementeren en onderhouden die zijn ontworpen om jouw Persoonsgegevens te beschermen tegen ongeoorloofde of onwettige verwerking en tegen onopzettelijk verlies, vernietiging, schade, diefstal, wijziging of openbaarmaking, zoals uiteengezet in Bijlage B.

2. Kennisgeving van Inbreuk op Persoonsgegevens en Onderzoek
a) Zoals vereist door de Toepasselijke Wetgeving inzake Gegevensbescherming, zal Shopify jou op de hoogte stellen zodra Shopify een Inbreuk op Persoonsgegevens bevestigt.

b) Dergelijke kennisgeving bevat de informatie die vereist is op grond van de Toepasselijke Wetgeving inzake Gegevensbescherming voor zover deze informatie redelijkerwijs beschikbaar is voor Shopify. De reactie van Shopify op, of kennisgeving van, een Inbreuk op Persoonsgegevens is geen erkenning door Shopify van enige fout of aansprakelijkheid.

c) Shopify stemt ermee in om elke Inbreuk op Persoonsgegevens te onderzoeken en commercieel gezien redelijke inspanningen te doen om de gevolgen te identificeren, te voorkomen, te beperken en te verhelpen.

3. Aanvragen gegevensrechten
a) Voor zover vereist op grond van de Toepasselijke Wetgeving inzake Gegevensbescherming, zal Shopify jouw vermogen om Aanvragen gegevensrechten van jouw Klanten te verwerken en erop te reageren met betrekking tot jouw gebruik van de Diensten vergemakkelijken.

b) Om hulp te krijgen bij het reageren op een dergelijke Aanvraag gegevensrechten, stuur je de Aanvraag door naar Shopify via de administratieve console/portal voor Shopify-merchants, tenzij Shopify je op de hoogte stelt van een ander mechanisme.

C. Jouw verplichtingen met betrekking tot Persoonsgegevens

1. Privacyverklaringen en transparantie: Je verklaart en garandeert dat je voldoet aan alle verplichtingen op grond van Toepasselijke Wetgeving inzake Gegevensbescherming om kennisgeving en transparantie te bieden met betrekking tot jouw verwerking van Persoonsgegevens op grond van de Voorwaarden en in verband met jouw gebruik van de Diensten. Voor zover vereist door Toepasselijke Wetgeving inzake Gegevensbescherming, zul je aan de relevante personen alle bekendmakingen doen die nodig zijn voor Shopify om Persoonsgegevens rechtmatig en eerlijk te verwerken in verband met deze DPA, inclusief het verstrekken van een link naar het Privacybeleid van Shopify of naar jouw eigen Privacybeleid.

2. Rechten en Machtigingen van de Klant: Je verklaart en garandeert dat je alle noodzakelijke rechten, machtigingen en toestemmingen hebt om Persoonsgegevens beschikbaar te stellen aan Shopify in overeenstemming met de Voorwaarden, jouw gebruik van de Diensten die je ontvangt en de Toepasselijke Wetgeving inzake Gegevensbescherming.

3. Aanvragen gegevensrechten: Je verklaart en garandeert dat je jouw Klanten de mogelijkheid biedt om Aanvragen voor gegevensrechten uit te voeren, zoals vereist door de Toepasselijke Wetgeving inzake Gegevensbescherming, met betrekking tot alle Persoonsgegevens verwerkt door Shopify waarvoor je de Verwerkingsverantwoordelijke bent.

4. Vragen van regelgevende instanties: Tenzij dit verboden is door de toepasselijke wetgeving, stel je ons onmiddellijk op de hoogte in overeenstemming met de Kennisgevingsbepaling in de Voorwaarden van enig onderzoek of klacht van een overheidsinstantie, regelgevende instantie of andere externe partij met betrekking tot jouw gebruik van de Diensten.

V. AMERIKAANSE WETGEVING INZAKE GEGEVENSBESCHERMING

Dit artikel is alleen van toepassing voor zover: (i) de Amerikaanse Wetgeving inzake Gegevensbescherming op jou van toepassing is in verband met jouw gebruik van de Diensten; en (ii) de volgende bepalingen vereist zijn volgens de Amerikaanse Wetgeving inzake Gegevensbescherming en jij een 'bedrijf' of 'verwerkingsverantwoordelijke' bent volgens deze wetgeving.

