Adendo de Processamento de Dados da Shopify

Última atualização em: 10 de setembro de 2024

Adendo de processamento de dados da Shopify

I. OBJETIVO

Este Adendo de processamento de dados da Shopify ("DPA", na sigla em inglês) complementa e é incorporado por referência aos Termos de serviço da Shopify, juntamente com quaisquer termos aplicáveis a quaisquer serviços adicionais da Shopify que Você opte por usar (os "Termos") por e entre Você (ou "Lojista") e a Entidade contratante da Shopify, conforme estabelecido nos Termos ("Shopify"), que descrevem os objetivos e serviços comerciais específicos relacionados ao DPA. Em caso de qualquer conflito entre os Termos e este DPA, o DPA prevalecerá com relação ao processamento de Seus Dados pessoais.

Quando o processamento de Dados pessoais nos termos do DPA estiver sujeito a requisitos de proteção de dados no Espaço Econômico Europeu ("EEE", na sigla em inglês), no Reino Unido ("UK", na sigla em inglês) ou na Suíça, o Anexo C complementa este DPA. Em caso de conflito entre o Anexo C e outras seções deste DPA, o Anexo C prevalecerá com relação ao processamento de Seus Dados pessoais sujeitos às exigências de privacidade do EEE, do UK e da Suíça.

Você e a Shopify (individualmente uma "Parte", juntas as "Partes") concordam que este DPA estabelece as obrigações das Partes que regem o processamento de Seus Dados pessoais em conexão com os Termos e Seu uso dos Serviços. Para evitar dúvidas, este DPA não se aplicará ao processamento pela Shopify de quaisquer Dados pessoais como Controlador de dados, incluindo Dados pessoais sobre Clientes que ela recebe como resultado do relacionamento direto do Cliente ou interação intencional com a Shopify, como por meio dos serviços voltados para o consumidor da Shopify, como Shop e Shop Pay.

II. DEFINIÇÕES

Os termos em letras maiúsculas usados, mas não definidos neste DPA, terão o mesmo significado dado a eles nos Termos:

A. Leis de proteção de dados aplicáveis: leis de proteção de dados ou privacidade aplicáveis ao processamento de Seus Dados pessoais pela Shopify sob os Termos, seus regulamentos de implementação e legislação secundária, cada um conforme possa ser alterado, atualizado ou substituído oportunamente, incluindo (conforme aplicável, com base na localização ou domicílio do Lojista e/ou de Seus Clientes):

**1.**Lei de Proteção de Informações Pessoais e Documentos Eletrônicos (“PIPEDA”, na sigla em inglês) do Canadá, promulgada em 2000;

2. (a) a Lei de Privacidade do Consumidor da Califórnia, conforme modificação trazida pela Lei de Direitos de Privacidade da Califórnia (“CCPA”, na sigla em inglês), (b) a Lei de Proteção de Dados do Consumidor da Virgínia, (c) a Lei de Privacidade do Colorado, (d) a Lei de Privacidade de Dados de Connecticut, (e) a Lei de Privacidade do Consumidor de Utah, (f) a Lei de Privacidade do Consumidor de Oregon, (g) a Lei de Privacidade e Segurança de Dados do Texas, (h) a Lei de Privacidade de Dados do Consumidor de Montana e, (i) uma vez em vigor, as leis de privacidade abrangentes semelhantes em outros estados dos EUA (coletivamente, as “Leis de Proteção de Dados dos EUA”);

3. Regulamento Geral de Proteção de Dados (Regulamento da UE 2016/679, “GDPR”, na sigla em inglês) e leis nacionais vigentes aplicáveis;

4. Portaria de Privacidade Eletrônica da UE (2002/58/EC), conforme modificada (“Lei de Privacidade Eletrônica”);

5. Regulamento Geral de Proteção de Dados do Reino Unido (“UK GDPR”, na sigla em inglês) e a Lei de Proteção de Dados do Reino Unido de 2018 (“UK DPA”, na sigla em inglês);

6. Lei de Proteção de Dados Pessoais de Singapura de 2012 (“PDPA”, na sigla em inglês); e

7. Lei Federal de Proteção de Dados da Suíça (“Swiss FDPA”, na sigla em inglês)

B. Cliente: uma pessoa física ou pessoa jurídica que acessa, interage e/ou compra um produto, mercadoria ou serviço da(s) Sua(s) loja(s).

