개인 데이터의 제3자 전송
귀하에게 Shopify의 서비스를 효과적으로 제공하기 위해 계약한 Shopify 법인에 제공하는 개인 데이터는 다음 수신자로 전송됩니다.
- 특 정 기타 Shopify 법인 및
- 신중하게 선택되고 신뢰되는 하위 처리자
이 섹션에서는 제3자 전송의 관리 방법에 대한 정보를 제공합니다.
이 페이지의 정보
유럽 경제 지역(EEA) 및 영국에서 개인 데이터의 제3자 전송
아일랜드에 등록된 법인인 Shopify International Limited는 EMEA(유럽, 중동, 아프리카) 및 LATAM(라틴 아메리카) 판매자들과 함께 Shopify의 기본 계약 주체입니다. 또한 International Limited는 GDPR(개인정보보호 규정) 목적을 위해 Shopify의 주요 기관으로서의 역할도 합니다.
GDPR과 영국의 GDPR에는 개인 데이터가 EEA 및 영국 외부의 법인과 공유된다고 규정되어 있으며 목적지 국가에는 기본적으로 동등한 수준의 보호가 있어야 합니다. 따라서 이러한 해외 전송은 강력한 법적 메커니즘으로 보호되어야 합니다.
Shopify가 해외 데이터 전송에 대한 GDPR 요구 사항을 충족하는 방법
이 요구 사항을 충족하기 위해 Shopify는 Shopify International Limited가 개인 데이터를 캐나다에 등록된 모기업 Shopify Inc.로 전송할 때 캐나다에 대한 유럽 커미션의 타당성 여부를 따릅니다. 타당성 여부에 대해 자세히 알아보세요.
이 외에도 Shopify는 유럽 연합에서 관리를 승인한 최신 버전의 표준 계약 조항(SCC)을 통합하는 포괄적인 데이터 전송 및 처리 계약(DPA) 또한 사용하고 있습니다.
- Shopify 그룹 내 모든 전송 및
- 하위 처리자로 제3자 전송
당사는 하위 처리자가 개인 데이터를 보호하고 적절한 전송 영향 평가를 수행하기 위한 적절한 기술적 및 조직적 조치를 취할 수 있도록 신중하게 평가합니다. SCC에 대해 자세히 알아보기
타당성 여부 및 표준 계약 조항(SCC)은 EEA 및 영국 내 데이터 보호 당국에서 법적으로 유효하고 충분한 전송 메커니즘으로 간주됩니다.
또한 Shopify는 추가 조치로 Shopify 그룹 내 전송을 더욱 관리하기 위해 조직내 데이터 이전 규칙을 신청했습니다. 이 신청은 GDPR 목적을 위한 Shopify의 주 감독 기관인 아일랜드 데이터 보호 위원회에 의해 이뤄졌습니다. 이는 당사 그룹 내 전송을 보호하기 위한 추가적인 법적 전송 메커니즘이 될 것입니다. 이 신청의 막바지 단계에 있으며 곧 승인될 것으로 예상됩니다.
기타 모든 지역에서 개인 데이터의 제3자 전송
또한 EEA 및 영국 외 관할구역의 특정 개인정보 보호법에는 개인 데이터의 해외 전송에 관한 특정 보호가 요구됩니다. 이러한 요구 사항을 충족하기 위해 Shopify 그룹 내 전송을 관리하는 Shopify의 DPA와 하위 처리자로의 전송을 관리하는 DPA에는 해당하는 경우 캐나다, 미국 및 싱가포르의 개인정보 보호법을 준수할 수 있도록 적절한 보호를 포함합니다. 또한 필요한 경우 이러한 DPA를 업데이트하고 유지합니다.
데이터 호스팅 위치
Shopify는 여러 Google Cloud Platform 지역 간 저장소를 동적으로 재조정하여 전체 판매자 데이터베이스에서 예측할 수 없는 볼륨을 처리할 수 있는 신뢰할 수 있고 확장 가능한 인프라를 제공하도록 합니다. 서비스를 운영하려면 데이터를 지리적으로 이동할 수 있을 수 있어야 하며 GDPR을 포함한 관련 법률 및 규정에 따라 그렇게 할 수 있는 메커니즘을 갖추고 있습니다.
이제 Shopify에서는 다음과 같이 특정 판매자 및 고객 개인 데이터를 유럽(EEA, 영국 및/또는 스위스)에 저장합니다.
- 유럽의 새 판매자는 이 새로운 인프라를 자동으로 활용하며 이제 유럽 내 나머지에 저장된 스토어 데이터, 주문 데이터 및 고객 개인 데이터를 기본적으로 사용하게 됩니다.
- 모든 기존 Shopify 기능은 계속 작동됩니다.
- 유럽에서 판매자 고객 개인 데이터가 저장된 곳에서도 당사는 해외 데이터 전송을 통해 해당 개인 데이터를 처리합니다.
Shopify의 하위 처리자 선택 방법
GDPR 및 기타 관련 데이터 보호 법률에 따라 Shopify에서는 하위 처리자 모집 시 다양한 모범 사례 조치를 채택합니다.
- 함께 작업하는 회사를 신중하게 선택합니 다.
- 제한된 수의 타사 서비스 공급업체만 사용합니다.
- 당사는 캐나다, 미국 및 싱가포르의 개인정보 보호법을 준수하기 위해 하위 처리자는 적절한 보호 외에도 SCC를 통합하는 포괄적인 DPA에 서명할 것을 주장합니다.
- 당사는 하위 처리자의 사용을 클라우드 호스팅, 오류 로깅, 로드 밸런싱, 콘텐츠 전송, 배송 매핑, 데이터 분석 및 내부 로깅(로그 파일)으로 제한합니다.
- 전송은 지속적이고 안전하게 발생합니다.
- 해당 컨트롤러의 지시 없이 개인 데이터의 민감하거나 특별한 범주가 의도적으로 처리되지는 않습니다.
- 하위 처리자의 개인정보 및 보안 프로그램을 신중하게 검토합니다.
Shopify의 핵심 하위 처리자에 대해 자세히 알아보세요.