A. Shopify zal niet: (i) dergelijke Persoonsgegevens behouden, gebruiken of bekendmaken buiten de directe zakelijke relatie met jou of voor enig ander doel dan voor de beperkte en gespecificeerde doeleinden die in deze DPA en/of de Voorwaarden worden genoemd, met inbegrip van het behouden, gebruiken of bekendmaken van dergelijke Persoonsgegevens voor een commercieel doel anders dan voor de beperkte en gespecificeerde doeleinden die in deze DPA en/of de Voorwaarden worden genoemd, (ii) dergelijke Persoonsgegevens 'verkopen' of 'delen' in de zin van de Californische wet op privacyrechten ('California Privacy Rights Act', 'CCPA'); of (iii) dergelijke Persoonsgegevens combineren met Persoonsgegevens die het ontvangt van andere bronnen, in elk geval behalve zoals toegestaan op grond van de Amerikaanse Wetgeving inzake Gegevensbescherming.

B. Shopify zal (i) hetzelfde niveau van privacybescherming bieden dat wordt vereist van bedrijven of Verwerkingsverantwoordelijken door dergelijke wetten, en je informeren als het vaststelt dat het niet langer aan deze verplichtingen kan voldoen, in welk geval jij redelijke en passende stappen kunt ondernemen om ongeautoriseerde verwerking van dergelijke Persoonsgegevens te stoppen of te herstellen, (ii) ervoor zorgen dat het personeel dat het machtigt om Persoonsgegevens te verwerken, schriftelijke geheimhoudingsovereenkomsten aangaat of onderworpen is aan wettelijke geheimhoudingsverplichtingen, (iii) op redelijk schriftelijk verzoek, en als onderdeel van het jou mogelijk maken om redelijke en passende stappen te ondernemen om ervoor te zorgen dat Shopify dergelijke Persoonsgegevens gebruikt op een manier die in overeenstemming is met de Amerikaanse Wetgeving inzake Gegevensbescherming, jou voorzien van het SOC2-rapport waaruit een redelijke beoordeling van het informatiebeveiligingsprogramma van Shopify blijkt; en (iv) bij beëindiging van zijn Diensten aan jou, zal Shopify zijn zuiveringsproces starten om de Persoonsgegevens te verwijderen of te de-identificeren.

C. Je verklaart en garandeert dat je geen Persoonsgegevens met Shopify deelt van een individu dat gebruik heeft gemaakt van een afmeldrecht dat je hebt toegezegd te respecteren of gevoelige Persoonsgegevens van een individu dat geen toestemming heeft gegeven voor de verwerking van dergelijke gevoelige gegevens.

VI. DIVERSE BEPALINGEN

A. Wereldwijde gegevensoverdrachten
Je erkent dat Persoonsgegevens kunnen worden overgedragen en verwerkt in elk land waarin Shopify, zijn gelieerde ondernemingen of externe dienstverleners zijn gevestigd (met inbegrip van Singapore en Canada). Elke overdracht van Persoonsgegevens naar deze ontvangers zal plaatsvinden in overeenstemming met de Toepasselijke Wetgeving inzake Gegevensbescherming. Voor meer informatie over internationale doorgifte van gegevens, waarbij Shopify onderworpen is aan privacyvereisten in de EER, het Verenigd Koninkrijk of Zwitserland, zie artikel II(B)(8) van Bijlage C.

B. Reactie op juridische aanvragen

  1. Je erkent dat, in de loop van het leveren van de Diensten aan jou, Shopify je Persoonsgegevens kan delen (i) om te voldoen aan wettelijke eisen of om te reageren op gerechtelijke bevelen of andere soortgelijke eisen van de overheid of regelgevende instanties; of (ii) om vermoede fraude, bedreigingen van de fysieke veiligheid, illegale activiteiten of schendingen van een contract (zoals de Voorwaarden) of ons beleid (zoals ons Beleid voor aanvaardbaar gebruik) te voorkomen.