C. Dados pessoais: informações ou dados definidos como “dados pessoais”, “informações pessoais” ou “informações de identificação pessoal” (ou termo análogo), conforme os termos das Leis de Proteção de Dados Aplicáveis a respeito dos Seus Clientes ou relacionados a eles, que sejam disponibilizados à Shopify (ou a terceiros em nome da Shopify) por Você (ou por terceiros em Seu nome) como parte do uso dos Serviços, bem como outros dados pessoais que Você decida compartilhar com a Shopify sobre Seus Clientes como parte do uso dos Serviços. Para maior clareza, os Dados pessoais não devem incluir dados pessoais a respeito de Clientes, que a Shopify processe como Controladora de dados e/ou receba como resultado do relacionamento direto do Cliente, ou de sua interação intencional com a Shopify ou com outros lojistas da Shopify.

D. Solicitação de Direitos de Dados: uma solicitação válida e legal de um indivíduo para exercer os direitos disponíveis relativos a Dados pessoais, de acordo com uma Lei de Proteção de Dados Aplicável.

E. Controlador de dados: é a Parte que determina as finalidades e os meios de processamento dos Dados pessoais, ou conforme definido de outra forma em qualquer Lei de Proteção de Dados aplicável.

F. Processador de dados ou Prestador de serviços: a Parte, ou outra pessoa física ou pessoa jurídica que preste serviços em nome do Controlador de dados, e que processe Dados pessoais sob a direção do Controlador de dados, ou em nome dele, devendo ser interpretada de acordo com as Leis de Proteção de Dados aplicáveis.

G. Violação de Dados Pessoais: em relação aos Seus Dados pessoais, esse termo deverá ser interpretado de acordo com a Lei de proteção de dados aplicável.

H.Processar”, “processos” ou “processamento”: (a) qualquer operação ou conjunto de operações realizadas com Dados pessoais ou conjuntos de Dados pessoais, independentemente de ser por meios automatizados, como coleta, registro, organização, estruturação, armazenamento, adaptação, alteração, recuperação, consulta, uso, divulgação por transmissão, disseminação ou disponibilização de outra forma, alinhamento, ou combinação, restrição, apagamento ou destruição; ou (b) a definição dada a esses termos conforme a Lei de Proteção de Dados aplicável.

I.Subprocessadores”: empresas afiliadas ou Processadores de dados ou Prestadores de serviços terceirizados que podem processar Dados pessoais sob a orientação da Shopify, com a finalidade de fornecer os Serviços.

J.Você”, “Seu/Sua” ou “Lojista”: significa a empresa que usa os Serviços e é uma Parte dos Termos com a Shopify.

III. NATUREZA DO PROCESSAMENTO E FUNÇÕES DAS PARTES

A Shopify recebe e processa Seus Dados pessoais para fornecer a Você os Serviços e conforme estabelecido abaixo. Dependendo de qual dos Serviços Você solicitar ou usar, a Shopify processará as categorias de Dados pessoais estabelecidas no Anexo A, da maneira e nas bases contidas nele.

A Shopify só processará Seus Dados pessoais como um Processador de dados ou Prestador de serviços, conforme necessário para fornecer e melhorar seus Serviços ou conforme permitido pelas Leis de proteção de dados aplicáveis. Como parte de sua provisão e melhoria contínua de seus Serviços, a Shopify poderá agregar, tornar anônimos ou desidentificar Seus Dados pessoais.

Na medida em que a Shopify receber de Você Dados pessoais que tenham sido desidentificados, a Shopify manterá e usará os dados apenas de forma desidentificada.

IV. OBRIGAÇÕES DAS PARTES

A seção a seguir descreve as respectivas obrigações das Partes com relação ao processamento de Dados pessoais cobertos por este DPA.

A. Conformidade geral

1. As Partes cumprirão suas respectivas obrigações de acordo com as Leis de proteção de dados aplicáveis.

2. A Shopify não terá nenhuma obrigação de interpretar ou aconselhar Você sobre Suas obrigações sob as Leis de proteção de dados aplicáveis, inclusive com relação aos Dados pessoais cobertos por este DPA. Você é o único responsável por determinar Suas obrigações legais e regulamentares, incluindo avaliar se as medidas técnicas e organizacionais dos Serviços são consistentes com Suas obrigações legais e regulamentares independentes.

B. Obrigações da Shopify

1. Segurança de dados
A Shopify implementará e manterá medidas técnicas e organizacionais apropriadas projetadas para proteger Seus Dados pessoais contra processamento não autorizado ou ilegal e contra perda, destruição, dano, roubo, alteração ou divulgação acidental, conforme estabelecido no Anexo B.

