Próximo adendo de processamento de dados da Shopify

Estamos atualizando nosso Adendo de Processamento de Dados, em vigor a partir de 25 de julho de 2025. Clique aqui para saber mais sobre essas alterações.
Em vigor a partir de 25 de julho de 2025

Adendo de processamento de dados da Shopify

I. OBJETIVO

Este Adendo de processamento de dados da Shopify ("DPA", na sigla em inglês) complementa e é incorporado por referência aos [Termos de serviço] da Shopify, (/br/legal/termos), juntamente com quaisquer termos aplicáveis a quaisquer serviços adicionais da Shopify que Você opte por usar (os "Termos") por e entre Você (ou "Lojista") e a Entidade contratante da Shopify, conforme estabelecido nos Termos ("Shopify"), que descrevem os objetivos e serviços comerciais específicos relacionados ao DPA. Em caso de conflito entre os Termos e este DPA, o DPA prevalecerá com relação ao processamento dos Dados Pessoais do seu Cliente, conforme definido abaixo.

Você e a Shopify (cada uma delas uma "Parte", em conjunto as "Partes") concordam que este DPA estabelece as obrigações das Partes que regem o processamento dos Dados Pessoais do seu Cliente. Você atuará como Controlador de Dados e a Shopify atuará como Processadora de Dados com relação ao processamento dos Dados Pessoais do seu Cliente, em conexão com o Seu uso dos nossos Serviços que dependem do nosso processamento dos Dados Pessoais do seu Cliente, exceto para os serviços descritos no Anexo E.

Quando o processamento de Dados Pessoais neste DPA estiver sujeito aos requisitos de proteção de dados no Espaço Econômico Europeu ("EEE"), no Reino Unido ("UK") ou na Suíça, e a Shopify atuar como Processadora de Dados, o Anexo C complementa este DPA. Em caso de conflito entre o Anexo C e outras seções deste DPA, o Anexo C prevalecerá em relação ao processamento dos Dados Pessoais do seu Cliente sujeitos aos requisitos de proteção de dados do EEE, do Reino Unido e da Suíça. Para evitar dúvidas, o Anexo C não se aplicará às atividades de processamento descritas no Anexo E.

Quando o processamento de Dados Pessoais sob este DPA estiver sujeito às Leis de Proteção de Dados dos EUA e a Shopify atuar como Processadora de Dados ou Prestadora de Serviços, o Anexo D complementa este DPA. Em caso de conflito entre o Anexo D e outras seções deste DPA, o Anexo D prevalecerá em relação ao processamento dos Dados Pessoais do seu Cliente sujeito às Leis de Proteção de Dados dos EUA. Para evitar dúvidas, o Anexo D não se aplicará às atividades de processamento descritas no Anexo E.

Se você receber Serviços Aprimorados da Shopify (conforme definido na Seção 9.2 dos [Termos de Serviço]({{site, url(path: '/legal/terms')} })) A Shopify processará os Dados Pessoais do seu Cliente como Controladora de Dados ou Empresa, conforme estabelecido no Anexo E. Em caso de conflito entre o Anexo E e outras seções deste DPA, o Anexo E prevalecerá com relação ao processamento pela Shopify de Dados Pessoais do seu Cliente como Controladora de Dados ou Empresa.

Para evitar dúvidas, este DPA não se aplicará ao processamento pela Shopify de quaisquer Dados Pessoais sobre Clientes que ela receba como resultado do relacionamento do Cliente com a Shopify por meio de serviços como Shop e Shop Pay.

II. DEFINIÇÕES

Os termos em letras maiúsculas usados, mas não definidos neste DPA, terão o mesmo significado dado a eles nos Termos:

A. Leis de proteção de dados aplicáveis: leis de proteção de dados ou privacidade aplicáveis ao processamento de Seus Dados pessoais pela Shopify sob os Termos, seus regulamentos de implementação e legislação secundária, cada um conforme possa ser alterado, atualizado ou substituído oportunamente, incluindo (conforme aplicável, com base na localização ou domicílio do Lojista e/ou de Seus Clientes).

B.Cliente: uma pessoa física ou pessoa jurídica que acessa, interage e/ou compra um produto, mercadoria ou serviço das Suas lojas.

C. Solicitação de Direitos de Dados: uma solicitação válida e legal de uma pessoa física para exercer os direitos disponíveis relativos a Dados pessoais, de acordo com uma Lei de Proteção de Dados Aplicável.

D. Controlador de dados ou negócios: é a Parte que determina as finalidades e os meios de processamento dos Dados pessoais, ou conforme definido de outra forma em qualquer Lei de Proteção de Dados aplicável.

E. Processador de dados ou Provedor de serviços: a Parte ou outra entidade ou empresa que presta serviços em nome e processa Dados pessoais sob a orientação e em nome do Controlador de dados, ou conforme definido nas Leis de proteção de dados aplicáveis.

F. Dados Pessoais: informações ou dados definidos como "dados pessoais", "informações pessoais" ou "informações pessoalmente identificáveis" (ou termo análogo) de acordo com as Leis de Proteção de Dados Aplicáveis.

