Dalsze przekazywanie danych osobowych
Aby zapewnić efektywną realizację naszych usług, dane osobowe przesłane podmiotowi Shopify, z którym zawierasz umowę, są przekazywane do następujących odbiorców:
- niektóre inne podmioty Shopify oraz
- starannie wyselekcjonowani i zaufani podwykonawcy przetwarzania
W tej sekcji znajdują się informacje na temat sposobu, w jaki regulowane jest dalsze przekazywanie danych.
Na tej stronie
Dalsze przekazywanie danych osobowych z Europejskiego Obszaru Gospodarczego (EOG) i Wielkiej Brytanii (UK)
Shopify International Limited, podmiot zarejestrowany w Irlandii, jest głównym podmiotem Shopify zawierającym umowy ze sprzedawcami w regionie EMEA (Europa, Bliski Wschód i Afryka) i LATAM (Ameryka Łacińska). International Limited działa również jako główna jednostka Shopify do celów Rozporządzenia o ochronie danych osobowych (RODO).
RODO i jego brytyjski odpowiednik wymagają, aby w przypadku udostępniania danych osobowych podmiotowi spoza EOG i Wielkiej Brytanii, w kraju docelowym obowiązywał zasadniczo równoważny poziom ochrony. Z tego powodu takie transgraniczne przekazywanie danych musi być chronione przez efektywne mechanizmy prawne.
W jaki sposób Shopify spełnia wymagania RODO w zakresie transgranicznego przekazywania danych?
Aby spełnić ten wymóg, Shopify opiera się na decyzji Komisji Europejskiej stwierdzającej odpowiedni stopień ochrony w odniesieniu do Kanady, gdy spółka Shopify International Limited przekazuje dane osobowe do swojej zarejestrowanej w Kanadzie spółki dominującej Shopify Inc. Dowiedz się więcej o decyzjach stwierdzających odpowiedni stopień ochrony.
Ponadto Shopify stosuje również kompleksowe umowy o przekazywaniu i powierzeniu przetwarzania danych (DPA) zawierające najnowszą wersję standardowych klauzul umownych (SCC) zatwierdzonych przez Komisję Europejską, które regulują:
- przekazywanie danych w ramach grupy Shopify oraz
- dalsze przekazywanie danych do naszych podwykonawców przetwarzania
Starannie oceniamy naszych podwykonawców przetwarzania, aby upewnić się, że dysponują oni odpowiednimi środkami technicznymi i organizacyjnymi na potrzeby ochrony danych osobowych i przeprowadzają odpowiednie oceny skutków przekazywania danych. Dowiedz się więcej o standardowych klauzulach umownych
Zarówno decyzja stwierdzająca odpowiedni stopień ochrony, jak i standardowe klauzule umowne są uznawane za legalne i wystarczające mechanizmy przekazywania danych przez organy ochrony danych w EOG i Wielkiej Brytanii.
W ramach zapewnienia środka uzupełniającego firma Shopify złożyła również wniosek o wiążące reguły korporacyjne na potrzeby dalszego regulowania przekazywania danych w ramach grupy Shopify. Wniosek ten został złożony do irlandzkiej Komisji Ochrony Danych, głównego organu nadzorczego Shopify do celów RODO. Będą one dodatkowym prawnym mechanizmem przekazywania danych zabezpieczającym przekazywanie danych w ramach naszej grupy spółek. Jesteśmy na ostatecznym etapie składania tego wniosku i oczekujemy, że wkrótce zostanie on zatwierdzony.
Dalsze przekazywanie danych osobowych z wszystkich pozostałych regionów
Niektóre przepisy dotyczące prywatności w jurysdykcjach innych niż EOG i Wielka Brytania wymagają również określonych zabezpieczeń w przypadku transgranicznego przekazywania danych osobowych. Aby te wymagania zostały spełnione, umowy powierzenia danych Shopify regulujące przekazywanie danych w ramach grupy Shopify oraz umowy powierzenia danych regulujące dalsze przekazywanie danych naszym podwykonawcom przetwarzania obejmują odpowiednie zabezpieczenia w celu zapewnienia zgodności z przepisami o ochronie prywatności obowiązującymi w Kanadzie, Stanach Zjednoczonych (USA) i Singapurze, stosownie do przypadku. Umowy te są przez nas w miarę potrzeb aktualizowane.
Lokalizacje hostingu danych
Shopify dynamicznie równoważy przestrzeń dyskową między wieloma regionami Google Cloud Platform, aby zapewnić niezawodną i skalowalną infrastrukturę, która może obsłużyć nieprzewidywalne wolumeny w naszej całej bazie danych sprzedawców. Aby świadczyć nasze usługi, musimy mieć możliwość geograficznego przenoszenia danych. Dysponujemy mechanizmami umożliwiającymi wykonanie tego zgodnie z obowiązującymi przepisami prawa i regulacjami, w tym RODO.
Obecnie Shopify przechowuje określone dane osobowe sprzedawców i klientów w Europie (w EOG, Wielkiej Brytanii i/lub Szwajcarii), jak opisano poniżej:
- Nowi sprzedawcy w Europie automatycznie korzystają z tej nowej infrastruktury i domyślnie przechowują dane swoich sklepów, dane zamówień i dane osobowe klientów w Europie.
- Wszystkie dotychczasowe funkcje Shopify będą nadal działać.
- Nawet w przypadku, gdy dane osobowe klientów sprzedawcy są przechowywane w Europie, korzystamy z transgranicznego przekazywania danych w celu przetwarzania tych danych.
Jak Shopify wybiera podwykonawców przetwarzania?
Zgodnie z RODO i innymi obowiązującymi przepisami dotyczącymi ochrony danych Shopify stosuje szereg najlepszych praktyk przy wyborze podwykonawców przetwarzania:
- Starannie wybieramy firmy, z którymi współpracujemy.
- Korzystamy tylko z ograniczonej liczby zewnętrznych dostawców usług.
- Nalegamy, aby podwykonawcy przetwarzania podpisywali kompleksowe umowy powierzenia przetwarzania danych, zawierające standardowe klauzule umowne oraz odpowiednie zabezpieczenia w celu zapewnienia zgodności z przepisami dotyczącymi prywatności obowiązującymi w Kanadzie, USA i Singapurze.
- Ograniczamy korzystanie z usług podwykonawców przetwarzania do usług technicznych: hostingu w chmurze, rejestrowania błędów, równoważenia obciążenia, dostarczania treści, dostarczania danych kartograficznych, analizy danych i wewnętrznego rejestrowania (plików dziennika).
- Przekazywanie odbywa się w sposób ciągły i bezpieczny.
- Żadne wrażliwe ani specjalne kategorie danych osobowych nie są celowo przetwarzane, o ile takie przetwarzanie nie zostało zlecone przez administratora.
- Dokładnie sprawdzamy programy ochrony prywatności i bezpieczeństwa naszych podwykonawców przetwarzania danych.
Dowiedz się więcej o głównych podwykonawcach przetwarzania Shopify.