  2. Shopify zal redelijke inspanningen leveren alvorens dergelijke Persoonsgegevens te produceren om ervoor te zorgen dat een dergelijke openbaarmaking is toegestaan op grond van de Toepasselijke Wetgeving inzake Gegevensbescherming en wordt behandeld als vertrouwelijke informatie binnen het toepasselijke juridische kader.

C. Openbaarmaking in Bedrijfstransacties
Je erkent dat, in de loop van het leveren van de Diensten aan jou, Shopify verplicht kan worden om Persoonsgegevens te delen met potentiële tegenpartijen bij een bedrijfs- of herstructureringstransactie.

D. Het gebruik door Shopify van Subverwerkers/Dienstverleners

  1. Je erkent dat, in de loop van het leveren van de Diensten aan jou, Shopify Subverwerkers kan gebruiken om Persoonsgegevens te verwerken. Shopify houdt een bijgewerkte lijst van alle gebruikte Subverwerkers bij. Als de Toepasselijke Wetgeving inzake Gegevensbescherming je dergelijke rechten toekent, mag je bezwaar maken tegen het gebruik van een Subverwerker door Shopify, en als Shopify niet in staat of bereid is om aan dergelijke aanvragen te voldoen, mag je, in overeenstemming met dergelijke wetgeving, je gebruik van de betreffende Diensten binnen 30 dagen na een dergelijke kennisgeving beëindigen in overeenstemming met de Voorwaarden.

  2. Het gebruik van Subverwerkers door Shopify voor het verwerken van Persoonsgegevens die je verstrekt, zal in overeenstemming zijn met de Toepasselijke Wetgeving inzake Gegevensbescherming. Wanneer Shopify een Subverwerker inschakelt, zal Shopify een schriftelijke overeenkomst aangaan met de Subverwerker die contractuele verplichtingen oplegt die in wezen gelijk zijn aan de verplichtingen die in deze DPA zijn opgenomen.

E. Wijziging van de DPA
Je erkent en gaat ermee akkoord dat Shopify deze DPA van tijd tot tijd kan wijzigen door het plaatsen van de relevante gewijzigde en geherformuleerde DPA op de website van Shopify, beschikbaar op https://shopify.com/legal/dpa. Dergelijke wijzigingen aan de DPA zijn van kracht vanaf de datum van publicatie. Je voortgezette gebruik van de Diensten nadat de gewijzigde DPA op de website van Shopify is geplaatst, houdt in dat je akkoord gaat met de gewijzigde DPA en deze accepteert. Als je niet akkoord gaat met eventuele wijzigingen in de DPA, moet je niet doorgaan met het gebruik van de Dienst.

VII Bijlagen

  1. Bijlage A - Categorieën Persoonsgegevens
  2. Bijlage B - Gegevensbeveiliging
  3. Bijlage C - GDPR, GDPR VK en Bijlage Gegevensverwerking Zwitserland

BIJLAGE A: CATEGORIEËN PERSOONSGEGEVENS

Als onderdeel van jouw gebruik van de Diensten, en afhankelijk van welke Diensten je gebruikt, kunnen we de volgende categorieën Persoonsgegevens ontvangen en verwerken om de Diensten te leveren:

  • Klantnaam, e-mail, contact-, factuur- en verzendgegevens.
  • Aankoop- en andere transactiegegevens van jouw winkel(s).
  • Update(s) over de status van transactie(s) met jou of jouw winkel(s)
  • Klantactiviteiten in je winkel(s), inclusief bekeken producten en/of producten in winkelwagens.
  • Signalen van klantenvoorkeuren, waaronder Wereldwijde privacybescherming ('Global Privacy Control', 'GPC'), aanmeld- en afmeldsignalen.
  • Apparaatgegevens van de klant voor het apparaat of de apparaten die wordt/worden gebruikt bij het bezoeken van jouw winkel(s), inclusief IP-adres, browser en netwerkactiviteit.
  • Andere informatie over de interacties van Klanten met jou.
  • Alle andere Persoonsgegevens die je beschikbaar stelt aan Shopify.