G. Violação de Dados Pessoais: em relação aos Seus Dados pessoais do seu Cliente, esse termo deverá ser interpretado de acordo com a Lei de proteção de dados aplicável.

H. " Processar ", " processos " ou " processamento ": (a) qualquer operação ou conjunto de operações realizadas com Dados pessoais ou conjuntos de Dados pessoais, independentemente de ser por meios automatizados, como coleta, registro, organização, estruturação, armazenamento, adaptação, alteração, recuperação, consulta, uso, divulgação por transmissão, disseminação ou disponibilização de outra forma, alinhamento, ou combinação, restrição, apagamento ou destruição; ou (b) a definição dada a esses termos conforme a Lei de Proteção de Dados aplicável.

I. " Subprocessadores ": empresas afiliadas ou Processadores de dados ou Prestadores de serviços terceirizados que podem processar Dados pessoais sob a orientação da Shopify, com a finalidade de fornecer os Serviços.

J. " Você ", " Seu " ou " Lojista ": significa cada empresa que Você opera e que usa ou se beneficia dos Serviços, dos Serviços Aprimorados ou de outros Serviços Adicionais e é uma Parte dos Termos com a Shopify.

K. " Dados Pessoais do seu Cliente ": Dados Pessoais de ou sobre Seus Clientes, excluindo quaisquer Dados Pessoais sobre Clientes que a Shopify recebe como resultado do relacionamento do Cliente com a Shopify, que é regido pela Política de Privacidade do Cliente da Shopify e não por este DPA.

III. NATUREZA DO PROCESSAMENTO E FUNÇÕES DAS PARTES

Shopify como Processadora de Dados ou Provedora de Serviços. A Shopify recebe e processa os Dados Pessoais do seu Cliente para fornecer os Serviços e conforme estabelecido abaixo. Dependendo de qual dos Serviços Você solicitar ou utilizar, a Shopify processará as categorias de Dados Pessoais estabelecidas no Anexo A, na forma e com base nele contidas.

A Shopify processará os Dados Pessoais do seu Cliente como um Processador de Dados ou Provedor de Serviços apenas para fornecer os Serviços instruídos nos Termos e quaisquer Termos suplementares e conforme necessário para fornecer, desenvolver e melhorar seus Serviços e se envolver em quaisquer outros propósitos permitidos pelas Leis de Proteção de Dados Aplicáveis.

Shopify como Controlador de Dados ou Empresa. A Shopify processará os Dados Pessoais do seu Cliente como Controlador de Dados ou Empresa (a) nas circunstâncias e na forma estabelecidas no Anexo E, e (b) para quaisquer finalidades adicionais compatíveis com as instruções do Cliente e a Legislação de Proteção de Dados Aplicável.

IV. OBRIGAÇÕES DAS PARTES

A seção a seguir descreve as respectivas obrigações das Partes com relação ao processamento de Dados pessoais cobertos por este DPA.

A. Conformidade geral

  1. As Partes cumprirão suas respectivas obrigações de acordo com as Leis de proteção de dados aplicáveis.

  2. A Shopify não terá nenhuma obrigação de interpretar ou aconselhar Você sobre Suas obrigações sob as Leis de proteção de dados aplicáveis, inclusive com relação aos Dados pessoais cobertos por este DPA. Você é o único responsável por determinar Suas obrigações legais e regulamentares, incluindo avaliar se as medidas técnicas e organizacionais dos Serviços são consistentes com Suas obrigações legais e regulamentares independentes.

B. Obrigações da Shopify

1. Segurança de dados
A Shopify implementará e manterá medidas técnicas e organizacionais apropriadas projetadas para proteger Seus Dados Pessoais de Cliente contra processamento não autorizado ou ilegal e contra perda, destruição, dano, roubo, alteração ou divulgação acidental, conforme estabelecido no Anexo B.

2. Notificação e investigação de violação de dados pessoais

a) Conforme exigido pelas Leis de Proteção de Dados Aplicáveis, a Shopify fornecerá um aviso a Você assim que a Shopify confirmar qualquer Violação de Dados Pessoais.

b) Esse aviso deverá incluir as informações exigidas pelas Leis de proteção de dados aplicáveis, na medida em que essas informações estejam razoavelmente disponíveis para a Shopify. A resposta da Shopify ou a notificação de uma Violação de dados pessoais não é um reconhecimento pela Shopify de qualquer falha ou responsabilidade.

c) A Shopify concorda em investigar qualquer Violação de dados pessoais e usar esforços comercialmente apropriados para identificar, prevenir, mitigar e remediar os efeitos.

C. Suas obrigações com relação aos Dados pessoais

1. Avisos de Privacidade e Transparência : você declara e garante que está em conformidade com todas as obrigações previstas nas Leis de Proteção de Dados Aplicáveis para fornecer aviso e transparência em relação ao processamento dos Dados Pessoais do seu Cliente, de acordo com os Termos e em conexão com o seu uso dos Serviços. De acordo com as Leis de Proteção de Dados Aplicáveis, Você deverá comunicar às pessoas relevantes todas as divulgações necessárias para que a Shopify processe de forma legal e justa os Dados Pessoais do seu Cliente em conexão com este DPA, inclusive quando você receber Serviços Aprimorados ou outros Serviços Adicionais, fornecendo um link para a Política de Privacidade do Consumidor da Shopify e para a sua Política de Privacidade, e fornecendo outras divulgações conforme estabelecido na Seção 9.2.5 dos Termos.

