การถ่ายโอนข้อมูลส่วนบุคคลต่อไป

หน้านี้พิมพ์ขึ้นเมื่อ May 09, 2024 หากต้องการเวอร์ชันปัจจุบัน โปรดไปที่ https://help.shopify.com/th/manual/privacy-and-security/privacy/international-data-transfers/onward-transfers

เพื่อให้เราสามารถให้บริการคุณได้อย่างมีประสิทธิภาพ ข้อมูลส่วนบุคคลที่คุณมอบให้กับหน่วยงาน Shopify ที่คุณสัญญากับจะถูกถ่ายโอนไปยังผู้รับดังต่อไปนี้:

  • เอนทิตี Shopify อื่นๆ บางรายการและ
  • ผู้ประมวลผลย่อยที่คัดสรรมาอย่างดีและเชื่อถือได้

ส่วนนี้ให้ข้อมูลเกี่ยวกับวิธีการควบคุมการโอนครั้งต่อไป

ในหน้านี้

การถ่ายโอนข้อมูลส่วนบุคคลต่อไปจากเขตเศรษฐกิจยุโรป (EEA) และสหราชอาณาจักร (UK)

Shopify International Limited ซึ่งเป็นนิติบุคคลที่จดทะเบียนในไอร์แลนด์ เป็นหน่วยงานที่ทำสัญญาหลักของ Shopify กับผู้ขายใน EMEA (ยุโรป ตะวันออกกลาง และแอฟริกา) และ LATAM (ละตินอเมริกา) Shopify International Limited ยังทำหน้าที่เป็นสถานประกอบการหลักของ Shopify เพื่อวัตถุประสงค์ด้านกฎระเบียบคุ้มครองข้อมูลทั่วไป (GDPR)

GDPR และข้อกำหนดที่เทียบเท่าในสหราชอาณาจักร กำหนดให้เมื่อมีการแบ่งปันข้อมูลส่วนบุคคลกับหน่วยงานภายนอก EEA และสหราชอาณาจักร จะต้องมีระดับการคุ้มครองที่เทียบเท่ากันในประเทศปลายทาง ด้วยเหตุนี้ การถ่ายโอนระหว่างประเทศดังกล่าวจึงต้องได้รับการคุ้มครองโดยกลไกทางกฎหมายที่เข้มแข็ง

Shopify ปฏิบัติตามข้อกำหนด GDPR สำหรับการถ่ายโอนข้อมูลระหว่างประเทศอย่างไร

เพื่อให้เป็นไปตามข้อกำหนดนี้ Shopify อาศัยการตัดสินใจของคณะกรรมาธิการยุโรปสำหรับแคนาดาอย่างเพียงพอ เมื่อ Shopify International Limited ถ่ายโอนข้อมูลส่วนบุคคลไปยังองค์กรแม่ของ Shopify Inc ที่จดทะเบียนของแคนาดา ดูข้อมูลเพิ่มเติมเกี่ยวกับการตัดสินใจที่เพียงพอ

นอกจากนี้ Shopify ยังใช้ข้อตกลงการถ่ายโอนและการประมวลผลข้อมูล (DPAs) ที่ครอบคลุมซึ่งรวมเอาข้อสัญญามาตรฐาน (SCC) เวอร์ชันล่าสุดที่ได้รับอนุมัติจากคณะกรรมาธิการยุโรปเพื่อควบคุม:

  • การโอนใดๆ ภายในกลุ่ม Shopify และ
  • การโอนต่อไปยังผู้ประมวลผลช่วงของเรา

เราประเมินผู้ประมวลผลช่วงของเราอย่างรอบคอบเพื่อให้แน่ใจว่าพวกเขามีมาตรการทางเทคนิคและองค์กรที่เหมาะสมเพื่อปกป้องข้อมูลส่วนบุคคลและดำเนินการประเมินผลกระทบการถ่ายโอนที่เหมาะสม ดูข้อมูลเพิ่มเติมเกี่ยวกับ SCCs

ทั้งการตัดสินใจที่เพียงพอและ SCC ถือเป็นกลไกการถ่ายโอนที่ถูกต้องตามกฎหมายและเพียงพอโดยหน่วยงานคุ้มครองข้อมูลใน EEA และสหราชอาณาจักร

เพื่อเป็นมาตรการเสริม Shopify ยังได้บังคับใช้กฎเกณฑ์ของบริษัทที่มีผลผูกพันเพื่อควบคุมการโอนภายในกลุ่ม Shopify ต่อไป การสมัครดังกล่าวได้ถูกส่งไปยังหน่วยงานกำกับดูแลชั้นนำของ Shopify เพื่อวัตถุประสงค์ GDPR ซึ่งก็คือคณะกรรมการคุ้มครองข้อมูลของไอร์แลนด์ ซึ่งจะเป็นกลไกการถ่ายโอนทางกฎหมายเพิ่มเติมเพื่อรักษาความปลอดภัยในการถ่ายโอนข้อมูลภายในกลุ่มบริษัทของเรา เราอยู่ในขั้นตอนสุดท้ายของแอปพลิเคชันนี้และคาดว่าจะได้รับการอนุมัติเร็วๆ นี้