BIJLAGE B: GEGEVENSBEVEILIGING

Shopify zal een informatiebeveiligingsprogramma onderhouden dat is ontworpen om (a) jou in staat te stellen je Persoonsgegevens te beveiligen tegen ongeoorloofde of onwettige verwerking en tegen onopzettelijk verlies, vernietiging, schade, diefstal, wijziging of openbaarmaking; (b) redelijkerwijs voorzienbare risico's te identificeren voor de beveiliging en beschikbaarheid van de Diensten die je ontvangt; en (c) beveiligingsrisico's voor de Diensten te minimaliseren.

I. Het informatiebeveiligingsprogramma van Shopify zal de volgende waarborgen bevatten:

A. Logische veiligheid

  1. Toegangscontroles Shopify zal zijn systemen alleen toegankelijk maken voor bevoegd personeel, en alleen als dat nodig is om de Diensten te onderhouden en te leveren. Shopify zal toegangscontroles en beleid onderhouden ontworpen om autorisaties te beheren voor toegang tot zijn systemen, met inbegrip van het gebruik van firewalls en/of andere technologie en authenticatiecontroles.

  2. Beperkte Gebruikerstoegang Shopify zal (i) toegang tot zijn systemen verlenen en beperken in overeenstemming met het Principle of Least Privilege op basis van de functies van het personeel, en (ii) tweeledige verificatie (2FA) vereisen voor toegang tot zijn systemen.

  3. Kwetsbaarheidsbeoordelingen Shopify zal een kwetsbaarheidsbeoordelings- en penetratietestprogramma onderhouden, dat verantwoordelijk is voor het onderzoeken en volgen van geïdentificeerde problemen met de Diensten om deze waar nodig op te lossen.

  4. ** Applicatiebeveiliging** Shopify onderhoudt een applicatiebeveiligingsprogramma dat verantwoordelijk is voor het beschermen van Diensten tegen applicatiebeveiligingsbedreigingen.

  5. Veranderingsbeheer Shopify zal controles onderhouden die zijn ontworpen om wijzigingen in bestaande Dienst-middelen te loggen, autoriseren, testen, goedkeuren en documenteren, en zal wijzigingsdetails documenteren binnen zijn veranderingsbeheer of implementatiehulpmiddelen. Shopify zal veranderingen testen volgens zijn veranderingsbeheerstandaarden voorafgaand aan de migratie naar productie.

  6. ** Gegevensintegriteit** In voorkomend geval zal Shopify controles onderhouden die zijn ontworpen om gegevensintegriteit te bieden tijdens de overdracht, opslag en verwerking binnen de Diensten.

  7. Beschikbaarheid Shopify zal (i) waar nodig redundantie implementeren voor de Diensten om het effect van een storing op de Diensten te minimaliseren, (ii) de Diensten ontwerpen om storingen te anticiperen en te tolereren, en (iii) passende processen implementeren die zijn ontworpen om Persoonsgegevensverkeer weg te leiden van de getroffen gebieden wanneer dat nodig is om te herstellen van storingen.

  8. Bedrijfscontinuïteit en herstel bij noodsituaties Shopify zal een risicobeheerprogramma onderhouden dat is ontworpen om de continuïteit van zijn kritische bedrijfsfuncties te ondersteunen, met inbegrip van processen en procedures voor de identificatie van, de reactie op en het herstel van gebeurtenissen die de levering van de Diensten van Shopify die je ontvangt kunnen verhinderen of wezenlijk belemmeren.

  9. Incidentenbeheer Shopify biedt je documentatie om beveiligings- of beschikbaarheidsincidenten te melden, beveiligings- of beschikbaarheidsvragen te stellen, en informatie in te dienen over potentiële beveiligings- of beschikbaarheidsproblemen. Shopify onderhoudt corrigerende actieplannen en incidentenbestrijdingsplannen die zijn ontworpen om potentiële bedreigingen van de veiligheid van de Diensten te detecteren, te beperken, te onderzoeken en erop te reageren.

B. Fysieke beveiliging Wanneer dit nodig is om diensten te beschermen zal Shopify (i) redelijke maatregelen implementeren die zijn ontworpen om onbevoegde fysieke toegang, schade, of interferentie met de Diensten te voorkomen, (ii) passende controle-apparaten gebruiken die zijn ontworpen om fysieke toegang tot de Diensten te beperken tot alleen geautoriseerd personeel die een legitieme zakelijke noodzaak voor een dergelijke toegang hebben, en (iii) periodieke controles uitvoeren om de naleving van deze normen te valideren.

