Shopifys tillæg vedrørende databehandling

Vi opdaterer vores tillæg vedrørende databehandling, gældende fra den 25. juli 2025. Klik her for at få mere at vide om disse ændringer.
Gældende fra: 25. juli 2025

Shopify-tillæg vedrørende databehandling

I. FORMÅL

Dette Shopify-tillæg vedrørende databehandling ("DPA") supplerer og er indarbejdet ved henvisning til Shopify servicevilkår sammen med eventuelle vilkår, der gælder for eventuelle yderligere Shopify-tjenester, som du vælger at bruge ("Vilkårene") mellem dig (eller "Shopejer") og Shopifys kontraherende enhed, som angivet i vilkårene ("Shopify"), som beskriver de specifikke forretningsformål og tjenester relateret til DPA'en. I tilfælde af enhver konflikt mellem vilkårene og denne DPA har DPA'en forrang med hensyn til behandlingen af dine kunders personoplysninger, som defineret nedenfor.

Du og Shopify (hver især en "Part", tilsammen "Parterne") accepterer, at denne DPA beskriver parternes forpligtelser vedrørende behandlingen af dine kunders personoplysninger. Du fungerer som dataansvarlig, og Shopify fungerer som databehandler med hensyn til behandlingen af dine kunders personoplysninger i forbindelse med din brug af vores tjenester, der er afhængige af vores behandling af dine kunders personoplysninger, bortset fra de tjenester, der er beskrevet i bilag E.

Hvor behandlingen af personoplysninger i henhold til denne DPA er underlagt databeskyttelseskrav i Det Europæiske Økonomiske Samarbejdsområde ("EØS"), Storbritannien ("Storbritannien") eller Schweiz, og Shopify fungerer som databehandler, supplerer bilag C denne DPA. I tilfælde af enhver konflikt mellem bilag C og andre afsnit af denne DPA har bilag C forrang med hensyn til behandling af dine kunders personoplysninger, der er underlagt databeskyttelseskrav i EØS, Storbritannien og Schweiz. For at undgå tvivl gælder bilag C ikke for de behandlingsaktiviteter, der er beskrevet i bilag E.

Hvor behandlingen af personoplysninger i henhold til denne DPA er underlagt amerikanske databeskyttelseslove, og Shopify fungerer som databehandler eller tjenesteudbyder, supplerer bilag D denne DPA. I tilfælde af enhver konflikt mellem bilag D og andre afsnit af denne DPA har bilag D forrang med hensyn til behandling af dine kunders personoplysninger i henhold til amerikanske databeskyttelseslove. For at undgå tvivl gælder bilag D ikke for de behandlingsaktiviteter, der er beskrevet i bilag E.

Hvis du modtager Forbedrede tjenester fra Shopify (som defineret i afsnit 9.2 i servicevilkårene) behandler Shopify dine kunders personoplysninger som dataansvarlig eller virksomhed som angivet i bilag E. I tilfælde af konflikt mellem bilag E og andre afsnit i denne DPA har bilag E forrang med hensyn til Shopifys behandling af dine kunders personoplysninger som dataansvarlig eller virksomhed.

For at undgå tvivl gælder denne DPA ikke for Shopifys behandling af personoplysninger om kunder, som Shopify modtager som følge af kundens forhold til Shopify gennem tjenester som Shop og Shop Pay.

II. DEFINITIONER

Udtryk med stort begyndelsesbogstav, der anvendes, men ikke er defineret i denne DPA, skal have samme betydning, som de har i vilkårene:

A. Gældende databeskyttelseslov(e): Enhver databeskyttelses- eller privatlivslov, der gælder for Shopifys behandling af personoplysninger i henhold til vilkårene, deres implementeringsbestemmelser og sekundær lovgivning, som hver især kan ændres, opdateres eller erstattes fra tid til anden, herunder (hvis relevant, baseret på shopejerens og/eller din(e) kunde(r)s placering eller bopæl).

B. Kunde: En person eller enhed, der besøger, interagerer med og/eller køber et produkt, en vare eller en tjenesteydelse fra din(e) butik(er).

C. Anmodning om datarettigheder: En gyldig og lovlig anmodning fra en person om at udøve tilgængelige rettigheder vedrørende personoplysninger i henhold til en gældende databeskyttelseslov.

D. Dataansvarlig eller virksomhed: Den part, der fastlægger formålene og midlerne til behandling af personoplysninger, eller som ellers defineret i henhold til gældende databeskyttelseslovgivning.

