個人資料的再行傳輸

為了有效地向您提供服務，您向與您簽約的 Shopify 實體提供的個人資料將傳輸給下列接收方：

• 部分其他 Shopify 實體
• 審慎選擇且受信任的轉包處理者

本章節提供如何管理資料再行傳輸的相關資訊。

對來自歐洲經濟區 (EEA) 和英國 (UK) 的個人資料進行再行傳輸

Shopify International Limited 是在愛爾蘭註冊的實體，為 Shopify 與 EMEA (歐洲、中東地區和非洲) 及 LATAM (拉丁美洲) 商家的主要簽約實體。Shopify International Limited 也是 Shopify 的主要機構，負責執行《一般資料保護規範》(GDPR)。

GDPR 及其英國同等法規要求，與歐洲經濟區 (EEA) 和英國以外的實體共用個人資料時，目的地國家/地區必須具備基本相同的保護層級。因此，此類跨境資料傳輸必須受到強大的法律機制保護。

Shopify 如何滿足跨境資料傳輸的 GDPR 要求

為了符合這項要求，Shopify International Limited 將個人資料傳輸至其在加拿大註冊的母公司 Shopify Inc. 時，係依據歐盟委員會對加拿大的適足性認定執行相關程序。深入瞭解適足性認定。

除此之外，Shopify 同時採用全面的資料傳輸和處理協議 (DBA)，其中包含歐盟委員會批准的最新版合約標準條款 (SCCs)，以管理以下項目：

• Shopify 集團內的資料傳輸
• 向轉包處理者再行傳輸

我們會仔細評估複委託者，確保他們具有適當的技術和組織措施來保護個人資料，並執行適當的傳輸影響評估。深入瞭解 SSC

歐洲經濟區 (EEA) 和英國的資料保護機構均認為適足性認定和 SCCs 是具有法律效力及充分性的傳輸機制。

Shopify 還申請了《拘束性企業規則》做為輔助措施，進一步規範 Shopify 團隊內部的資料傳輸行為。這項申請已提交給 Shopify 在 GDPR 方面的主管機關，即愛爾蘭資料保護委員會。這些規則將成為確保公司團隊內部傳輸安全的附加合法資料傳輸機制。此項申請目前已進入最後階段，預計很快就會獲得核准。

從所有其他地區進行個人資料的再行傳輸

在歐洲經濟區 (EEA) 和英國 (UK) 以外的司法管轄區，某些隱私法也要求對個人資料的國際傳輸作業採行特定保護措施。Shopify 採用 DPA 管理 Shopify 集團內部之資料傳輸以及向複委託者再行傳輸資料的程序，其中包含適當的保護措施，以確保遵循加拿大、美國 (US) 和新加坡的隱私法 (如適用)。我們也會在必要時更新和維護這些 DPA。

資料代管地點

Shopify 會動態調整多個 Google Cloud Platform 區域之間的儲存空間，確保提供可靠且可擴充的基礎架構，且可處理整個商家資料庫內無法預測的資料量。為了運行我們的服務，我們必須能夠移動資料的地理位置，為此，我們根據適用法律和法規 (包括 GDPR) 設立了相應的機制。

Shopify 目前在歐洲 (即歐洲經濟區、英國和/或瑞士) 儲存某些商家和顧客個人資料，如下所述：

• 歐洲的新商家會自動使用這項新基礎架構，且根據預設，目前其商店資料、訂單資料和顧客個人資料會存放在歐洲。
• 現有的每項 Shopify 功能都將繼續運作。
• 即使商家的顧客個人資料存放在歐洲，我們也會遵循國際資料傳輸方式來處理這些個人資料。

Shopify 如何選擇轉包處理者

根據 GDPR 和其他適用的資料保護法，Shopify 在招募轉包處理者時，會採用一系列的最佳做法措施：

• 謹慎挑選要合作的公司。
• 僅使用數量有限的第三方服務供應商。
• 我們要求轉包處理者須簽署完整的 DPA，除了適當的保護措施外，還加入 SCCs，以確保符合加拿大、美國和新加坡的隱私法。
• 我們將轉包處理者的使用限制為技術支援服務：雲端代管、錯誤記錄、負載平衡、內容傳送、對應傳送、資料分析和內部記錄 (記錄檔）。
• 持續、安全地進行資料傳輸。
• 除非得到控管者指示，否則不會刻意處理敏感或特殊類別的個人資料。
• 仔細審查轉包處理者的隱私與安全計畫。

深入瞭解 Shopify 的核心轉包處理者。