2. Notificação e investigação de violação de dados pessoais
a) Conforme exigido pelas Leis de proteção de dados aplicáveis, a Shopify fornecerá um aviso a Você quando a Shopify confirmar qualquer Violação de dados pessoais.

b) Esse aviso deverá incluir as informações exigidas pelas Leis de proteção de dados aplicáveis, na medida em que essas informações estejam razoavelmente disponíveis para a Shopify. A resposta da Shopify ou a notificação de uma Violação de dados pessoais não é um reconhecimento pela Shopify de qualquer falha ou responsabilidade.

c) A Shopify concorda em investigar qualquer Violação de dados pessoais e usar esforços comercialmente apropriados para identificar, prevenir, mitigar e remediar os efeitos.

3. Solicitações de direitos de dados
a) Na medida exigida pelas Leis de proteção de dados aplicáveis, a Shopify facilitará Sua capacidade de processar e responder às Solicitações de direitos de dados de Seus Clientes relacionadas ao Seu uso dos Serviços.

b) Para obter assistência na resposta a qualquer Solicitação de direitos de dados, encaminhe a Solicitação à Shopify por meio do console/portal administrativo do lojista da Shopify, a menos que a Shopify notifique Você sobre um mecanismo diferente.

C. Suas obrigações com relação aos Dados pessoais

1. Avisos de privacidade e transparência: Você declara e garante que está em conformidade com todas as obrigações sob as Leis de proteção de dados aplicáveis para fornecer aviso e transparência em relação ao Seu processamento de Dados pessoais sob os Termos e em conexão com o Seu uso dos Serviços. Na medida exigida pelas Leis de proteção de dados aplicáveis, Você deverá comunicar aos indivíduos relevantes todas as divulgações necessárias para que a Shopify processe legal e justamente os Dados pessoais em conexão com este DPA, inclusive fornecendo um link para a Política de privacidade da Shopify ou para Sua própria Política de privacidade.

2. Direitos e permissões do cliente: Você declara e garante que tem todos os direitos, permissões e consentimentos necessários para disponibilizar Dados pessoais à Shopify de acordo com os Termos, Seu uso dos Serviços que Você recebe e as Leis de proteção de dados aplicáveis.

3. Solicitação de direitos de dados: Você declara e garante que fornece a capacidade para Seus Clientes exercerem Solicitação de direitos de dados, conforme exigido pelas Leis de proteção de dados aplicáveis, com relação a todos os Dados pessoais processados pela Shopify para os quais Você é o Controlador de dados.

4. Consultas regulatórias: a menos que proibido pela lei aplicável, Você nos notificará imediatamente, de acordo com a cláusula de Notificação nos Termos, sobre qualquer consulta ou reclamação governamental, regulatória ou de terceiros com relação ao Seu uso dos Serviços.

V. LEIS DE PROTEÇÃO DE DADOS DOS EUA

Esta seção se aplica somente na medida em que: (i) as Leis de Proteção de Dados dos EUA se aplicam a Você em relação ao Seu uso dos Serviços; e (ii) as disposições a seguir são exigidas pelas Leis de Proteção de Dados dos EUA e Você é uma "empresa" ou "controlador" de acordo com essas leis.

A. A Shopify não: (i) reterá, usará ou divulgará esses Dados pessoais fora de seu relacionamento comercial direto com Você, ou para qualquer outra finalidade que não sejam as finalidades limitadas e especificadas estabelecidas neste DPA, e/ou nos Termos, incluindo reter, usar ou divulgar esses Dados pessoais para uma finalidade comercial que não sejam as finalidades limitadas e especificadas estabelecidas neste DPA, e/ou nos Termos, (ii) "venderá" ou "compartilhará" esses Dados pessoais dentro do significado da CCPA; ou (iii) combinará esses Dados pessoais com Dados pessoais que venha a receber de outras fontes, exceto conforme permitido pelas Leis de Proteção de Dados dos EUA, em cada caso.

B. A Shopify (i) fornecerá o mesmo nível de proteção de privacidade exigido de empresas ou Controladores de dados por essas leis, e informará Você se determinar que não pode mais cumprir essas obrigações, caso em que Você poderá tomar medidas cabíveis e apropriadas para interromper ou remediar qualquer processamento não autorizado de tais Dados pessoais, (ii) garantirá que os colaboradores que forem autorizados a processar Dados pessoais assinem contratos de confidencialidade por escrito ou estejam sujeitos a obrigações legais de confidencialidade, (iii) mediante solicitação por escrito razoável, e a fim de possibilitar que Você tome medidas cabíveis e apropriadas para garantir que a Shopify use esses Dados pessoais de maneira consistente com as Leis de Proteção de Dados dos EUA, fornecerá o relatório SOC2 mostrando uma avaliação razoável do programa de segurança da informação da Shopify; e (iv) após o encerramento dos Serviços que fornece a Você, a Shopify iniciará o processo de limpeza para excluir ou desidentificar os Dados pessoais.