E. Databehandler eller tjenesteudbyder: Den part eller anden enhed eller virksomhed, der leverer tjenester på vegne af og behandler personoplysninger efter anvisning og på vegne af den dataansvarlige, som defineret under enhver gældende databeskyttelseslovgivning.

F. Personoplysninger: Oplysninger eller data defineret som "personoplysninger", "persondata" eller "personligt identificerbare oplysninger" (eller et analogt udtryk) i henhold til gældende databeskyttelseslovgivning.

G. Brud på persondatasikkerheden: I forbindelse med dine kunders personoplysninger skal dette fortolkes i overensstemmelse med gældende databeskyttelseslovgivning.

H."Behandling", "behandler" eller "behandles": (a) Enhver handling eller række af handlinger, der udføres på personoplysninger eller på sæt af personoplysninger, uanset om det sker ved hjælp af automatiserede processer, såsom indsamling, registrering, organisering, strukturering, opbevaring, tilpasning eller ændring, hentning, søgning, brug, videregivelse ved transmission, formidling eller på anden måde tilgængeliggørelse, sammenstilling eller samkøring, begrænsning, sletning eller destruktion; eller (b) definitionen af sådanne udtryk i henhold til gældende databeskyttelseslovgivning.

I. "Underdatabehandler(e)": Tilknyttede virksomheder eller tredjepartsdatabehandlere eller tjenesteudbydere, der kan behandle personoplysninger efter Shopifys anvisninger med det formål at levere tjenesterne.

J. "Du", "Din" eller "Shopejer": Betyder hver virksomhed, som du driver, og som bruger eller drager fordel af tjenesterne, de Forbedrede tjenester eller andre yderligere tjenester, og som er part i vilkårene med Shopify.

K. "Dine kunders personoplysninger": Personoplysninger fra eller om dine kunder, eksklusive personoplysninger om kunder, som Shopify modtager som følge af kundens forhold til Shopify, som er underlagt Shopifys politik om beskyttelse af persondata for forbrugerne og ikke denne DPA.

III. BEHANDLINGENS ART OG PARTERNES ROLLER

Shopify som databehandler eller tjenesteudbyder. Shopify modtager og behandler dine kunders personoplysninger for at kunne levere tjenesterne til dig og som ellers angivet nedenfor. Afhængigt af hvilke af tjenesterne du anmoder om eller bruger, vil Shopify behandle de kategorier af personoplysninger, der er angivet i bilag A, på den måde og på det grundlag, der er angivet deri.

Shopify behandler kun dine kunders personoplysninger som databehandler eller tjenesteudbyder for at levere de tjenester, der er angivet i vilkårene og eventuelle supplerende vilkår, og som nødvendigt for at levere, udvikle og forbedre sine tjenester og udføre andre formål, der er tilladt i henhold til gældende databeskyttelseslovgivning.

Shopify som dataansvarlig eller virksomhed. Shopify behandler dine kunders personoplysninger som dataansvarlig eller virksomhed (a) under de omstændigheder og på den måde, der er angivet i bilag E, og (b) til eventuelle yderligere formål, der er i overensstemmelse med kundens instruktioner og gældende databeskyttelseslovgivning.

IV. PARTERNES FORPLIGTELSER

I det følgende afsnit beskrives parternes respektive forpligtelser med hensyn til behandlingen af personoplysninger, der er omfattet af denne DPA.

A. Generel overholdelse

  1. Parterne skal overholde deres respektive forpligtelser i henhold til gældende databeskyttelseslovgivning.

  2. Shopify har ingen forpligtelse til at fortolke eller rådgive dig om dine forpligtelser i henhold til gældende databeskyttelseslove, herunder med hensyn til behandlingen af personoplysninger, der er omfattet af denne DPA. Du er eneansvarlig for at fastlægge dine juridiske og lovgivningsmæssige forpligtelser, herunder at vurdere, om de tekniske og organisatoriske foranstaltninger i forbindelse med tjenesterne er i overensstemmelse med dine uafhængige juridiske og lovgivningsmæssige forpligtelser.

B. Shopifys forpligtelser

1. Datasikkerhed
Shopify vil implementere og vedligeholde passende tekniske og organisatoriske foranstaltninger, der er designet til at beskytte dine kunders personoplysninger mod uautoriseret eller ulovlig behandling og mod utilsigtet tab, ødelæggelse, beskadigelse, tyveri, ændring eller videregivelse, som angivet i bilag B.

