Henkilötietojen edelleensiirrot
Palveluidemme tehokkaan tarjoamisen varmistamiseksi sille Shopify-yksikölle antamasi henkilötiedot, jonka kanssa olet tehnyt sopimuksen, siirretään seuraaville vastaanottajille:
- tietyt muut Shopify-yksiköt ja
- huolellisesti valitut ja luotettavat henkilötietojen alikäsittelijät
Tässä osiossa on tietoja edelleensiirtojen hallinnoimisesta.
Tällä sivulla
Henkilötietojen edelleensiirrot Euroopan talousalueelta (ETA) ja Yhdistyneestä kuningaskunnasta (UK)
Shopify International Limited, Irlannissa rekisteröity yritys, on Shopifyn ensisijainen sopimusyksikkö EMEA-alueella (Eurooppa, Lähi-itä ja Afrikka) ja LATAM-alueella (Latinalainen Amerikka) sijaitsevien kauppiaiden kanssa. International Limited toimii myös ensisijaisena yksikkönä Shopifyn yleistä tietosuoja-asetusta (GDPR) koskevissa asioissa.
GDPR ja sitä vastaava Yhdistyneen kuningaskunnan asetus edellyttävät, että kun henkilötietoja jaetaan ETA-alueen ja Yhdistyneen kuningaskunnan ulkopuoliselle yksikölle, määränpäämaassa on oltava olennaisilta osin samankaltainen suojaustaso. Tämän takia tällaiset kansainväliset siirrot on suojattava vahvoilla oikeudellisilla mekanismeilla.
Shopifyn GDPR-asetuksen vaatimusten täyttäminen kansainvälisissä tiedonsiirroissa
Täyttääkseen tämän vaatimuksen Shopify nojautuu Euroopan komission tietosuojan riittävyyttä koskevaan päätökseen Kanadan osalta, kun Shopify International Limited siirtää henkilötietoja Kanadaan rekisteröidylle emoyhtiölleen Shopify Inc:lle. Lue lisää tietosuojan riittävyyttä koskevista päätöksistä.
Tämän lisäksi Shopify käyttää myös kattavia tiedonsiirto- ja käsittelysopimuksia (DPA:t), jotka sisältävät Euroopan komission hyväksymien vakiosopimusehtojen (SCC:t) uusimman version, näissä siirroissa:
- Shopify-konsernin sisäiset siirrot ja
- edelleensiirrot henkilötietojen alikäsittelijöille
Arvioimme henkilötietojen alikäsittelijät huolellisesti varmistaaksemme, että niillä on käytössään asianmukaiset tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi ja asianmukaisten siirron vaikutusarviointien tekemiseksi. Lue lisää aiheesta SCC:t
ETA:n ja Yhdistyneen kuningaskunnan tietosuojaviranomaiset ovat katsoneet sekä tietosuojan riittävyyttä koskevan päätöksen että vakiosopimusehdot oikeudellisesti päteviksi ja riittäviksi siirtomekanismeiksi.
Täydentävänä toimenpiteenä Shopify on myös hakenut yritystä koskevia sitovia sääntöjä Shopify-konsernin sisällä tehtyihin siirtoihin. Tämä hakemus on tehty Shopifyn GDPR-asetuksen noudattamisen johtavalle valvontaviranomaiselle, joka on Irlannin tietosuojakomitea. Tämä on ylimääräinen oikeudellinen siirtomekanismi, jolla turvataan siirrot konserniyritystemme sisällä. Olemme tämän hakemuksen viimeisessä vaiheessa ja odotamme, että se hyväksytään pian.
Henkilötietojen edelleensiirrot kaikilta muilta alueilta
Tietyt tietosuojalait muilla lainkäyttöalueilla kuin ETA-alueella ja Yhdistyneessä kuningaskunnassa edellyttävät myös erityisiä suojatoimia henkilötietojen kansainvälisissä siirroissa. Näiden vaatimusten täyttämiseksi Shopifyn DPA:t, joita sovelletaan siirtoihin Shopify-konsernin sisällä, ja sen DPA:t, joita sovelletaan alikäsittelijöille tehtäviin siirtoihin, sisältävät asianmukaiset suojatoimet, joilla varmistetaan tietosuojalakien noudattaminen soveltuvin osin Kanadassa, Yhdysvalloissa (US) ja Singaporessa. Päivitämme ja ylläpidämme näitä DPA-sopimuksia tarpeen mukaan.
Tietojen ylläpitopaikat
Shopify tasapainottaa varastoinnin dynaamisesti useiden Google Cloud Platform -alueiden välillä varmistaakseen, että voimme tarjota luotettavan ja skaalattavan infrastruktuurin kauppiastietokantamme ennakoimattomien määrien käsittelemiseksi. Meidän on pystyttävä siirtämään tietoja maantieteellisesti palvelujemme tarjoamiseksi. Käytössämme on mekanismeja, joiden avulla toimimme sovellettavien lakien ja asetusten mukaisesti, mukaan lukien GDPR.
Shopify säilyttää nyt tiettyjä kauppiaiden ja asiakkaiden henkilötietoja Euroopassa (ETA-alueella, Yhdistyneessä kuningaskunnassa ja/tai Sveitsissä) seuraavasti:
- Uudet kauppiaat Euroopassa hyötyvät automaattisesti tästä uudesta infrastruktuurista. Heidän säilytettävät kauppatietonsa, tilaustietonsa ja asiakkaidensa henkilötiedot säilytetään nyt oletuksena Euroopassa.
- Kaikki olemassa olevat Shopify-ominaisuudet toimivat edelleen.
- Vaikka kauppiaiden asiakkaiden henkilötietoja säilytettäisiin Euroopassa, käytämme kansainvälisiä tiedonsiirtoja henkilötietojen käsittelyä varten.
Shopifyn henkilötietojen alikäsittelijöiden valitseminen
GDPR:n ja muiden sovellettavien tietosuojalakien mukaisesti Shopify käyttää erilaisia parhaita käytäntöjä henkilötietojen alikäsittelijöiden valinnassa:
- Valitsemme huolellisesti yritykset, joiden kanssa työskentelemme.
- Käytämme vain rajallista määrää kolmannen osapuolen palveluntarjoajia.
- Edellytämme henkilötietojen alikäsittelijöiden allekirjoittavan kattavan DPA-sopimuksen, joka sisältää vakiosopimusehdot sekä asianmukaiset suojatoimet, joilla varmistetaan tietosuojalakien noudattaminen Kanadassa, Yhdysvalloissa ja Singaporessa.
- Rajoitamme henkilötietojen alikäsittelijöiden käytön teknisiin palveluihin: pilven ylläpito, virheiden kirjaaminen lokeihin, kuorman tasapainotus, sisällön toimitus, toimitusten kartoitus, tietoanalyysi ja sisäinen kirjaaminen lokeihin (lokitiedostot).
- Siirto tapahtuu jatkuvalla ja turvallisella perusteella.
- Arkaluonteisia henkilötietoja tai henkilötietojen erityisryhmiä ei käsitellä tahallisesti, ellei rekisterinpitäjä ole niin ohjeistanut.
- Tarkistamme huolellisesti henkilötietojen alikäsittelijöiden tietosuoja- ja turvallisuusohjelmat.
Lue lisää Shopifyn keskeisistä henkilötietojen alikäsittelijöistä.