C. Você declara e garante que não compartilhará com a Shopify quaisquer Dados pessoais de um indivíduo que tenha exercido um direito de exclusão que Você tenha se comprometido a honrar, ou quaisquer Dados pessoais confidenciais de um indivíduo que não tenha consentido com o processamento de tais dados confidenciais.

VI. DIVERSOS

A. Transferências globais de dados
Você reconhece que os Dados pessoais podem ser transferidos e processados em qualquer país em que a Shopify, suas empresas afiliadas ou Prestadores de serviços terceirizados estejam localizados (inclusive em Singapura e no Canadá). Qualquer transferência de Dados pessoais para esses destinatários será feita em conformidade com as Leis de proteção de dados aplicáveis. Para obter mais informações sobre transferências internacionais de dados, onde a Shopify está sujeita a requisitos de privacidade no EEE, no Reino Unido ou na Suíça, consulte a seção II(B)(8) do Anexo C.

B. Resposta a solicitações jurídicas

  1. Você reconhece que, no decorrer do fornecimento dos Serviços, a Shopify poderá compartilhar Seus Dados pessoais (i) para cumprir requisitos legais ou para responder a ordens judiciais ou outras demandas governamentais ou regulatórias semelhantes; ou (ii) para prevenir ou investigar suspeita de fraude, ameaças à segurança física, atividade ilegal ou violações de um contrato (como os Termos) ou nossas políticas (como nossa Política de uso aceitável).

  2. Antes de produzir tais Dados pessoais, a Shopify envidará esforços apropriados para garantir que essa divulgação seja permitida pelas Leis de proteção de dados aplicáveis e seja tratada como informações confidenciais, nos termos da estrutura jurídica aplicável.

**C. Divulgação em transações corporativas **
Você reconhece que, no decorrer do fornecimento dos Serviços, a Shopify pode ser obrigada a compartilhar Dados pessoais com possíveis contrapartes em qualquer transação corporativa ou de reestruturação.

D. Uso dos subprocessadores/prestadores de serviço por parte da Shopify

  1. Você reconhece que, no decorrer do fornecimento dos Serviços, a Shopify pode usar Subprocessadores para processar Dados pessoais. A Shopify mantém uma lista atualizada de todos os Subprocessadores usados. Se as Leis de proteção de dados aplicáveis concederem a Você esses direitos, Você poderá se opor ao uso de um Subprocessador pela Shopify e, se a Shopify não puder ou não quiser atender a essas solicitações, Você poderá, de acordo com essas leis, encerrar Seu uso dos Serviços impactados dentro de 30 dias após essa notificação, de acordo com os Termos.

  2. O uso de Subprocessadores pela Shopify para processar Dados pessoais fornecidos por Você estará em conformidade com as Leis de proteção de dados aplicáveis. Quando a Shopify contratar um Subprocessador, a Shopify celebrará um contrato por escrito com tal Subprocessador, que lhe imponha obrigações contratuais substancialmente iguais às estabelecidas neste DPA.

E. Alteração do DPA
Você reconhece e concorda que a Shopify pode alterar este DPA oportunamente, publicando o respectivo DPA alterado e reformulado no site da Shopify, disponível em https://shopify.com/legal/dpa, sendo que tais alterações entrarão em vigor na da data de publicação. Ao continuar usando os Serviços após a publicação do DPA alterado no site da Shopify, você estará aceitando e concordando com o DPA alterado. Se Você não concordar com quaisquer alterações no DPA, não continue a usar o Serviço.