2. Underretning og undersøgelse af brud på persondatasikkerheden

a) Som krævet af gældende databeskyttelseslove vil Shopify give dig besked, når Shopify bekræfter et brud på persondatasikkerheden.

b) En sådan underretning skal indeholde de oplysninger, der kræves i henhold til gældende databeskyttelseslovgivning, i det omfang sådanne oplysninger er rimeligt tilgængelige for Shopify. Shopifys svar på eller meddelelse om et brud på persondatasikkerheden er ikke en anerkendelse fra Shopifys side af nogen fejl eller ansvar.

c) Shopify accepterer at undersøge ethvert brud på persondatasikkerheden og gøre en kommercielt rimelig indsats for at identificere, forebygge, afbøde og afhjælpe virkningerne.

C. Dine forpligtelser med hensyn til personoplysninger

1. Meddelelser om beskyttelse af persondata og gennemsigtighed: Du erklærer og garanterer, at du overholder alle forpligtelser i henhold til gældende databeskyttelseslovgivning til at give meddelelse og gennemsigtighed vedrørende din behandling af dine kunders personoplysninger i henhold til vilkårene og i forbindelse med din brug af tjenesterne. I overensstemmelse med gældende databeskyttelseslovgivning skal du meddele de relevante personer alle oplysninger, der er nødvendige for, at Shopify lovligt og retfærdigt kan behandle dine kunders personoplysninger i forbindelse med denne DPA, herunder når du modtager Forbedrede tjenester eller andre yderligere tjenester, ved at give et link til Shopifys politik om beskyttelse af persondata for forbrugerne og til din politik om beskyttelse af persondata og give andre oplysninger som angivet i afsnit 9.2.5 i vilkårene.

2. Kunderettigheder og tilladelser: Du erklærer og garanterer, at du har alle nødvendige rettigheder, tilladelser og samtykker til at stille dine kunders personoplysninger til rådighed for Shopify, og at Shopify må behandle dine kunders personoplysninger, så du kan modtage tjenesterne, herunder Forbedrede tjenester eller andre yderligere tjenester, du modtager, i overensstemmelse med vilkårene, denne DPA og gældende databeskyttelseslove.

3. Anmodninger om datarettigheder: Du erklærer og garanterer, at du giver dine kunder mulighed for at udøve anmodninger om datarettigheder, som krævet i henhold til gældende databeskyttelseslovgivning, med hensyn til behandlingen af dine kunders personoplysninger af Shopify, og som du er dataansvarlig for.

4. Reguleringsmæssige forespørgsler: Medmindre det er forbudt ved gældende lov, skal du straks underrette os i overensstemmelse med meddelelsesbestemmelsen i vilkårene om enhver forespørgsel eller klage fra myndigheder eller andre tredjeparter vedrørende din brug af tjenesterne.

V. DIVERSE

A. Globale dataoverførsler
Du anerkender, at dine kunders personoplysninger kan overføres og behandles i ethvert land, hvor Shopify, dets tilknyttede virksomheder eller tredjepartsudbydere er placeret (herunder i Singapore og Canada). Enhver overførsel af dine kunders personoplysninger til disse modtagere vil ske i overensstemmelse med gældende databeskyttelseslovgivning. For mere information om internationale dataoverførsler, hvor Shopify er underlagt databeskyttelseskrav i EØS, Storbritannien eller Schweiz, henvises der til afsnit II(B)(8) i bilag C.

B. Svar på juridiske anmodninger

  1. Du anerkender, at Shopify i forbindelse med levering af tjenesterne til dig kan dele dine kunders personoplysninger (i) for at overholde juridiske krav eller for at reagere på retskendelser eller andre lignende myndigheds- eller lovgivningsmæssige krav; eller (ii) for at forhindre eller undersøge mistanke om bedrageri, trusler mod den fysiske sikkerhed, ulovlig aktivitet eller overtrædelser af en kontrakt (såsom servicevilkårene) eller vores politikker (såsom vores politik for acceptabel brug).

  2. Shopify vil gøre en rimelig indsats, inden dine kunders personoplysninger fremlægges, for at sikre, at en sådan videregivelse er tilladt i henhold til gældende databeskyttelseslovgivning og vil blive behandlet som fortrolige oplysninger i henhold til den gældende juridiske ramme.

C. Offentliggørelse i virksomhedstransaktioner
Du anerkender, at Shopify i forbindelse med levering af tjenesterne til dig kan være forpligtet til at dele dine kunders personoplysninger med potentielle modparter i enhver virksomheds- eller omstruktureringstransaktion.