2. Direitos e Permissões do cliente : Você declara e garante que tem todos os direitos, permissões e consentimentos necessários para disponibilizar os Dados Pessoais do seu Cliente para a Shopify e para que a Shopify processe os Dados Pessoais do seu Cliente para que você receba os Serviços, incluindo Serviços Aprimorados ou outros Serviços Adicionais que você recebe, de acordo com os Termos, este DPA e as Leis de Proteção de Dados Aplicáveis.

3. Solicitações de direitos de dados : Você declara e garante que fornece a capacidade para seus clientes exercerem solicitações de direitos de dados, conforme exigido pelas Leis de Proteção de Dados Aplicáveis, com relação ao processamento dos Dados Pessoais do seu Cliente pela Shopify, da qual você é o Controlador de dados.

4. Consultas Regulatórias: a menos que proibido pela lei aplicável, Você nos notificará imediatamente, de acordo com a cláusula de Notificação nos Termos, sobre qualquer consulta ou reclamação governamental, regulatória ou de terceiros com relação ao Seu uso dos Serviços.

V. DIVERSOS

A. Transferências Globais de Dados
Você reconhece que os Dados Pessoais do seu Cliente podem ser transferidos e processados em qualquer país onde a Shopify, suas empresas afiliadas ou prestadores de serviços terceirizados estejam localizados (incluindo Singapura e Canadá). Qualquer transferência dos Dados Pessoais do seu Cliente para esses destinatários será feita em conformidade com as Leis de Proteção de Dados Aplicáveis. Para obter mais informações sobre transferências internacionais de dados, onde a Shopify está sujeita aos requisitos de proteção de dados no EEE, no Reino Unido ou na Suíça, consulte a Seção II(B)(8) do Anexo C.

B. Resposta a Solicitações Jurídicas

  1. Você reconhece que, no decorrer da prestação dos Serviços a Você, a Shopify pode compartilhar os Dados Pessoais do seu Cliente (i) para cumprir com requisitos legais ou responder a ordens judiciais ou outras demandas governamentais ou regulatórias semelhantes; ou (ii) para prevenir ou investigar suspeitas de fraude, ameaças à segurança física, atividades ilegais ou violações de um contrato (como os [Termos de Serviço]({{site, url(path: '/legal/terms')} })) ou nossas políticas (como nossa [Política de Uso Aceitável]({{site, url(path: '/legal/aup')} })).

  2. A Shopify fará todos os esforços apropriados antes de fornecer os Dados Pessoais do seu Cliente para garantir que essa divulgação seja permitida pelas Leis de Proteção de Dados Aplicáveis e será tratada como informação confidencial de acordo com a estrutura legal aplicável.

**C. Divulgação em Transações Corporativas **
Você reconhece que, no decorrer do fornecimento dos Serviços, a Shopify pode ser obrigada a compartilhar Dados pessoais com possíveis contrapartes em qualquer transação corporativa ou de reestruturação.

D. Uso dos Provedores de Serviço da Shopify

  1. Você reconhece que, no decorrer do fornecimento dos Serviços, a Shopify pode usar Subprocessadores para processar Dados pessoais. A Shopify mantém uma lista atualizada de todos os Subprocessadores usados. Se as Leis de proteção de dados aplicáveis concederem a Você esses direitos, Você poderá se opor ao uso de um Subprocessador pela Shopify e, se a Shopify não puder ou não quiser atender a essas solicitações, Você poderá, de acordo com essas leis, encerrar Seu uso dos Serviços impactados dentro de 30 dias após essa notificação, de acordo com os Termos.

  2. O uso de prestadores de serviços pela Shopify para processar os Dados Pessoais do Cliente fornecidos por Você estará em conformidade com as Leis de Proteção de Dados Aplicáveis. Quando a Shopify contratar um prestador de serviços, a Shopify celebrará um contrato por escrito com o prestador de serviços que impõe obrigações contratuais substancialmente idênticas às estabelecidas neste DPA.

E. Alteração do DPA
Você reconhece e concorda que a Shopify pode alterar este DPA oportunamente, publicando o DPA alterado e reformulado relevante no site da Shopify, disponível em https://shopify.com/legal/dpa, e essas alterações no DPA entram em vigor a partir da data de publicação. Seu uso continuado dos Serviços após a publicação do DPA alterado no site da Shopify constitui Sua concordância e aceitação do DPA alterado. Se Você não concordar com quaisquer alterações no DPA, não continue a usar o Serviço.

VI Anexos

  1. Anexo A - Categorias de Dados Pessoais

  2. Anexo B - Segurança de Dados

  3. Anexo C - Anexo do GDPR, GDPR do UK e Processamento de dados da Suíça

  4. Anexo D - Leis de Proteção de Dados dos EUA

  5. Anexo E - Shopify como Controladora de Dados ou Empresa para Serviços Aprimorados

ANEXO A: CATEGORIAS DE DADOS PESSOAIS

Como parte do Seu uso dos Serviços, e dependendo dos Serviços que Você usar, poderemos receber e processar as seguintes categorias de Dados pessoais para fornecer os Serviços:

● Nome do cliente, e-mail, contato, informações de cobrança e frete.