VII Anexos

  1. Anexo A - Categorias de Dados pessoais
  2. Anexo B - Segurança de dados
  3. Anexo C - Anexo de GDPR, GDPR do UK e Processamento de dados da Suíça

ANEXO A: CATEGORIAS DE DADOS PESSOAIS

Como parte do Seu uso dos Serviços, e dependendo dos Serviços que Você usar, poderemos receber e processar as seguintes categorias de Dados pessoais para fornecer os Serviços:

  • Nome do cliente, e-mail, contato, informações de faturamento e frete.
  • Informações sobre compras e outras transações de Suas lojas.
  • Informações sobre o status das transações com Você ou com Suas lojas
  • Atividade do cliente em Suas lojas, incluindo produtos visualizados e/ou incluídos em carrinhos de compras.
  • Sinais de preferência do cliente, incluindo o Controle global de privacidade ("GPC", na sigla em inglês), sinais de opção de exclusão e inclusão.
  • Informações do dispositivo do cliente para os dispositivos usados ao visitar Suas lojas, incluindo endereço IP, navegador e atividade de rede.
  • Outras informações sobre as interações dos Clientes com Você.
  • Quaisquer outros Dados pessoais que Você decida disponibilizar para a Shopify.

ANEXO B: SEGURANÇA DE DADOS

A Shopify manterá um programa de segurança da informação projetado para (a) permitir que Você proteja Seus Dados pessoais contra processamento não autorizado ou ilegal e contra perda, destruição, dano, roubo, alteração ou divulgação acidental; (b) identificar riscos razoavelmente previsíveis à segurança e disponibilidade dos Serviços que Você recebe; e (c) minimizar os riscos de segurança aos Serviços.

I. O programa de segurança da informação da Shopify incluirá as seguintes proteções:

A. Segurança lógica

  1. Controles de acesso A Shopify tornará seus sistemas acessíveis somente a pessoal autorizado e apenas conforme necessário para manter e fornecer os Serviços. A Shopify manterá controles e políticas de acesso projetados para gerenciar autorizações de acesso a seus sistemas, inclusive por meio do uso de firewalls e/ou outras tecnologias e controles de autenticação.

  2. Acesso restrito do usuário A Shopify (i) fornecerá e restringirá o acesso a seus sistemas de acordo com os princípios de privilégio mínimo com base nas funções de trabalho dos funcionários e (ii) exigirá autenticação de dois fatores (2FA, na sigla em inglês) para acesso a seus sistemas.

  3. Avaliações de vulnerabilidade A Shopify manterá um programa de avaliação de vulnerabilidade e teste de penetração, responsável por investigar e acompanhar problemas identificados com os Serviços para resolução, quando necessário.

  4. Segurança de apps A Shopify mantém um programa de segurança de apps responsável por proteger os Serviços contra ameaças à segurança de apps.

  5. Gerenciamento de alterações A Shopify manterá controles projetados para registrar, autorizar, testar, aprovar e documentar alterações nos recursos de Serviços existentes e documentará os detalhes da alteração em suas ferramentas de gerenciamento ou implantação de alterações. A Shopify testará as alterações de acordo com seus padrões de gerenciamento de alterações antes da migração para a produção.

  6. Integridade de dados Conforme apropriado, a Shopify manterá controles projetados para fornecer integridade de dados durante a transmissão, o armazenamento e o processamento nos Serviços.

  7. Disponibilidade A Shopify (i) implementará redundância quando apropriado para os Serviços para minimizar o efeito de um mau funcionamento nos Serviços, (ii) projetará os Serviços para antecipar e tolerar falhas e (iii) implementará processos apropriados projetados para mover o tráfego de Dados pessoais para longe das áreas afetadas quando necessário para se recuperar de falhas.

  8. Continuidade dos negócios e recuperação de desastres A Shopify manterá um programa de gerenciamento de riscos projetado para apoiar a continuidade de suas funções críticas de negócios, incluindo processos e procedimentos para identificação, resposta e recuperação de eventos que possam impedir ou prejudicar materialmente o fornecimento dos Serviços que Você recebe pela Shopify.

  9. Gerenciamento de incidentes A Shopify fornece documentação para Você relatar incidentes de segurança ou disponibilidade, fazer perguntas sobre segurança ou disponibilidade e enviar informações sobre possíveis problemas de segurança ou disponibilidade. A Shopify manterá planos de ação corretiva e planos de resposta a incidentes projetados para detectar, mitigar, investigar e responder a possíveis ameaças à segurança dos Serviços.

B. Segurança física Quando necessário para proteger os Serviços, a Shopify (i) implementará medidas cabíveis projetadas para impedir o acesso físico não autorizado, danos ou interferência nos Serviços, (ii) usará dispositivos de controle apropriados projetados para restringir o acesso físico aos Serviços somente a pessoal autorizado que tenha uma necessidade comercial legítima para tal acesso e (iii) realizará revisões periódicas para validar a adesão a esses padrões.

