Verdere doorgifte van persoonsgegevens

De persoonsgegevens die je verstrekt aan de Shopify-entiteit waarmee je een contract hebt afgesloten worden overgedragen aan de volgende ontvangers om effectief diensten aan jou te kunnen leveren:

• bepaalde andere Shopify-entiteiten; en
• zorgvuldig geselecteerde en vertrouwde subverwerkers.

Deze sectie bevat informatie over de manier waarop verdere doorgifte wordt geregeld.

Verdere doorgifte van persoonsgegevens vanuit de Europese Economische Ruimte (EER) en het Verenigd Koninkrijk (VK)

Shopify International Limited, een in Ierland geregistreerde entiteit, is de primaire contractpartij van Shopify voor merchants in EMEA (Europa, het Midden-Oosten en Afrika) en LATAM (Latijns-Amerika). Shopify International Limited fungeert ook als de hoofdvestiging van Shopify voor de doeleinden van de Algemene Verordening Gegevensbescherming (AVG).

De AVG, en het equivalent daarvan in het VK, vereist dat wanneer persoonsgegevens worden gedeeld met een entiteit buiten de EER en het VK, er een wezenlijk gelijkwaardig beschermingsniveau moet gelden in het land van bestemming. Daarom moeten dergelijke internationale doorgiften worden beschermd door strikte juridische mechanismen.

Hoe voldoet Shopify aan de vereisten van de AVG voor internationale doorgifte van gegevens?

Voor het voldoen aan deze vereiste beroept Shopify zich op het adequaatheidsbesluit van de Europese Commissie voor Canada wanneer Shopify International Limited persoonsgegevens overdraagt aan haar in Canada geregistreerde moederbedrijf, Shopify Inc. Hier vind je meer informatie over adequaatheidsbesluiten.

Daarnaast maakt Shopify ook gebruik van uitgebreide overeenkomsten voor de doorgifte en verwerking van gegevens (DPA's) waarin de nieuwste versie van de standaardcontractbepalingen is opgenomen die door de Europese Commissie is goedgekeurd en die het volgende regelt:

• alle overdrachten binnen de Shopify-groep; en
• verdere doorgifte naar onze subverwerkers.

We beoordelen subverwerkers zorgvuldig om er zeker van te zijn dat ze passende technische en organisatorische maatregelen hebben getroffen om persoonsgegevens te beschermen en we voeren passende effectbeoordelingen voor overdracht uit. Hier vind je meer informatie over modelcontractbepalingen.

Zowel het adequaatheidsbesluit als de standaardcontractbepalingen worden door gegevensbeschermingsautoriteiten in de EER en het VK beschouwd als rechtsgeldige en toereikende doorgiftemechanismen.

Als aanvullende maatregel heeft Shopify ook bindende bedrijfsvoorschriften (Binding Corporate Rules (BCR)) aangevraagd om de doorgifte binnen de Shopify-groep verder te regelen. Die aanvraag is ingediend bij de belangrijkste toezichthoudende instantie voor Shopify met het oog op de AVG, de Irish Data Protection Commission. Deze voorschriften zullen een extra wettelijk overdrachtsmechanisme zijn om de doorgiften binnen onze bedrijvengroep te beveiligen. We zitten in de laatste fase van deze aanvraag en verwachten dat deze binnenkort wordt goedgekeurd.

Verdere doorgifte van persoonsgegevens van alle andere regio's

Bepaalde privacywetten in andere rechtsgebieden dan de EER en het VK vereisen ook specifieke bescherming als het gaat om internationale overdrachten van persoonsgegevens. Voor het voldoen aan deze vereisten, bevatten de Addenda voor Gegevensverwerking (DPA, Data Processing Addendum) van Shopify met betrekking tot overdrachten binnen de Shopify-groep en die van toepassing zijn op verdere overdrachten naar subprocessors, passende bescherming om naleving van de privacywetgeving in Canada, de Verenigde Staten (VS) en Singapore te waarborgen, voor zover van toepassing. We werken deze DPA's ook bij en onderhouden ze waar nodig.

Locaties voor gegevenshosting

Shopify herverdeelt dynamisch de opslag tussen meerdere Google Cloud Platform-regio's zodat we een betrouwbare en schaalbare infrastructuur kunnen bieden die onvoorspelbare volumes kan verwerken in de hele merchantdatabase. We kunnen onze services niet exploiteren zonder geografisch gegevens te verplaatsen. We beschikken over een aantal mechanismen om dit te doen in overeenstemming met de van toepassing zijnde wetten en voorschriften, waaronder de AVG.

Shopify slaat nu als volgt bepaalde persoonsgegevens van merchants en klanten op in Europa (namelijk de EER, het VK en/of Zwitserland):

• Nieuwe merchants in Europa maken automatisch gebruik van deze nieuwe infrastructuur en hun winkelgegevens, bestelgegevens en persoonsgegevens van klanten worden nu standaard in Europa 'at rest' opgeslagen.
• Alle bestaande Shopify-functies blijven gewoon werken.
• Zelfs daar waar de persoonsgegevens van klanten en merchants in Europa worden opgeslagen, vertrouwen we op internationale gegevensoverdrachten voor het verwerken van die persoonsgegevens.

Hoe kiest Shopify zijn subverwerkers?

In overeenstemming met de AVG en andere toepasselijke gegevensbeschermingswetten neemt Shopify een reeks best practice-maatregelen bij het inschakelen van subverwerkers:

• We kiezen de bedrijven waarmee we samenwerken zorgvuldig uit.
• We gebruiken slechts een beperkt aantal externe serviceproviders.
• We staan erop dat subverwerkers een uitgebreide DPA ondertekenen, waarin standaardcontractbepalingen zijn opgenomen naast passende beschermingsmaatregelen om naleving van de privacywetgeving in Canada, de VS en Singapore te waarborgen.
• We beperken het gebruik van onze subverwerkers tot technische diensten: cloudhosting, foutenregistratie, load balancing, contentlevering, bezorgroutes bepalen, gegevensanalyse en interne registratie (logbestanden).
• De doorgifte vindt doorlopend en veilig plaats.
• Er worden niet bewust gevoelige of bijzondere categorieën persoonsgegevens verwerkt, tenzij op aanwijzing van de verwerkingsverantwoordelijke.
• We evalueren de privacy- en beveiligingsprogramma's van onze subverwerkers zorgvuldig.

Meer informatie over de belangrijkste subverwerkers van Shopify.