D. Shopifys brug af tjenesteudbydere

  1. Du anerkender og accepterer, at Shopify i forbindelse med levering af tjenesterne til dig kan bruge tjenesteudbydere til at behandle dine kunders personoplysninger. Shopify vedligeholder en opdateret liste over alle anvendte tjenesteudbydere. Hvis gældende databeskyttelseslove giver dig sådanne rettigheder, kan du gøre indsigelse mod Shopifys brug af en tjenesteudbyder, og hvis Shopify ikke er i stand til eller uvillig til at imødekomme sådanne anmodninger, kan du i overensstemmelse med sådanne love opsige din brug af de berørte tjenester inden for 30 dage efter en sådan meddelelse i overensstemmelse med vilkårene.

  2. Shopifys brug af tjenesteudbydere til at behandle dine kunders personoplysninger, som du angiver, vil være i overensstemmelse med gældende databeskyttelseslovgivning. Når Shopify hyrer en tjenesteudbyder, vil Shopify indgå en skriftlig aftale med tjenesteudbyderen, der pålægger kontraktlige forpligtelser, der i det væsentlige er de samme som dem, der er angivet i denne DPA.

E. Ændring af denne DPA Du anerkender og accepterer, at Shopify kan ændre denne DPA fra tid til anden ved at offentliggøre den relevante ændrede og genformulerede DPA på Shopifys website, som er tilgængelig på https://shopify.com/legal/dpa, og at sådanne ændringer til denne DPA træder i kraft fra datoen for offentliggørelsen. Din fortsatte brug af tjenesterne, efter at den ændrede DPA er offentliggjort på Shopifys website, udgør din accept af den ændrede DPA. Hvis du ikke accepterer ændringer af denne DPA, skal du ikke fortsætte med at bruge tjenesterne.

VI Bilag

  1. Bilag A - Kategorier af personoplysninger

  2. Bilag B - Datasikkerhed

  3. Bilag C - GDPR, GDPR for Storbritannien og bilag om databehandling i Schweiz

  4. Bilag D - Amerikanske databeskyttelseslove

  5. Bilag E - Shopify som dataansvarlig eller virksomhed for Forbedrede tjenester

BILAG A: KATEGORIER AF PERSONOPLYSNINGER

Som en del af din brug af tjenesterne, og afhængigt af hvilke tjenester du bruger, kan vi modtage og behandle følgende kategorier af personoplysninger for at levere tjenesterne:

● Kundens navn, e-mail, kontaktoplysninger, fakturerings- og leveringsoplysninger

● Købs- og andre transaktionsoplysninger fra din(e) butik(er)

● Opdatering(er) om status for transaktion(er) med dig eller din(e) butik(er)

● Kundeaktivitet i din(e) butik(er), herunder produkter, der er blevet vist og/eller inkluderet i indkøbskurve

● Kundepræferencesignaler, herunder Global Privacy Control ("GPC"), fravalgs- og tilmeldingssignaler

● Kundens enhedsoplysninger for den/de enhed(er), der bruges ved besøg på din(e) butik(er), herunder IP-adresse, browser og netværksaktivitet

● Andre oplysninger om kundernes interaktioner med dig

● Eventuelle andre personoplysninger, du eller dine kunder vælger at gøre tilgængelige for Shopify

BILAG B: DATASIKKERHED

Shopify vil opretholde et informationssikkerhedsprogram, der er designet til at (a) gøre det muligt for dig at sikre dine kunders personoplysninger mod uautoriseret eller ulovlig behandling og mod utilsigtet tab, ødelæggelse, beskadigelse, tyveri, ændring eller videregivelse; (b) identificere rimeligt forudsigelige risici for sikkerheden og tilgængeligheden af de tjenester, du modtager; og (c) minimere sikkerhedsrisici for tjenesterne.

I. Shopifys informationssikkerhedsprogram vil omfatte følgende sikkerhedsforanstaltninger:

A. Logisk sikkerhed

  1. Adgangskontroller: Shopify vil kun gøre sine systemer tilgængelige for autoriseret personale, og kun i det omfang det er nødvendigt for at vedligeholde og levere tjenesterne. Shopify vil opretholde adgangskontroller og politikker, der er designet til at administrere autorisationer for adgang til sine systemer, herunder gennem brug af firewalls og/eller anden teknologi og godkendelseskontroller.

  2. Begrænset brugeradgang: Shopify vil (i) tilvejebringe og begrænse adgang til sine systemer i overensstemmelse med principperne om mindst mulig privilegium baseret på personalets jobfunktioner, og (ii) kræve tofaktorgodkendelse (2FA) for adgang til sine systemer.