C. Funcionários da Shopify Os funcionários da Shopify que estão autorizados a acessar Dados pessoais estão sujeitos a obrigações de confidencialidade como parte de seus termos de emprego. A Shopify implementará e manterá programas de treinamento de segurança dos funcionários em relação aos requisitos de segurança das informações da Shopify. Os programas de treinamento de reconhecimento de segurança serão revisados e atualizados periodicamente.

II. Modificações a este Anexo

A Shopify revisa suas medidas de segurança oportunamente e pode atualizar este Anexo a seu exclusivo critério. Tais atualizações substituirão as versões anteriores deste Anexo a partir da data em que a Shopify publicar a versão atualizada.

ANEXO C: ANEXO DE GDPR, GDPR DO UK E PROCESSAMENTO DE DADOS DA SUÍÇA

O Anexo C complementará este DPA quando o processamento de Dados pessoais nos termos do DPA estiver sujeito a requisitos de proteção de dados no Espaço Econômico Europeu ( "EEE", na sigla em inglês), no Reino Unido ("UK", na sigla em inglês) ou na Suíça (coletivamente, "Leis europeias de proteção de dados").

I. Natureza do processamento e das funções das Partes

A. Dados pessoais

  1. De acordo com este Anexo, Você atuará como Controlador de dados e a Shopify atuará como Processador de dados com relação ao processamento de Seus Dados pessoais, conforme descrito no Anexo 1, de acordo com o necessário para cumprir as finalidades comerciais descritas nos Termos e fornecer a Você os Serviços que optar por usar.
  2. Para evitar dúvidas, a Shopify atuará como um Controlador de dados independente com relação aos Dados pessoais sobre Clientes que a Shopify recebe como resultado do relacionamento direto do Cliente ou interações intencionais com a Shopify, conforme descrito na Política de privacidade da Shopify.

II. Obrigações das Partes

A. Suas obrigações

Você deverá cumprir com:

  • Leis europeias de proteção de dados vinculadas a Você na execução deste Anexo e
  • Suas obrigações estabelecidas no DPA, incluindo Suas obrigações estabelecidas neste Anexo.

Você declara e garante que tem uma base legal válida para processar os Dados pessoais (incluindo a disponibilização de tais dados à Shopify) e obteve todos os consentimentos, direitos e autorizações necessários e forneceu todos os avisos necessários aos indivíduos em relação à Sua divulgação de Dados pessoais à Shopify para permitir o processamento de Dados pessoais pela Shopify para fornecer os Serviços, conforme exigido pelas Leis europeias de proteção de dados.

B. Obrigações da Shopify

1. Instruções do Controlador e violação das Leis europeias de proteção de dados

a) As Partes concordam que os Termos, juntamente com este DPA, constituem Suas instruções documentadas em relação ao processamento de Seus Dados pessoais pela Shopify ("Instruções documentadas").

b) A Shopify processará os Dados pessoais como Processador somente: (i) de acordo com Suas instruções documentadas ou (ii) para cumprir as obrigações da Shopify sob as leis aplicáveis, sujeitas a quaisquer requisitos de aviso sob a União Europeia ou a lei do estado membro da União Europeia à qual a Shopify está sujeita.

c) A Shopify notificará Você se receber uma instrução que determine razoavelmente que infringe as Leis europeias de proteção de dados (mas a Shopify não tem obrigação de monitorar ativamente Sua conformidade com as Leis europeias de proteção de dados).

2. Obrigações de confidencialidade

A Shopify garantirá que as pessoas que ela autoriza a processar Dados pessoais celebrem contratos de confidencialidade por escrito ou estejam sujeitas a obrigações legais de confidencialidade.

3. Medidas de segurança

a) A Shopify deverá implementar e manter medidas técnicas e organizacionais apropriadas projetadas para proteger Seus Dados pessoais contra processamento não autorizado ou ilegal e contra perda, destruição, dano, roubo, acesso não autorizado, alteração ou divulgação acidental, conforme estabelecido no Anexo 2.

**b) ** Levando em conta a natureza dos Dados pessoais e o processamento relacionado a eles, a Shopify fornecerá a assistência razoável que Você possa solicitar para ajudar Você a cumprir Suas obrigações de segurança de acordo com as Leis europeias de proteção de dados.

**c) ** A Shopify deverá notificar Você, sem atrasos indevidos, ao tomar conhecimento de uma violação de segurança que leve à destruição, perda, alteração, divulgação não autorizada ou acesso acidental ou ilegal a Seus Dados pessoais transmitidos, armazenados ou processados de outra forma.

d) A Shopify concorda em investigar qualquer violação de segurança e usar esforços comercialmente apropriados para mitigar os efeitos.

