Vidare överföringar av personuppgifter

De personuppgifter som du tillhandahåller till Shopify-enheten som du ingår avtal med, överförs till följande mottagare för att vi ska kunna tillhandahålla våra tjänster effektivt till dig:

  • vissa andra Shopify-enheter, och
  • noggrant utvalda och betrodda underprocessorer

I det här avsnittet finns information om hur vidare överföringar styrs.

Vidare överföringar av personuppgifter från Europeiska ekonomiska samarbetsområdet (EES) och Storbritannien (UK)

Shopify International Limited, en irländskregistrerad enhet, är Shopifys primära entreprenadenhet med handlare i EMEA (Europa, Mellanöstern och Afrika) och LATAM (Latin America). International Limited fungerar även som Shopifys huvudsakliga funktion för syften gällande dataskyddsförordningen (GDPR).

GDPR, och dess motsvarighet i Storbritannien, kräver att när personuppgifter delas med en enhet utanför EES och Storbritannien måste det finnas en motsvarande skyddsnivå i destinationslandet. Av denna anledning måste sådana internationella överföringar skyddas av en stark juridisk verkningsmekanism.

Hur Shopify uppfyller GDPR-kraven för internationella dataöverföringar

För att uppfylla detta krav är Shopify beroende av Europeiska kommissionens beslut för Kanada när Shopify International Limited överför personuppgifter till sitt kanadensisk-registrerade moderbolag Shopify Inc. Läs mer om beslut om tillräcklighet.

Utöver detta har Shopify även omfattande dataöverförings- och behandlingsavtal (DPA) som införlivar den senaste versionen av den standardavtalsklausuler (SCC) som godkänts av Europeiska kommissionen för att styra:

  • alla överföringar inom Shopify-koncernen, och
  • vidareöverföringar till våra underprocessorer

Vi utvärderar noggrant våra underhanterare för att säkerställa att de har lämpliga tekniska och organisatoriska åtgärder på plats för att skydda personuppgifter och för att utföra lämpliga bedömningar av överföringars inverkan. Mer information om SCC

Både tillräcklighetsbeslutet och SCC betraktas som juridiskt giltiga och tillräckliga överföringsmekanismer av dataskyddsmyndigheter i EES och Storbritannien.

Som en tilläggsåtgärd har Shopify även ansökt om bindande företagsbestämmelser för att ytterligare styra överföringar inom Shopify-koncernen. Denna ansökan har gjorts till Shopifys ledande övervakningsmyndighet för GCRP-ändamål, den irländska dataskyddskommissionen. Dessa kommer att vara en ytterligare juridisk överföringsmekanism för att säkra överföringar inom vår företagskoncern. Vi befinner oss i den slutliga delen av denna ansökan och förväntar oss att den snart kommer att godkännas.

Vidareöverföring av personuppgifter från alla andra regioner

Vissa sekretesslagar i andra jurisdiktioner än EES och Storbritannien kräver också särskilda skydd när det gäller internationella överföringar av personuppgifter. För att uppfylla dessa krav innehåller Shopifys DPA, som reglerar överföringar inom Shopify-koncernen och dess DPA som reglerar vidare överföringar till våra underprocessorer, lämpliga skydd för att säkerställa efterlevnad av sekretesslagar i Kanada, Förenta Staterna (USA) och Singapore, i tillämpliga fall. Vi uppdaterar och upprätthåller även dessa DPA vid behov.

Platser för datahosting

Shopify balanserar lagringen dynamiskt mellan flera regioner i Google Cloud-plattformen för att säkerställa att vi kan erbjuda en pålitlig och skalbar infrastruktur som kan hantera oförutsägbara volymer över hela vår databas för handlare. Vi måste kunna flytta data geografiskt för att kunna driva våra tjänster, och vi har särskilda funktioner att göra detta i enlighet med tillämpliga lagar och förordningar, inklusive GDPR.

Shopify lagrar nu vissa uppgifter om handlare och kunder i Europa (EES, Storbritannien och/eller Schweiz), enligt följande:

  • Nya handlare i Europa använder automatiskt denna nya infrastruktur och har nu, som standard, butiksuppgifter, orderdata och kunduppgifter lagrade på viloplats i Europa.
  • Alla befintliga Shopify-funktioner kommer fortsätta fungera.
  • Även där handlares personuppgifter lagras i Europa kommer vi att förlita oss på internationella dataöverföringar för att behandla dessa personuppgifter.

Så här väljer Shopify sina underprocessorer

I linje med GDPR och andra tillämpliga dataskyddslagar implementerar Shopify en rad bästa praxis-åtgärder vid anlitande av underprocessorer:

  • Vi väljer de företag vi arbetar med noggrant.
  • Vi använder endast ett begränsat antal tredjepartsleverantörer.
  • Vi insisterar på att underprocessorer skriver under en omfattande DPA som innehåller SCC-enheter utöver lämpligt skydd för att säkerställa efterlevnad av sekretesslagar i Kanada, USA och Singapore.
  • Vi begränsar användningen av våra underprocessorer till tekniska tjänster: molnhosting, felloggning, inläsning, innehållsleverans, kartläggningsleverans, dataanalys och intern inloggning (loggfiler).
  • Överföringen sker kontinuerligt och säkert.
  • Inga känsliga eller särskilda kategorier av personuppgifter behandlas tillfälligt, såvida de inte styrs av den personuppgiftsansvariga.
  • Vi granskar noggrant sekretess- och säkerhetsprogram för våra underprocessorer.

Läs mer om Shopifys viktigaste underprocessorer.

Hittar du inte de svar du letar efter? Vi finns här för att hjälpa till!