● Informações sobre compras e outras transações de Suas lojas.

● Atualizações sobre o status das transações com Você ou com Suas lojas

● Atividade do cliente em Suas lojas, incluindo produtos visualizados e/ou incluídos em carrinhos de compras.

● Sinais de preferência do cliente, incluindo o Controle global de privacidade ("GPC", na sigla em inglês), sinais de opção de exclusão e inclusão.

● Informações do dispositivo do cliente para os dispositivos usados ao visitar Suas lojas, incluindo endereço IP, navegador e atividade de rede.

● Outras informações sobre as interações dos Clientes com Você.

● Quaisquer outros Dados pessoais que Você decida disponibilizar para a Shopify.

ANEXO B: SEGURANÇA DE DADOS

A Shopify manterá um programa de segurança da informação projetado para (a) permitir que Você proteja Seus Dados Pessoais de Cliente contra processamento não autorizado ou ilegal e contra perda, destruição, dano, roubo, alteração ou divulgação acidental; (b) identificar riscos razoavelmente previsíveis à segurança e disponibilidade dos Serviços que Você recebe; e (c) minimizar os riscos de segurança aos Serviços.

**I. O programa de segurança da informação da Shopify incluirá as seguintes proteções:

A. Segurança lógica

  1. Controles de acesso: a Shopify tornará seus sistemas acessíveis somente a pessoal autorizado e apenas conforme necessário para manter e fornecer os Serviços. A Shopify manterá controles e políticas de acesso projetados para gerenciar autorizações de acesso a seus sistemas, inclusive por meio do uso de firewalls e/ou outras tecnologias e controles de autenticação.

  2. Acesso restrito do usuário: a Shopify (i) fornecerá e restringirá o acesso a seus sistemas de acordo com os princípios de privilégio mínimo com base nas funções de trabalho dos funcionários e (ii) exigirá autenticação de dois fatores (2FA, na sigla em inglês) para acesso a seus sistemas.

  3. Avaliações de vulnerabilidade: a Shopify manterá um programa de avaliação de vulnerabilidade e teste de penetração, responsável por investigar e acompanhar problemas identificados com os Serviços para resolução, quando necessário.

  4. Segurança de apps: a Shopify mantém um programa de segurança de apps responsável por proteger os Serviços contra ameaças à segurança de apps.

  5. Gerenciamento de alterações: a Shopify manterá controles projetados para registrar, autorizar, testar, aprovar e documentar alterações nos recursos de Serviços existentes e documentará os detalhes da alteração em suas ferramentas de gerenciamento ou implantação de alterações. A Shopify testará as alterações de acordo com seus padrões de gerenciamento de alterações antes da migração para a produção.

  6. Integridade de dados: conforme apropriado, a Shopify manterá controles projetados para fornecer integridade de dados durante a transmissão, o armazenamento e o processamento nos Serviços.

  7. Disponibilidade: a Shopify (i) implementará redundância quando apropriado para os Serviços para minimizar o efeito de um mau funcionamento nos Serviços, (ii) projetará os Serviços para antecipar e tolerar falhas e (iii) implementará processos apropriados projetados para mover o tráfego de Dados pessoais para longe das áreas afetadas quando necessário para se recuperar de falhas.

  8. Continuidade dos negócios e recuperação de desastres: a Shopify manterá um programa de gerenciamento de riscos projetado para apoiar a continuidade de suas funções críticas de negócios, incluindo processos e procedimentos para identificação, resposta e recuperação de eventos que possam impedir ou prejudicar materialmente o fornecimento dos Serviços que Você recebe pela Shopify.

  9. Gerenciamento de incidentes: a Shopify fornece documentação para Você relatar incidentes de segurança ou disponibilidade, fazer perguntas sobre segurança ou disponibilidade e enviar informações sobre possíveis problemas de segurança ou disponibilidade. A Shopify manterá planos de ação corretiva e planos de resposta a incidentes projetados para detectar, mitigar, investigar e responder a possíveis ameaças à segurança dos Serviços.

B. Segurança física: quando necessário para proteger os Serviços, a Shopify (i) implementará medidas cabíveis projetadas para impedir o acesso físico não autorizado, danos ou interferência nos Serviços, (ii) usará dispositivos de controle apropriados projetados para restringir o acesso físico aos Serviços somente a pessoal autorizado que tenha uma necessidade comercial legítima para tal acesso e (iii) realizará revisões periódicas para validar a adesão a esses padrões.

C. Funcionários da Shopify Os funcionários da Shopify que estão autorizados a acessar Seus Dados Pessoais de Cliente estão sujeitos a obrigações de confidencialidade como parte de seus termos de emprego. A Shopify implementará e manterá programas de treinamento de segurança dos funcionários em relação aos requisitos de segurança das informações da Shopify. Os programas de treinamento de reconhecimento de segurança serão revisados e atualizados periodicamente.

