Truyền dữ liệu cá nhân đi
Để cung cấp dịch vụ của chúng tôi cho bạn một cách hiệu quả, dữ liệu cá nhân mà bạn cung cấp cho thực thể Shopify đã ký hợp đồng với bạn sẽ được truyền đến những người nhận sau:
- một số thực thể Shopify khác và
- công ty xử lý phụ được lựa chọn kỹ càng và đáng tin cậy
Mục này cung cấp thông tin về cách kiểm soát việc truyền dữ liệu đi.
Trên trang này
Truyền đi dữ liệu cá nhân từ Khu vực Kinh tế châu Âu (EEA) và Vương quốc Anh (UK)
Shopify International Limited, một thực thể đăng ký tại Ireland là thực thể ký kết hợp đồng chính của Shopify với thương nhân tại EMEA (Châu Âu, Trung Á và châu Phi) và LATAM (Mỹ Latin). Shopify International Limited cũng đóng vai trò là cơ sở chính của Shopify cho mục đích tuân thủ Quy định bảo vệ dữ liệu chung (GDPR).
GDPR và các quy định tương đương tại Vương quốc Anh yêu cầu khi chia sẻ dữ liệu cá nhân với thực thể ngoài EEA và Vương quốc Anh, phải có mức bảo vệ tương đương về cơ bản tại quốc gia đích. Vì lý do này, các hoạt động truyền dữ liệu quốc tế phải có cơ chế pháp lý mạnh mẽ bảo vệ.
Cách Shopify đáp ứng các yêu cầu của GDPR về việc truyền dữ liệu quốc tế
Để đáp ứng yêu cầu này, Shopify dựa vào quyết định thỏa đáng của Ủy ban châu Âu đối với Canada khi Shopify International Limited truyền dữ liệu cá nhân cho công ty cha/mẹ của mình đã đăng ký tại Canada là Shopify Inc. Tìm hiểu thêm về quyết định thỏa đáng.
Ngoài ra, Shopify còn áp dụng thỏa thuận truyền và xử lý dữ liệu toàn diện (DPA) kết hợp với phiên bản mới nhất của Các điều khoản hợp đồng tiêu chuẩn (SCC) được Ủy ban châu Âu phê duyệt để quản lý:
- mọi lượt truyền dữ liệu trong tập đoàn Shopify và
- việc truyền dữ liệu đi đến các công ty xử lý phụ
Chúng tôi đánh giá kỹ càng các công ty xử lý phụ để đảm bảo họ có những biện pháp kỹ thuật và tổ chức phù hợp nhằm bảo vệ dữ liệu cá nhân và thực hiện đánh giá phù hợp về tác động của việc truyền dữ liệu. Tìm hiểu thêm về SCC
Các cơ quan bảo vệ dữ liệu đều nhận định các quyết định thỏa đáng và SCC là những cơ chế truyền dữ liệu hợp pháp và đầy đủ tại EEA và Vương quốc Anh.
Shopify cũng đã đăng ký Quy tắc ràng buộc doanh nghiệp làm một biện pháp bổ sung để quản lý sâu hơn hoạt động truyền dữ liệu trong tập đoàn Shopify. Đơn đăng ký này đã được gửi cho cơ quan giám sát đầu não của Shopify nhằm mục đích tuân thủ GDPR, đó là Ủy ban Bảo vệ dữ liệu Ireland. Đây sẽ là một cơ chế truyền dữ liệu hợp pháp bổ sung để bảo mật việc truyền dữ liệu trong phạm vi nhóm công ty của chúng tôi. Chúng tôi đang trong giai đoạn cuối của quá trình đăng ký này và dự kiến sẽ sớm được phê duyệt.
Truyền đi dữ liệu cá nhân từ tất cả các khu vực khác
Một số luật về quyền riêng tư ở các khu vực pháp lý khác ngoài EEA và Vương quốc Anh cũng yêu cầu những hình thức bảo vệ cụ thể liên quan đến việc truyền dữ liệu cá nhân ra quốc tế. Để đáp ứng những yêu cầu này, các DPA của Shopify quản lý việc truyền dữ liệu trong tập đoàn Shopify và các DPA quản lý việc truyền dữ liệu đến các bên xử lý phụ của chúng tôi có các hình thức bảo vệ thích hợp để đảm bảo tuân thủ luật về quyền riêng tư tại Canada, Hoa Kỳ (Mỹ) và Singapore, nếu có. Chúng tôi cũng cập nhật và duy trì các DPA này theo quy định.
Địa điểm lưu trữ dữ liệu
Shopify tự động cân bằng lại dung lượng lưu trữ giữa nhiều khu vực của Nền tảng Google Cloud để đảm bảo chúng tôi có thể cung cấp cơ sở hạ tầng đáng tin cậy, có khả năng mở rộng và có thể xử lý khối lượng dữ liệu không thể dự đoán trong toàn bộ cơ sở dữ liệu thương nhân của chúng tôi. Chúng tôi cần khả năng di chuyển dữ liệu về mặt địa lý để vận hành dịch vụ và có sẵn các cơ chế để thực hiện việc này sao cho tuân thủ luật pháp và các quy định hiện hành, bao gồm GDPR.
Shopify hiện lưu trữ dữ liệu cá nhân của thương nhân và khách hàng nhất định tại châu Âu (cụ thể là EEA, Vương quốc Anh và/hoặc Thụy Sĩ) như sau:
- Thương nhân mới tại châu Âu tự động hưởng lợi từ cơ sở hạ tầng mới này và hiện nay, họ được mặc định lưu trữ dữ liệu cửa hàng, dữ liệu đơn hàng và dữ liệu cá nhân của khách hàng tại các khu vực còn lại của châu Âu.
- Tất cả các tính năng hiện có của Shopify sẽ tiếp tục hoạt động.
- Ngay cả khi thương nhân lưu trữ dữ liệu cá nhân của khách hàng tại châu Âu, chúng tôi vẫn dựa vào việc truyền dữ liệu quốc tế để xử lý dữ liệu cá nhân đó.
Cách Shopify chọn công ty xử lý phụ
Tuân thủ GDPR và các điều luật hiện hành khác về bảo vệ dữ liệu, Shopify áp dụng một loạt các phương thức tối ưu khi tuyển chọn công ty xử lý phụ:
- Chúng tôi thận trọng khi chọn những công ty sẽ hợp tác với mình.
- Chúng tôi chỉ sử dụng một số lượng giới hạn các nhà cung cấp dịch vụ bên thứ ba.
- Chúng tôi yêu cầu các công ty xử lý phụ ký DPA toàn diện kết hợp với SCC bên cạnh các biện pháp bảo vệ thích hợp để đảm bảo tuân thủ luật về quyền riêng tư tại Canada, Hoa Kỳ và Singapore.
- Chúng tôi giới hạn việc sử dụng công ty xử lý phụ về các dịch vụ kỹ thuật: lưu trữ đám mây, nhật ký lỗi, cân bằng tải, truyền đạt nội dung, lập bản đồ vận chuyển, phân tích dữ liệu và nhật ký nội bộ (tệp nhật ký).
- Việc truyền dữ liệu diễn ra liên tục và an toàn.
- Không chủ đích xử lý danh mục dữ liệu cá nhân nhạy cảm hoặc đặc biệt nào, trừ khi có chỉ định của bên kiểm soát.
- Chúng tôi đánh giá kỹ càng các chương trình bảo mật và quyền riêng tư của công ty xử lý phụ.
Tìm hiểu thêm về công ty xử lý phụ chủ chốt của Shopify.