C. Werknemers van Shopify Werknemers van Shopify die toegang hebben tot Persoonsgegevens zijn gebonden aan geheimhoudingsverplichtingen als onderdeel van hun arbeidsvoorwaarden. Shopify zal beveiligingsopleidingsprogramma's voor werknemers implementeren en onderhouden met betrekking tot de informatiebeveiligingsvereisten van Shopify. De trainingsprogramma's voor beveiligingsbewustzijn zullen periodiek worden herzien en bijgewerkt.

II. Wijzigingen aan deze Bijlage

Shopify herziet zijn beveiligingsmaatregelen van tijd tot tijd en kan deze Bijlage naar eigen goeddunken bijwerken. Dergelijke updates vervangen eerdere versies van deze Bijlage vanaf de datum dat Shopify de bijgewerkte versie publiceert.

BIJLAGE C: GDPR, GDPR VK EN BIJLAGE GEGEVENSVERWERKING ZWITSERLAND

Waar de verwerking van Persoonsgegevens onder de DPA onderworpen is aan gegevensbeschermingsvereisten in de Europese Economische Ruimte (de 'EER'), het Verenigd Koninkrijk (het 'VK') of Zwitserland (gezamenlijk de 'Europese Wetgeving inzake Gegevensbescherming'), vult Bijlage C deze DPA aan.

I. Aard van de verwerking en rol van de Partijen

A. Persoonsgegevens

  1. Op grond van deze Bijlage treedt je op als Verwerkingsverantwoordelijke en treedt Shopify op als Verwerker met betrekking tot de verwerking van jouw Persoonsgegevens zoals beschreven in Bijlage 1, zoals nodig is om de zakelijke doeleinden zoals beschreven in de Voorwaarden te vervullen en je te voorzien van de Diensten waarvan je gebruik wenst te maken.
  2. Voor alle duidelijkheid, Shopify treedt op als een onafhankelijke Verwerkingsverantwoordelijke met betrekking tot Persoonsgegevens van Klanten die Shopify ontvangt als gevolg van de directe relatie of opzettelijke interacties van de Klant met Shopify, zoals beschreven in het Privacybeleid van Shopify.

II. Verplichtingen van de Partijen

A. Jouw verplichtingen

Je moet voldoen aan:

  • Europese Wetgeving inzake Gegevensbescherming die bindend is voor je bij de uitvoering van deze Bijlage; en
  • Jouw verplichtingen zoals uiteengezet in de DPA, inclusief jouw verplichtingen zoals uiteengezet in deze Bijlage.

Je verklaart en garandeert dat je een geldige wettelijke basis hebt voor het verwerken van de Persoonsgegevens (inclusief het beschikbaar stellen van deze gegevens aan Shopify) en dat je alle noodzakelijke toestemmingen, rechten en autorisaties hebt verkregen en alle noodzakelijke kennisgevingen aan personen hebt gedaan met betrekking tot jouw bekendmaking van Persoonsgegevens aan Shopify om de verwerking van Persoonsgegevens door Shopify mogelijk te maken om de Diensten te leveren, zoals vereist door de Europese Wetgeving inzake Gegevensbescherming.

B. Verplichtingen van Shopify

1. Instructies voor de Verwerkingsverantwoordelijke en schending van de Europese Wetgeving inzake Gegevensbescherming

a) De Partijen komen overeen dat de Voorwaarden en deze DPA tezamen je gedocumenteerde instructies vormen met betrekking tot de verwerking van je Persoonsgegevens door Shopify ('Gedocumenteerde instructies').

b) Shopify zal Persoonsgegevens als Verwerker alleen verwerken: (i) in overeenstemming met jouw Gedocumenteerde instructies, of (ii) om te voldoen aan de verplichtingen van Shopify op grond van toepasselijke wetgeving, met inachtneming van eventuele kennisgevingsvereisten op grond van wetgeving van de Europese Unie of lidstaten van de Europese Unie waaraan Shopify is onderworpen.

c) Shopify zal je op de hoogte stellen als het een instructie ontvangt waarvan het redelijkerwijs vaststelt dat deze inbreuk maakt op de Europese Wetgeving inzake Gegevensbescherming (maar Shopify is niet verplicht om actief te controleren of je je houdt aan de Europese Wetgeving inzake Gegevensbescherming).