II. Modificações a este Anexo

A Shopify revisa suas medidas de segurança oportunamente e pode atualizar este Anexo a seu exclusivo critério. Tais atualizações substituirão as versões anteriores deste Anexo a partir da data em que a Shopify publicar a versão atualizada.

ANEXO C: ANEXO DE GDPR, GDPR DO UK E PROCESSAMENTO DE DADOS DA SUÍÇA

Quando o processamento dos Dados Pessoais do seu Cliente sob o DPA estiver sujeito aos requisitos de proteção de dados no Espaço Econômico Europeu (o "EEE"), no Reino Unido ("UK") ou na Suíça (coletivamente, "Leis Europeias de Proteção de Dados"), e a Shopify atuar como um Processador de Dados, Anexo C complementa este DPA.

I. Natureza do processamento e das funções das Partes

A. Dados pessoais

De acordo com este Anexo, Você atuará como Controlador de dados e a Shopify atuará como Processadora de dados com relação ao processamento dos Dados Pessoais do seu Cliente, conforme descrito no Anexo 1, de acordo com o necessário para cumprir as finalidades comerciais descritas nos Termos e fornecer a Você os Serviços que optar por usar.

II. Obrigações das Partes

A. Suas obrigações

Você deverá cumprir com:

● Leis Europeias de Proteção de Dados que são vinculativas para Você em relação ao Seu uso dos Serviços; e

● Suas obrigações estabelecidas no DPA, incluindo Suas obrigações estabelecidas neste Anexo.

Você declara e garante que tem uma base legal válida para processar os Dados pessoais (incluindo a disponibilização desses dados à Shopify) e obteve todos os consentimentos, direitos e autorizações necessários e forneceu todos os avisos necessários aos indivíduos em relação à Sua divulgação de Dados pessoais à Shopify para permitir o processamento de Dados pessoais pela Shopify para fornecer os Serviços, conforme exigido pelas Leis europeias de proteção de dados.

B. Obrigações da Shopify

1. Instruções do Controlador e violação das Leis europeias de proteção de dados

a) As Partes concordam que os Termos, juntamente com este DPA, constituem Suas instruções documentadas em relação ao processamento de Seus Dados pessoais pela Shopify ("Instruções documentadas").

b) A Shopify processará os Dados pessoais como Processador somente: (i) de acordo com Suas instruções documentadas ou (ii) para cumprir as obrigações da Shopify sob as leis aplicáveis, sujeitas a quaisquer requisitos de aviso sob a União Europeia ou a lei do estado membro da União Europeia à qual a Shopify está sujeita.

c) A Shopify notificará Você se receber uma instrução que determine razoavelmente que infringe as Leis europeias de proteção de dados (mas a Shopify não tem obrigação de monitorar ativamente Sua conformidade com as Leis europeias de proteção de dados).

2. Obrigações de confidencialidade

A Shopify garantirá que as pessoas que ela autoriza a processar os Dados Pessoais do seu Cliente celebrem acordos de confidencialidade por escrito ou estejam sujeitas a obrigações legais de confidencialidade.

3. Medidas de segurança

a) A Shopify deverá implementar e manter medidas técnicas e organizacionais apropriadas projetadas para proteger os Dados Pessoais do seu Cliente contra processamento não autorizado ou ilegal e contra perda, destruição, dano, roubo, acesso não autorizado, alteração ou divulgação acidental, conforme estabelecido no Anexo 2

b) Levando em conta a natureza dos Seus Dados pessoais de cliente e o processamento relacionado a eles, a Shopify fornecerá a assistência razoável que Você possa solicitar para ajudar Você a cumprir Suas obrigações de segurança de acordo com as Leis europeias de proteção de dados.

c) A Shopify deverá notificar Você, sem atrasos indevidos, ao tomar conhecimento de uma violação de segurança que leve à destruição, perda, alteração, divulgação não autorizada ou acesso acidental ou ilegal a Seus Dados pessoais transmitidos, armazenados ou processados de outra forma.

d) A Shopify concorda em investigar qualquer violação de segurança e usar esforços comercialmente apropriados para mitigar os efeitos.

4. Subprocessadores

a) Você autoriza de forma geral a Shopify a contratar Subprocessadores para processar Seus Dados Pessoais de Clientes. Você também concorda que a Shopify pode contratar suas afiliadas como Subprocessadoras.

b) O uso de Subprocessadores pela Shopify para processar Seus Dados pessoais estará em conformidade com as Leis europeias de proteção de dados.

c) A Shopify mantém uma lista atualizada de todos os Subprocessadores, conforme estabelecido no Anexo 3. A Shopify atualizará a lista de Subprocessadores conforme apropriado e fornecerá a Você um mecanismo para obter aviso sobre a adição ou substituição de um Subprocessador. Você pode se opor ao uso de um novo Subprocessador pela Shopify.

d) Na medida em que Você se opuser ao uso de um Subprocessador pela Shopify e a Shopify não puder ou não quiser atender a essas solicitações, Você poderá encerrar o uso dos Serviços impactados no prazo de 30 dias após essa notificação, de acordo com os Termos.

e) Quando a Shopify contratar um novo Subprocessador, a Shopify celebrará um contrato por escrito com o Subprocessador e a Shopify imporá ao Subprocessador obrigações contratuais que são substancialmente as mesmas que as estabelecidas neste DPA. A Shopify será totalmente responsável pelos atos e omissões de seus Subprocessadores na mesma medida em que a Shopify seria responsável se estivesse executando os serviços de cada Subprocessador diretamente sob os termos deste DPA. A responsabilidade da Shopify estará, no entanto, sujeita às condições e à limitação de responsabilidade estabelecidas nos Termos.