4. Subprocessadores

a) Você autoriza de forma geral a Shopify a contratar Subprocessadores para processar Dados pessoais. Você também concorda que a Shopify pode contratar suas afiliadas como Subprocessadoras.

b) O uso de Subprocessadores pela Shopify para processar Seus Dados pessoais estará em conformidade com as Leis europeias de proteção de dados.

c) A Shopify mantém uma lista atualizada de todos os Subprocessadores, conforme estabelecido no Anexo 3. A Shopify atualizará a lista de Subprocessadores conforme apropriado e fornecerá a Você um mecanismo para obter aviso sobre a adição ou substituição de um Subprocessador. Você pode se opor ao uso de um novo Subprocessador pela Shopify.

d) Na medida em que Você se opuser ao uso de um Subprocessador pela Shopify e a Shopify não puder ou não quiser atender a essas solicitações, Você poderá encerrar o uso dos Serviços impactados no prazo de 30 dias após essa notificação, de acordo com os Termos.

e) Quando a Shopify contratar um novo Subprocessador, a Shopify celebrará um contrato por escrito com o Subprocessador e a Shopify imporá ao Subprocessador obrigações contratuais que são substancialmente as mesmas que as estabelecidas neste DPA. A Shopify será totalmente responsável pelos atos e omissões de seus Subprocessadores na mesma medida em que a Shopify seria responsável se estivesse executando os serviços de cada Subprocessador diretamente sob os termos deste DPA. A responsabilidade da Shopify estará, no entanto, sujeita às condições e à limitação de responsabilidade estabelecidas nos Termos.

5. Assistência ao Controlador
Levando em conta a natureza de Seus Dados pessoais e o processamento relacionado, a Shopify fornecerá a assistência razoável que Você possa razoavelmente solicitar para ajudar Você a cumprir Suas obrigações:

  • para responder a Solicitação de direitos de dados de acordo com as Leis europeias de proteção de dados;
  • para notificar as autoridades relevantes e/ou os titulares dos dados sobre uma violação de Dados pessoais;
  • para realizar avaliações do impacto da proteção de dados e consultas prévias;
  • para garantir a segurança do processamento, de acordo com a seção 3.

6. Avaliação da conformidade

a) A Shopify pode cumprir Seu direito de auditoria de acordo com as Leis europeias de proteção de dados em relação ao processamento de Dados pessoais, fornecendo a Você, mediante Sua solicitação por escrito e sujeita à confidencialidade, o seguinte:

(i) resultados mais recentes do relatório de auditoria da Shopify, seja das autoauditorias realizadas pela própria Shopify ou das auditorias conduzidas por um auditor terceirizado independente;
(ii) informações adicionais que estejam no controle da Shopify, se uma autoridade governamental ou de proteção de dados assim o solicitar.

b) Contanto que, e somente na medida em que as Leis europeias de proteção de dados concedam a Você esse direito, Você poderá exercer Seu direito de auditoria: (i) na medida em que um auditor independente reconhecido internacionalmente ateste que o fornecimento de um relatório de auditoria pela Shopify não forneça informações suficientes para que Você verifique a conformidade da Shopify com este DPA e com as Leis europeias de proteção de dados ou, (ii) conforme necessário, para que Você responda a uma auditoria de autoridade governamental. Cada auditoria deve estar em conformidade com os seguintes parâmetros: (i) ser conduzida por um terceiro independente que assine um contrato de confidencialidade com a Shopify; (ii) ser limitada em escopo a assuntos razoavelmente necessários e, conforme mutuamente acordado, para que Você avalie a conformidade da Shopify com este DPA e a conformidade das partes com as Leis europeias de proteção de dados; (iii) ocorrer em uma data e hora mutuamente acordadas, e somente durante o horário comercial regular da Shopify; (iv) ocorrer não mais do que uma vez por ano (a menos que seja exigido pelas Leis europeias de proteção de dados); (v) cobrir apenas instalações controladas pela Shopify; (vi) restringir as descobertas apenas aos Dados pessoais; e (vii) tratar quaisquer resultados como informações confidenciais na medida máxima permitida pelas Leis europeias de proteção de dados. Para esclarecimento, a Shopify cumprirá qualquer um dos Seus direitos sob esta seção 6 de acordo com suas próprias obrigações de confidencialidade com terceiros.