2. Geheimhoudingsplicht

Shopify zal ervoor zorgen dat personen die Shopify machtigt om Persoonsgegevens te verwerken, ofwel schriftelijke geheimhoudingsovereenkomsten aangaan ofwel onderworpen zijn aan wettelijke geheimhoudingsverplichtingen.

3. Veiligheidsmaatregelen

a) Shopify zal passende technische en organisatorische maatregelen implementeren en onderhouden die zijn ontworpen om jouw Persoonsgegevens te beschermen tegen ongeoorloofde of onwettige verwerking en tegen onopzettelijk verlies, vernietiging, schade, diefstal, ongeoorloofde toegang, wijziging of openbaarmaking, zoals uiteengezet in Bijlage 2.

b) Rekening houdend met de aard van de Persoonsgegevens en de daarmee verband houdende verwerking, zal Shopify de redelijke ondersteuning verlenen waar jij redelijkerwijs om kunt verzoeken om je te helpen jouw beveiligingsverplichtingen op grond van de Europese Wetgeving inzake Gegevensbescherming na te komen.

c) Shopify zal je, zonder onnodige vertraging, op de hoogte stellen zodra het zich bewust wordt van een inbreuk op de beveiliging die leidt tot de toevallige of onwettige vernietiging, verlies, wijziging, ongeautoriseerde openbaarmaking van of toegang tot jouw Persoonsgegevens die zijn verzonden, opgeslagen of anderszins verwerkt.

d) Shopify stemt ermee in om een dergelijke inbreuk op de beveiliging te onderzoeken en commercieel gezien redelijke inspanningen te leveren om de gevolgen te beperken.

4. Subverwerkers

a) Je geeft Shopify in het algemeen toestemming om Subverwerkers in te schakelen om Persoonsgegevens te verwerken. Je stemt er verder mee in dat Shopify zijn gelieerde ondernemingen kan inschakelen als Subverwerkers.

**b)**Het gebruik door Shopify van Subverwerkers om jouw Persoonsgegevens te verwerken zal in overeenstemming zijn met de Europese Wetgeving inzake Gegevensbescherming.

c) Shopify houdt een bijgewerkte lijst bij van alle Subverwerkers zoals uiteengezet in Bijlage 3. Shopify zal de lijst van Subverwerkers waar nodig bijwerken en je voorzien van een mechanisme om kennis te krijgen van de toevoeging of vervanging van een Subverwerker. Je kunt bezwaar maken tegen het gebruik van een nieuwe Subverwerker door Shopify.

d) Voor zover je bezwaar maakt tegen het gebruik van een Subverwerker door Shopify, en Shopify niet in staat of bereid is om aan dergelijke verzoeken tegemoet te komen, kun je jouw gebruik van de betreffende Diensten binnen 30 dagen na een dergelijke kennisgeving beëindigen in overeenstemming met de Voorwaarden.

e) Wanneer Shopify een nieuwe Subverwerker inschakelt, zal Shopify een schriftelijke overeenkomst aangaan met de Subverwerker en Shopify zal de Subverwerker contractuele verplichtingen opleggen die in wezen gelijk zijn aan de verplichtingen die in deze DPA zijn opgenomen. Shopify is volledig aansprakelijk voor het handelen en nalaten van zijn Subverwerkers in dezelfde mate waarin Shopify aansprakelijk zou zijn als het de diensten van elke Subverwerker rechtstreeks zou uitvoeren onder de voorwaarden van deze DPA. De aansprakelijkheid van Shopify zal niettemin onderworpen zijn aan de voorwaarden en aansprakelijkheidsbeperking zoals uiteengezet in de Voorwaarden.