5. Assistência ao Controlador
Levando em conta a natureza de Seus Dados Pessoais de Cliente e o processamento relacionado, a Shopify fornecerá a assistência razoável que Você possa razoavelmente solicitar para ajudar Você a cumprir Suas obrigações:

● responder a Solicitações de Direitos de Dados sob as Leis Europeias de Proteção de Dados, com relação a todo o processamento dos Dados Pessoais do seu Cliente pela Shopify;

● para notificar as autoridades relevantes e/ou os titulares dos dados sobre uma Violação de Dados pessoais;

● para realizar avaliações do impacto da proteção de dados e consultas prévias;

● para garantir a segurança do processamento, de acordo com a seção 3.

6. Avaliação da conformidade

a) A Shopify pode cumprir Seu direito de auditoria de acordo com as Leis europeias de proteção de dados em relação ao processamento de Dados pessoais do Cliente, fornecendo a Você, mediante Sua solicitação por escrito e sujeita à confidencialidade, o seguinte:

(i) resultados mais recentes do relatório de auditoria da Shopify, seja das autoauditorias realizadas pela própria Shopify ou das auditorias conduzidas por um auditor terceirizado independente;
(ii) informações adicionais que estejam no controle da Shopify, se uma autoridade governamental ou de proteção de dados assim o solicitar.

b) Contanto que, e somente na medida em que as Leis europeias de proteção de dados concedam a Você esse direito, Você poderá exercer Seu direito de auditoria: (i) na medida em que um auditor independente reconhecido internacionalmente ateste que o fornecimento de um relatório de auditoria pela Shopify não forneça informações suficientes para que Você verifique a conformidade da Shopify com este DPA e com as Leis europeias de proteção de dados ou, (ii) conforme necessário, para que Você responda a uma auditoria de autoridade governamental. Cada auditoria deve estar em conformidade com os seguintes parâmetros: (i) ser conduzida por um terceiro independente que assine um contrato de confidencialidade com a Shopify; (ii) ser limitada em escopo a assuntos razoavelmente necessários e, conforme mutuamente acordado, para que Você avalie a conformidade da Shopify com este DPA e a conformidade das partes com as Leis europeias de proteção de dados; (iii) ocorrer em uma data e hora mutuamente acordadas, e somente durante o horário comercial regular da Shopify; (iv) ocorrer não mais do que uma vez por ano (a menos que seja exigido pelas Leis europeias de proteção de dados); (v) cobrir apenas instalações controladas pela Shopify; (vi) restringir as descobertas apenas aos Seus Dados pessoais de Cliente; e (vii) tratar quaisquer resultados como informações confidenciais na medida máxima permitida pelas Leis europeias de proteção de dados. Para esclarecimento, a Shopify cumprirá qualquer um dos Seus direitos sob esta seção 6 de acordo com suas próprias obrigações de confidencialidade com terceiros.

7. Fim do processamento

a) Durante o Seu uso dos Serviços, Você poderá utilizar as ferramentas da conta para acessar, trazer de volta ou excluir Seus Dados pessoais de Cliente.

b) Após o encerramento, a Shopify, a Seu critério, excluirá ou devolverá Seus Dados pessoais. Não obstante o acima exposto, a Shopify poderá reter Seus Dados pessoais de Cliente: (i) conforme exigido por lei, incluindo as Leis europeias de proteção de dados; e (ii) de acordo com suas políticas padrão de backup ou retenção de registros, desde que, em ambos os casos, a Shopify mantenha a confidencialidade e, de outra forma, cumpra as disposições aplicáveis deste DPA com relação aos Seus Dados pessoais de Cliente retidos, e não processe mais seus Dados pessoais de Clientes retidos, exceto para os fins e a duração permitidos pelas leis aplicáveis.

8. Transferências internacionais

a) Sujeito à conformidade com as Leis europeias de proteção de dados, a Shopify International Ltd. pode transferir Seus Dados pessoais de Cliente processados sob este Anexo fora do EEE, do UK e da Suíça, conforme necessário para fornecer seus Serviços ("Transferências Internacionais").

b) Essas transferências consistem principalmente na transferência de Seus Dados pessoais para a Shopify Inc., com sede no Canadá, que se beneficia de uma decisão da Comissão da UE 2002/2/EC datada de 20 de dezembro de 2001 sobre a proteção adequada de dados pessoais fornecida pela Lei canadense de proteção de informações pessoais e documentos eletrônicos.