การถ่ายโอนข้อมูลส่วนบุคคลต่อไปสำหรับทุกภูมิภาค

กฎหมายความเป็นส่วนตัวบางฉบับในเขตอำนาจศาลนอกเขตเศรษฐกิจยุโรป (EEA) และสหราชอาณาจักร (UK) ยังกำหนดให้มีการคุ้มครองโดยเฉพาะสำหรับการถ่ายโอนข้อมูลส่วนบุคคลระหว่างประเทศ เพื่อให้เป็นไปตามข้อกำหนดเหล่านี้ DPA ของ Shopify ที่ควบคุมการถ่ายโอนภายในกลุ่ม Shopify และ DPA ที่ควบคุมการถ่ายโอนต่อไปยังผู้ประมวลผลช่วงของเรา และรวมถึงการคุ้มครองที่เหมาะสมเพื่อให้แน่ใจว่าสอดคล้องกับกฎหมายความเป็นส่วนตัวในแคนาดา สหรัฐอเมริกา (US) และสิงคโปร์ ตามความเหมาะสม เรายังอัปเดตและรักษา DPAs เหล่านี้ตามความจำเป็น

ตำแหน่งที่ตั้งการโฮสต์ข้อมูล

Shopify กระจายพื้นที่เก็บข้อมูลแบบไดนามิกไปยังภูมิภาคต่างๆ ของแพลตฟอร์ม Google Cloud เพื่อให้แน่ใจว่าเราสามารถนำเสนอโครงสร้างพื้นฐานที่เชื่อถือได้และปรับขนาดได้ ซึ่งสามารถรองรับปริมาณที่ไม่สามารถคาดการณ์ได้ในฐานข้อมูลผู้ค้าทั้งหมดของเรา เราจำเป็นต้องสามารถย้ายข้อมูลทางภูมิศาสตร์เพื่อดำเนินการบริการของเรา และเรามีกลไกที่พร้อมจะดำเนินการดังกล่าวตามกฎหมายและข้อบังคับที่บังคับใช้ รวมถึง GDPR

ขณะนี้ Shopify จัดเก็บข้อมูลส่วนบุคคลของทั้งผู้ขายและลูกค้าบางส่วนในยุโรป (ได้แก่ EEA, สหราชอาณาจักร และ/หรือสวิตเซอร์แลนด์) ดังนี้:

  • ผู้ขายรายใหม่ในยุโรปจะใช้ประโยชน์จากโครงสร้างพื้นฐานใหม่นี้ ซึ่งจะจัดเก็บข้อมูลร้านค้า ข้อมูลคำสั่งซื้อ และข้อมูลส่วนบุคคลของลูกค้าในยุโรปโดยอัตโนมัติตามค่าเริ่มต้น
  • ฟีเจอร์ Shopify ที่มีอยู่ทั้งหมดจะยังคงใช้งานได้ต่อไป
  • แม้ว่าข้อมูลส่วนบุคคลของลูกค้าของผู้ขายจะถูกจัดเก็บไว้ในยุโรป แต่เรายังคงต้องมีการถ่ายโอนข้อมูลระหว่างประเทศเพื่อประมวลผลข้อมูลดังกล่าว

วิธีที่ Shopify เลือกตัวประมวลผลย่อย

เพื่อให้เป็นไปตามที่ GDPR และกฎหมายคุ้มครองข้อมูลอื่นๆ บังคับใช้ Shopify ใช้มาตรการแนวทางปฏิบัติที่ดีที่สุดหลายช่วงเมื่อสรรหาตัวประมวลผลย่อย:

  • เราเลือกบริษัทที่เราร่วมงานด้วยความรอบคอบ
  • เราใช้ผู้ให้บริการภายนอกในจำนวนจำกัดเท่านั้น
  • เรายืนยันว่าตัวประมวลผลย่อยลงนามใน DPA ที่ครอบคลุม โดยรวม SCC ไว้นอกเหนือจากการคุ้มครองที่เหมาะสม เพื่อให้มั่นใจว่าสอดคล้องกับกฎหมายความเป็นส่วนตัวในแคนาดา สหรัฐอเมริกา และสิงคโปร์
  • เราจำกัดการใช้ตัวประมวลผลย่อยของเราเฉพาะบริการด้านเทคนิค: การโฮสต์บนคลาวด์ การบันทึกข้อผิดพลาด การปรับสมดุลโหลด การจัดส่งเนื้อหา การจัดส่งแผนที่ การวิเคราะห์ข้อมูล และการบันทึกภายใน (ไฟล์บันทึก)
  • การถ่ายโอนจะเกิดขึ้นอย่างต่อเนื่องและปลอดภัย
  • ไม่มีการประมวลผลข้อมูลส่วนบุคคลที่ละเอียดอ่อนหรือประเภทพิเศษโดยเจตนา เว้นแต่จะได้รับคำสั่งจากผู้ควบคุม
  • เราตรวจสอบโปรแกรมความเป็นส่วนตัวและความปลอดภัยของผู้ประมวลผลช่วงของเราอย่างรอบคอบ

ดูข้อมูลเพิ่มเติมเกี่ยวกับตัวประมวลผลย่อยหลักของ Shopify

พร้อมเริ่มต้นการขายด้วย Shopify แล้วหรือยัง

ทดลองใช้งานฟรี