5. Ondersteuning van de Verwerkingsverantwoordelijke
Rekening houdend met de aard van jouw Persoonsgegevens en de daarmee verband houdende verwerking, zal Shopify je de redelijke ondersteuning verlenen waar je redelijkerwijs om kunt verzoeken om je te helpen bij het nakomen van jouw verplichtingen:

  • om te reageren op Aanvragen voor gegevensrechten op grond van de Europese Wetgeving inzake Gegevensbescherming;
  • om relevante autoriteiten en/of betrokkenen op de hoogte stellen van een inbreuk in verband met Persoonsgegevens;
  • om effectbeoordelingen op het gebied van gegevensbescherming en voorafgaande raadplegingen uit te voeren;
  • om de veiligheid van de verwerking te waarborgen in overeenstemming met artikel 3.

6. Naleving beoordelen

a) Shopify kan voldoen aan je auditrecht op grond van de Europese Wetgeving inzake Gegevensbescherming met betrekking tot de verwerking van persoonsgegevens door je, op jouw schriftelijk verzoek en onder voorbehoud van vertrouwelijkheid, te voorzien van:

(i) de resultaten van het meest recente auditrapport van Shopify, hetzij van de zelf-audits van Shopify of opgesteld door een onafhankelijke externe auditor;
(ii) aanvullende informatie waarover Shopify beschikt als een gegevensbeschermings- of overheidsinstantie daarom vraagt.

b) Op voorwaarde dat en alleen voor zover de Europese Wetgeving inzake Gegevensbescherming jou dit recht toekent, mag je jouw Auditrecht uitoefenen: (i) voor zover een onafhankelijke, internationaal erkende auditor verklaart dat de verstrekking van een auditrapport door Shopify je niet voldoende informatie biedt om te controleren of Shopify voldoet aan deze DPA en aan de Europese Wetgeving inzake Gegevensbescherming of (ii) voor zover je dit nodig hebt om te reageren op een audit van een overheidsinstantie. Elke audit moet voldoen aan de volgende parameters: (i) worden uitgevoerd door een onafhankelijke externe partij die een vertrouwelijkheidsovereenkomst aangaat met Shopify; (ii) in omvang beperkt zijn tot zaken die redelijkerwijs vereist zijn, en zoals wederzijds overeengekomen, voor jou om de naleving door Shopify van deze DPA en de naleving van de Europese Wetgeving inzake Gegevensbescherming door de Partijen te beoordelen; (iii) plaatsvinden op een onderling overeengekomen datum en tijd en alleen tijdens de reguliere kantooruren van Shopify; (iv) niet meer dan eenmaal per jaar plaatsvinden (tenzij vereist op grond van de Europese Wetgeving inzake Gegevensbescherming); (v) alleen betrekking hebben op faciliteiten die worden gecontroleerd door Shopify; (vi) bevindingen beperken tot alleen Persoonsgegevens; en (vii) alle resultaten behandelen als vertrouwelijke informatie voor zover toegestaan door de Europese Wetgeving inzake Gegevensbescherming. Ter verduidelijking, Shopify zal voldoen aan al jouw rechten op grond van dit artikel 6 in overeenstemming met zijn geheimhoudingsverplichtingen tegenover externe partijen.

7. Einde van de verwerking

a) Tijdens jouw gebruik van de Diensten kun je accounttools gebruiken om Persoonsgegevens in te zien, naar jezelf terug te sturen of te verwijderen.

b) Na beëindiging zal Shopify, volgens jouw keuze, je Persoonsgegevens verwijderen of retourneren. Niettegenstaande het voorgaande, kan Shopify Persoonsgegevens bewaren: (i) zoals vereist door de wet, met inbegrip van de Europese Wetgeving inzake Gegevensbescherming; en (ii) in overeenstemming met zijn standaard back-upbeleid of beleid voor het bewaren van documenten, op voorwaarde dat, in beide gevallen, Shopify de vertrouwelijkheid van de bewaarde Persoonsgegevens zal handhaven en anderszins zal voldoen aan de toepasselijke bepalingen van deze DPA met betrekking tot de bewaarde Persoonsgegevens, en de bewaarde Persoonsgegevens niet verder zal verwerken, behalve voor het doel of de doelen en de duur die zijn toegestaan op grond van dergelijke toepasselijke wetgeving.