c) Quaisquer transferências internacionais para países que não garantam um nível adequado de proteção de dados, de acordo com as Leis europeias de proteção de dados, estarão sujeitas a proteções apropriadas, incluindo os seguintes mecanismos de transferência:

● os módulos relevantes de acordo com as Cláusulas contratuais padrão de 2021 aprovadas pela Comissão Europeia em sua decisão 2021/914/EC datada de 4 de junho de 2021;

● o Adendo de transferência internacional de dados às cláusulas contratuais padrão da Comissão Europeia para transferências internacionais de dados, emitido pelo Gabinete do comissário de informação do Reino Unido nos termos do S119A(1) da Lei de proteção de dados do Reino Unido de 2018;

● as Cláusulas contratuais padrão de 2021, conforme emendadas para atender às exigências da Lei federal suíça sobre Proteção de dados (conforme emendada oportunamente) de 19 de junho de 1992, conforme revisada em 25 de setembro de 2001; e

● quaisquer cláusulas contratuais padrão, adendo de transferência internacional de dados ou outras cláusulas, adendos ou mecanismos de transferência que possam substituir as cláusulas e o adendo atuais.

d) A Shopify poderá, a seu exclusivo critério, substituir qualquer mecanismo de transferência para garantir que as transferências de dados estejam em conformidade com as leis aplicáveis. Se uma transferência for baseada em cláusulas contratuais padrão e essas cláusulas forem atualizadas pelas autoridades relevantes, essas cláusulas atualizadas ou acordos semelhantes serão incorporados a este DPA como se estivessem totalmente declarados neste documento.

ANEXO 1 - DADOS PESSOAIS

DESCRIÇÃO DO PROCESSAMENTO DE DADOS PESSOAIS

I. Objeto do processamento

Prestação de Serviços da Shopify ao Lojista.

II. Categorias de titulares dos dados

Clientes do Lojista.

III. Categorias de dados pessoais processados

Veja Anexo A acima.

IV. Frequência da transferência

Contínua.

V. Natureza do processamento

Coleta, registro, hospedagem, acesso, uso, transferência e exclusão de Dados pessoais, conforme descrito nos Termos.

VI. Finalidades para as quais os Dados pessoais são processados em nome do Controlador

Para o desempenho e aprimoramento dos Serviços, conforme descrito nos Termos.

VII. Duração do processamento

Duração dos Serviços nos termos dos Termos ou do contrato aplicável, mais o período após essa expiração até a anonimização, devolução ou exclusão dos dados.

VIII. Autoridade supervisora competente A autoridade supervisora competente será a Comissão de proteção de dados da Irlanda.

ANEXO 2 - MEDIDAS DE SEGURANÇA

As informações sobre medidas de segurança são fornecidas no Anexo B do DPA.

ANEXO 3 - LISTA DE SUBPROCESSADORES

Os Subprocessadores usados pela Shopify para a execução dos Serviços sob os Termos estão listados aqui.

Os Subprocessadores processarão as categorias de Dados pessoais descritas acima em conexão com os Serviços pelo período de duração de seu contrato com a Shopify.

Anexo D: Leis de Proteção de Dados dos EUA

Esta seção se aplica somente na medida em que: (i) as Leis de Proteção de Dados dos EUA se apliquem a Você e/ou aos Seus Dados Pessoais de Cliente em conexão com o Seu uso dos Serviços; (ii) as seguintes disposições sejam exigidas pelas Leis de Proteção de Dados dos EUA; e (iii) a Shopify atue como um Processador de Dados ou Provedor de Serviços. Para evitar dúvidas, este Anexo D não se aplica às atividades de processamento descritas no Anexo E.

a) As Partes concordam que os Termos, juntamente com este DPA, constituem Suas instruções documentadas em relação ao processamento de Seus Dados pessoais de Cliente pela Shopify ("Instruções documentadas").

B. Exceto conforme estabelecido no Anexo E, se você receber determinados Serviços Aprimorados, a Shopify não irá: (i) reter, usar ou divulgar Seus Dados Pessoais de Cliente fora de seu relacionamento comercial direto com Você ou para qualquer outra finalidade que não seja para as finalidades limitadas e especificadas identificadas neste DPA e/ou nos Termos, incluindo fornecer, desenvolver e melhorar os Serviços ou conforme permitido pelas Leis de Proteção de Dados Aplicáveis dos EUA, ou (ii) "vender" ou "compartilhar" Seus Dados Pessoais de Cliente ou se envolver em "publicidade direcionada" com Seus Dados Pessoais de Cliente dentro do significado da CCPA ou outras Leis de Proteção de Dados dos EUA; ou (iii) combinar Seus Dados Pessoais de Cliente com Dados Pessoais que recebe de outras fontes, em cada caso exceto conforme permitido pelas Leis de Proteção de Dados dos EUA.

