Dalsze przekazywanie danych osobowych

Aby zapewnić efektywną realizację naszych usług, dane osobowe przesłane podmiotowi Shopify, z którym zawierasz umowę, są przekazywane do następujących odbiorców:

• niektóre inne podmioty Shopify oraz
• starannie wyselekcjonowani i zaufani podwykonawcy przetwarzania

W tej sekcji znajdują się informacje na temat sposobu, w jaki regulowane jest dalsze przekazywanie danych.

Dalsze przekazywanie danych osobowych z Europejskiego Obszaru Gospodarczego (EOG) i Wielkiej Brytanii (UK)

Shopify International Limited, podmiot zarejestrowany w Irlandii, jest głównym podmiotem Shopify zawierającym umowy ze sprzedawcami w regionie EMEA (Europa, Bliski Wschód i Afryka) i LATAM (Ameryka Łacińska). Shopify International Limited to również główna siedziba Shopify do celów Rozporządzenia o ochronie danych osobowych (RODO).

RODO i jego brytyjski odpowiednik wymagają, aby w przypadku udostępniania danych osobowych podmiotowi spoza EOG i Wielkiej Brytanii, w kraju docelowym obowiązywał zasadniczo równoważny poziom ochrony. Z tego powodu takie transgraniczne przekazywanie danych musi być chronione przez efektywne mechanizmy prawne.

W jaki sposób Shopify spełnia wymagania RODO w zakresie transgranicznego przekazywania danych?

Aby spełnić ten wymóg, Shopify opiera się na decyzji Komisji Europejskiej stwierdzającej odpowiedni stopień ochrony w odniesieniu do Kanady, gdy spółka Shopify International Limited przekazuje dane osobowe do swojej zarejestrowanej w Kanadzie spółki dominującej Shopify Inc. Dowiedz się więcej o decyzjach stwierdzających odpowiedni stopień ochrony.

Ponadto Shopify stosuje również kompleksowe umowy o przekazywaniu i powierzeniu przetwarzania danych (DPA) zawierające najnowszą wersję standardowych klauzul umownych (SCC) zatwierdzonych przez Komisję Europejską, które regulują:

• przekazywanie danych w ramach grupy Shopify oraz
• dalsze przekazywanie danych do naszych podwykonawców przetwarzania

Starannie oceniamy naszych podwykonawców przetwarzania, aby upewnić się, że dysponują oni odpowiednimi środkami technicznymi i organizacyjnymi na potrzeby ochrony danych osobowych i przeprowadzają odpowiednie oceny skutków przekazywania danych. Dowiedz się więcej o standardowych klauzulach umownych

Zarówno decyzja stwierdzająca odpowiedni stopień ochrony, jak i standardowe klauzule umowne są uznawane za legalne i wystarczające mechanizmy przekazywania danych przez organy ochrony danych w EOG i Wielkiej Brytanii.

W ramach zapewnienia środka uzupełniającego firma Shopify złożyła również wniosek o wiążące reguły korporacyjne na potrzeby dalszego regulowania przekazywania danych w ramach grupy Shopify. Wniosek ten został złożony do irlandzkiej Komisji Ochrony Danych, głównego organu nadzorczego Shopify do celów RODO. Będą one dodatkowym prawnym mechanizmem przekazywania danych zabezpieczającym przekazywanie danych w ramach naszej grupy spółek. Jesteśmy na ostatecznym etapie składania tego wniosku i oczekujemy, że wkrótce zostanie on zatwierdzony.

Dalsze przekazywanie danych osobowych z wszystkich pozostałych regionów

Niektóre przepisy dotyczące prywatności w jurysdykcjach innych niż EOG i Wielka Brytania wymagają również określonych zabezpieczeń w przypadku transgranicznego przekazywania danych osobowych. Aby te wymagania zostały spełnione, umowy powierzenia danych Shopify regulujące przekazywanie danych w ramach grupy Shopify oraz umowy powierzenia danych regulujące dalsze przekazywanie danych naszym podwykonawcom przetwarzania obejmują odpowiednie zabezpieczenia w celu zapewnienia zgodności z przepisami o ochronie prywatności obowiązującymi w Kanadzie, Stanach Zjednoczonych (USA) i Singapurze, stosownie do przypadku. Umowy te są przez nas w miarę potrzeb aktualizowane.

Lokalizacje hostingu danych

Shopify dynamicznie równoważy przestrzeń dyskową między wieloma regionami Google Cloud Platform, aby zapewnić niezawodną i skalowalną infrastrukturę, która może obsłużyć nieprzewidywalne wolumeny w naszej całej bazie danych sprzedawców. Aby świadczyć nasze usługi, musimy mieć możliwość geograficznego przenoszenia danych. Dysponujemy mechanizmami umożliwiającymi wykonanie tego zgodnie z obowiązującymi przepisami prawa i regulacjami, w tym RODO.

Obecnie Shopify przechowuje określone dane osobowe sprzedawców i klientów w Europie (w EOG, Wielkiej Brytanii i/lub Szwajcarii), jak opisano poniżej:

• Nowi sprzedawcy w Europie automatycznie korzystają z tej nowej infrastruktury i domyślnie przechowują dane swoich sklepów, dane zamówień i dane osobowe klientów w Europie.
• Wszystkie dotychczasowe funkcje Shopify będą nadal działać.
• Nawet w przypadku, gdy dane osobowe klientów sprzedawcy są przechowywane w Europie, korzystamy z transgranicznego przekazywania danych w celu przetwarzania tych danych.

Jak Shopify wybiera podwykonawców przetwarzania?

Zgodnie z RODO i innymi obowiązującymi przepisami dotyczącymi ochrony danych Shopify stosuje szereg najlepszych praktyk przy wyborze podwykonawców przetwarzania:

• Starannie wybieramy firmy, z którymi współpracujemy.
• Korzystamy tylko z ograniczonej liczby zewnętrznych dostawców usług.
• Nalegamy, aby podwykonawcy przetwarzania podpisywali kompleksowe umowy powierzenia przetwarzania danych, zawierające standardowe klauzule umowne oraz odpowiednie zabezpieczenia w celu zapewnienia zgodności z przepisami dotyczącymi prywatności obowiązującymi w Kanadzie, USA i Singapurze.
• Ograniczamy korzystanie z usług podwykonawców przetwarzania do usług technicznych: hostingu w chmurze, rejestrowania błędów, równoważenia obciążenia, dostarczania treści, dostarczania danych kartograficznych, analizy danych i wewnętrznego rejestrowania (plików dziennika).
• Przekazywanie odbywa się w sposób ciągły i bezpieczny.
• Żadne wrażliwe ani specjalne kategorie danych osobowych nie są celowo przetwarzane, o ile takie przetwarzanie nie zostało zlecone przez administratora.
• Dokładnie sprawdzamy programy ochrony prywatności i bezpieczeństwa naszych podwykonawców przetwarzania danych.

Dowiedz się więcej o głównych podwykonawcach przetwarzania Shopify.