**8. Internationale Overdrachten **

a) Onderworpen aan naleving van de Europese wetgeving inzake gegevensbescherming, kan Shopify International Ltd., Persoonsgegevens die op grond van deze Bijlage worden verwerkt, doorgeven buiten de EER, het Verenigd Koninkrijk en Zwitserland als dit nodig is om zijn Diensten te kunnen leveren ('Internationale Overdrachten').

b) Dergelijke overdrachten bestaan voornamelijk uit de overdracht van Persoonsgegevens aan Shopify Inc., gevestigd in Canada, dat profiteert van een besluit van de Europese Commissie 2002/2/EC van 20 december 2001 over de adequate bescherming van Persoonsgegevens door Canada's Wet bescherming persoonsgegevens en elektronische documenten.

c) Voor alle Internationale Overdrachten naar landen die geen passend niveau van gegevensbescherming garanderen in de zin van de Europese Wetgeving inzake Gegevensbescherming, gelden passende waarborgen, waaronder de volgende overdrachtsmechanismen:

  • de relevante modules volgens de door de Europese Commissie in haar Besluit 2021/914/EC van 4 juni 2021 goedgekeurde modelcontractbepalingen van 2021;
  • het Addendum voor Internationale Gegevensoverdracht bij de modelcontractbepalingen voor internationale gegevensoverdrachten van de Europese Commissie, uitgegeven door het Britse Information Commissioner's Office krachtens S119A(1) van de Britse Wet inzake Gegevensbescherming 2018;
  • de modelcontractbepalingen uit 2021, zoals gewijzigd om te voldoen aan de vereisten van de Zwitserse Federale Wet op Gegevensbescherming (zoals van tijd tot tijd gewijzigd) van 19 juni 1992, zoals herzien per 25 september 2001; en
  • alle contractuele standaardclausules, addenda voor internationale gegevensoverdracht of andere clausules, addenda of overdrachtsmechanismen die de huidige clausules en addenda kunnen vervangen.

d) Shopify kan, naar eigen goeddunken, elk overdrachtsmechanisme vervangen om ervoor te zorgen dat de gegevensoverdrachten voldoen aan de toepasselijke wetgeving. Als een overdracht is gebaseerd op standaard contractuele clausules en dergelijke clausules worden bijgewerkt door de relevante autoriteiten, zullen dergelijke bijgewerkte clausules of soortgelijke overeenkomsten worden opgenomen in deze DPA alsof ze hierin volledig zijn vermeld.

BIJLAGE 1 - PERSOONSGEGEVENS

BESCHRIJVING VAN DE VERWERKING VAN PERSOONSGEGEVENS

I. Onderwerp van de verwerking

Verlening van Shopify-diensten aan Merchant.

II. Categorieën van betrokkenen

Klanten van Merchant.

III. Categorieën van verwerkte Persoonsgegevens

Zie Bijlage A hierboven.

**IV. Frequentie van de overdracht **

Continu.

V. Aard van de verwerking

Verzamelen, vastleggen, hosten, benaderen, gebruiken, overdragen en verwijderen van Persoonsgegevens zoals beschreven in de Voorwaarden.

**VI. Doeleinden waarvoor de Persoonsgegevens namens de Verwerkingsverantwoordelijke worden verwerkt **

Voor de uitvoering en verbetering van de Diensten zoals beschreven in de Voorwaarden

VII. Duur van de verwerking

Duur van de Diensten onder de Voorwaarden of toepasselijke overeenkomst, plus de periode na afloop tot het anonimiseren, retourneren of verwijderen van gegevens.

VIII. Bevoegde toezichthoudende autoriteit De bevoegde toezichthoudende autoriteit is de Commissie voor Gegevensbescherming van Ierland.

BIJLAGE 2 - VEILIGHEIDSMAATREGELEN

Informatie over beveiligingsmaatregelen is te vinden in Bijlage B van de DPA.

BIJLAGE 3 - LIJST VAN SUBVERWERKERS

De Subverwerkers die Shopify gebruikt voor het uitvoeren van de Diensten op grond van de Voorwaarden staan hier vermeld.

De Subverwerkers zullen de hierboven beschreven categorieën Persoonsgegevens verwerken in verband met de Diensten voor de duur van hun overeenkomst met Shopify.