C. A Shopify irá: (i) fornecer o mesmo nível de proteção de privacidade exigido das Empresas ou Controladores de Dados pelas Leis de Proteção de Dados dos EUA e informá-lo se determinar que não pode mais cumprir essas obrigações, caso em que Você poderá tomar medidas razoáveis e apropriadas para interromper ou remediar qualquer processamento não autorizado dos Seus Dados Pessoais de Cliente, (ii) garantir que o pessoal que ela autoriza a processar os Seus Dados Pessoais de Cliente celebre acordos de confidencialidade por escrito ou esteja sujeito a obrigações legais de confidencialidade, (iii) mediante solicitação razoável por escrito e como parte de permitir que Você tome medidas razoáveis e apropriadas para garantir que a Shopify use os Seus Dados Pessoais de Cliente de maneira consistente com as Leis de Proteção de Dados dos EUA, fornecer o relatório SOC2 mostrando uma avaliação razoável do programa de segurança de informações da Shopify; e (iv) após o término dos Serviços para Você, a Shopify iniciará seu processo de limpeza para excluir, devolver ou desidentificar os Seus Dados Pessoais de Cliente fornecidos à Shopify para processamento exclusivamente como um Processador de Dados ou Provedor de Serviços.

C. Você declara e garante que não compartilhará com a Shopify quaisquer Dados Pessoais de uma pessoa que tenha exercido um direito de exclusão que Você se comprometeu a honrar ou quaisquer Dados Pessoais confidenciais de uma pessoa que não tenha consentido com o processamento de tais dados sensíveis de acordo com os requisitos das Leis de Proteção de Dados Aplicáveis.

Anexo E - Shopify como Controladora de Dados ou Empresa para Serviços Aprimorados

A Shopify atuará como Controladora de Dados ou Empresa quando Você receber os Serviços Aprimorados, conforme definido na Seção 9.2 dos Termos de Serviço. A Shopify pode atualizar os serviços e produtos para os quais atua como Controladora de Dados ou Empresa ocasionalmente.

Como parte da prestação dos Serviços Aprimorados pela Shopify, você concorda que a Shopify processará os Seus Dados Pessoais de Cliente como Controladora de Dados ou Empresa, de acordo com as Leis de Proteção de Dados Aplicáveis, a fim de fornecer, desenvolver e aprimorar análises, personalização de produtos, publicidade e outros serviços para Você que incorporem as interações e transações de Seus Clientes com a Sua Loja, com outros Lojistas e com a Shopify. Quando a Shopify processa os Seus Dados Pessoais de Cliente dessa maneira, a Política de Privacidade do Consumidor da Shopify e este Anexo E deste DPA se aplicam. Você pode desabilitar o uso dos Dados Pessoais do Seu Cliente pela Shopify dessa maneira, desabilitando a otimização de dados do cliente [aqui]({{admin, url(path: '/settings/privacy')} }), embora você não consiga usar certos aplicativos ou recursos, conforme especificado [TODO: Link].

Avisos de Privacidade, Transparência e Direitos. De acordo com as Leis de Proteção de Dados Aplicáveis, Você deverá comunicar aos indivíduos relevantes todas as divulgações necessárias para que a Shopify processe Dados Pessoais do seu Cliente de forma legal e justa para fornecer Serviços Aprimorados a Você em conexão com este Anexo E do DPA, incluindo o fornecimento de um link para a Política de Privacidade do Consumidor da Shopify em sua política de privacidade e o fornecimento das divulgações conforme estabelecido na Seção 9.2.5 dos [Termos de Serviço]({{site, url(path: '/legal/terms')} }).

Requisitos Europeus. Caso Você se encontre no EEE, Reino Unido ou Suíça, ou se Seus Clientes estiverem no EEE, Reino Unido ou Suíça, Você concorda, declara e garante que obteve o consentimento dos Clientes e fornece aos Clientes a capacidade de exercer o direito de revogar o consentimento, opor-se a determinados processamentos e optar por não participar de determinados processamentos, quando exigido pelas Leis de Proteção de Dados Aplicáveis. Para evitar dúvidas, você deve obter consentimento para publicidade direcionada como parte dos Serviços Aprimorados e para o uso de cookies ou outras tecnologias de armazenamento local, na medida exigida pelas Leis de Proteção de Dados Aplicáveis. Para obter mais informações sobre como implementar esses requisitos, visite [TODO: link].

Responsabilidades do Controlador. Você é o Controlador dos Dados Pessoais do seu Cliente e determinará individualmente as finalidades e os meios dos Dados Pessoais do seu Cliente Pessoais e como usar e processar os Dados Pessoais do seu Cliente, incluindo a determinação da base legal para o Seu processamento de acordo com a Legislação de Proteção de Dados Aplicável. A Shopify é a Controladora de Dados dos Dados Pessoais do seu Cliente, que processa de acordo com este Anexo E, e determinará individualmente as finalidades e os meios do seu processamento de tais Dados Pessoais e como usar e processar tais Dados Pessoais, incluindo a determinação da base legal para o seu processamento de acordo com a Legislação de Proteção de Dados Aplicável.

Cada Parte é individualmente responsável por responder às Solicitações de Direitos de Dados que recebe relacionadas ao processamento dos Seus Dados Pessoais do Cliente como um Controlador de Dados.

Sem efeito sobre o restante do DPA. Este Anexo E não afetará de outra forma quaisquer Termos, incluindo o restante deste DPA, que reflitam uma relação Controlador de Dados-Processador de Dados entre os Lojistas e a Shopify.