7. Fim do processamento

a) Durante o Seu uso dos Serviços, Você poderá utilizar as ferramentas da conta para acessar, trazer de volta ou excluir Dados pessoais.

b) Após o encerramento, a Shopify, a Seu critério, excluirá ou devolverá Seus Dados pessoais. Não obstante o acima exposto, a Shopify poderá reter Dados pessoais: (i) conforme exigido por lei, incluindo as Leis europeias de proteção de dados; e (ii) de acordo com suas políticas padrão de backup ou retenção de registros, desde que, em ambos os casos, a Shopify mantenha a confidencialidade e, de outra forma, cumpra as disposições aplicáveis deste DPA com relação aos Dados pessoais retidos, e não processe mais Dados pessoais retidos, exceto para os fins e a duração permitidos pelas leis aplicáveis.

8. Transferências internacionais

a) Sujeito à conformidade com as Leis europeias de proteção de dados, a Shopify International Ltd. pode transferir Dados pessoais processados sob este Anexo fora do EEE, do UK e da Suíça, conforme necessário para fornecer seus Serviços ("Transferências Internacionais").

b) Essas transferências consistem principalmente na transferência de Dados pessoais para a Shopify Inc., com sede no Canadá, que se beneficia de uma decisão da Comissão da UE 2002/2/EC datada de 20 de dezembro de 2001 sobre a proteção adequada de dados pessoais fornecida pela Lei canadense de proteção de informações pessoais e documentos eletrônicos.

c) Quaisquer transferências internacionais para países que não garantam um nível adequado de proteção de dados, de acordo com as Leis europeias de proteção de dados, estarão sujeitas a proteções apropriadas, incluindo os seguintes mecanismos de transferência:

  • os módulos relevantes de acordo com as Cláusulas contratuais padrão de 2021 aprovadas pela Comissão Europeia em sua decisão 2021/914/EC datada de 4 de junho de 2021;
  • o Adendo de transferência internacional de dados às cláusulas contratuais padrão da Comissão Europeia para transferências internacionais de dados, emitido pelo Gabinete do comissário de informação do Reino Unido nos termos do S119A(1) da Lei de proteção de dados do Reino Unido de 2018;
  • as Cláusulas contratuais padrão de 2021, conforme emendadas para atender às exigências da Lei federal suíça sobre Proteção de dados (conforme emendada oportunamente) de 19 de junho de 1992, conforme revisada em 25 de setembro de 2001; e
  • quaisquer cláusulas contratuais padrão, adendo de transferência internacional de dados ou outras cláusulas, adendos ou mecanismos de transferência que possam substituir as cláusulas e o adendo atuais.

d) A Shopify poderá, a seu exclusivo critério, substituir qualquer mecanismo de transferência para garantir que as transferências de dados estejam em conformidade com as leis aplicáveis. Se uma transferência for baseada em cláusulas contratuais padrão e essas cláusulas forem atualizadas pelas autoridades relevantes, essas cláusulas atualizadas ou acordos semelhantes serão incorporados a este DPA como se estivessem totalmente declarados neste documento.

ANEXO 1 - DADOS PESSOAIS

DESCRIÇÃO DO PROCESSAMENTO DE DADOS PESSOAIS

I. Objeto do processamento

Prestação de Serviços da Shopify ao Lojista.

II. Categorias de titulares dos dados

Clientes do Lojista.

III. Categorias de dados pessoais processados

Veja Anexo A acima.

IV. Frequência da transferência

Contínua.

V. Natureza do processamento

Coleta, registro, hospedagem, acesso, uso, transferência e exclusão de Dados pessoais, conforme descrito nos Termos.

VI. Finalidades para as quais os Dados pessoais são processados em nome do Controlador

Para o desempenho e aprimoramento dos Serviços, conforme descrito nos Termos.

VII. Duração do processamento

Duração dos Serviços nos termos dos Termos ou do contrato aplicável, mais o período após essa expiração até a anonimização, devolução ou exclusão dos dados.

VIII. Autoridade supervisora competente A autoridade supervisora competente será a Comissão de proteção de dados da Irlanda.

ANEXO 2 - MEDIDAS DE SEGURANÇA

As informações sobre medidas de segurança são fornecidas no Anexo B do DPA.

ANEXO 3 - LISTA DE SUBPROCESSADORES

Os Subprocessadores usados pela Shopify para a execução dos Serviços sob os Termos estão listados aqui.

Os Subprocessadores processarão as categorias de Dados pessoais descritas acima em conexão com os Serviços pelo período de duração de seu contrato com a Shopify.