  3. Sårbarhedsvurderinger: Shopify vil opretholde et program for sårbarhedsvurdering og penetrationstestning, der er ansvarlig for at undersøge og spore identificerede problemer med tjenesterne for at løse dem, hvor det er nødvendigt.

  4. Applikationssikkerhed: Shopify har et applikationssikkerhedsprogram, der er ansvarligt for at beskytte tjenester mod applikationssikkerhedstrusler.

  5. Ændringsstyring: Shopify vil opretholde kontroller designet til at logge, autorisere, teste, godkende og dokumentere ændringer af eksisterende tjenesteressourcer og vil dokumentere ændringsdetaljer i sine værktøjer til ændringsstyring eller implementering. Shopify vil teste ændringer i henhold til sine standarder for ændringsstyring før migrering til produktion.

  6. Dataintegritet: Shopify vil, hvor det er relevant, opretholde kontroller, der er designet til at sikre dataintegritet under overførsel, opbevaring og behandling inden for tjenesterne.

  7. Tilgængelighed: Shopify vil (i) implementere redundans, hvor det er relevant, for tjenesterne for at minimere effekten af en funktionsfejl på tjenesterne, (ii) designe tjenesterne til at forudse og tolerere fejl, og (iii) implementere passende processer designet til at flytte persondatatrafik væk fra de berørte områder, når det er nødvendigt for at komme sig efter fejl.

  8. Forretningskontinuitet og katastrofeberedskab: Shopify vil opretholde et risikostyringsprogram, der er designet til at understøtte kontinuiteten i sine kritiske forretningsfunktioner, herunder processer og procedurer til identifikation af, reaktion på og genopretning fra hændelser, der kan forhindre eller væsentligt forringe Shopifys levering af de tjenester, du modtager.

  9. Hændelseshåndtering: Shopify leverer dokumentation, så du kan rapportere sikkerheds- eller tilgængelighedshændelser, stille spørgsmål om sikkerhed eller tilgængelighed og indsende oplysninger om potentielle sikkerheds- eller tilgængelighedsproblemer. Shopify vil opretholde korrigerende handlingsplaner og hændelsesresponsplaner, der er designet til at opdage, afbøde, undersøge og reagere på potentielle sikkerhedstrusler mod tjenesterne.

B. Fysisk sikkerhed: Hvor det er nødvendigt for at beskytte tjenesterne, vil Shopify (i) implementere rimelige foranstaltninger, der er designet til at forhindre uautoriseret fysisk adgang, beskadigelse eller interferens med tjenesterne, (ii) anvende passende kontrolenheder, der er designet til at begrænse fysisk adgang til tjenesterne til kun autoriseret personale, der har et legitimt forretningsbehov for en sådan adgang, og (iii) udføre periodiske gennemgange for at validere overholdelsen af disse standarder.

C. Shopify-medarbejdere: Shopify-medarbejdere, der er autoriseret til at få adgang til personoplysninger, er bundet af fortrolighedsforpligtelser som en del af deres ansættelsesvilkår. Shopify vil implementere og vedligeholde sikkerhedstræningsprogrammer for medarbejdere vedrørende Shopifys informationssikkerhedskrav. Sikkerhedsbevidsthedstræningsprogrammerne vil blive gennemgået og opdateret med jævne mellemrum.

II. Ændringer til dette bilag

Shopify gennemgår sine sikkerhedsforanstaltninger fra tid til anden og kan opdatere dette bilag efter eget skøn. Sådanne opdateringer erstatter tidligere versioner af dette bilag fra den dato, hvor Shopify udgiver den opdaterede version.

BILAG C: GDPR, GDPR FOR STORBRITANNIEN OG BILAG OM DATABEHANDLING I SCHWEIZ

Hvor behandlingen af dine kunders personoplysninger i henhold til denne DPA er underlagt databeskyttelseskrav i Det Europæiske Økonomiske Samarbejdsområde ("EØS"), Storbritannien ("Storbritannien") eller Schweiz (samlet kaldet "europæiske databeskyttelseslove"), og Shopify fungerer som databehandler, supplerer bilag C denne DPA.

I. Behandlingens art og parternes rolle

A. Personoplysninger

I henhold til dette bilag fungerer du som dataansvarlig, og Shopify fungerer som databehandler med hensyn til behandlingen af dine kunders personoplysninger som beskrevet i bilag 1, i det omfang det er nødvendigt for at opfylde de forretningsformål, der er beskrevet i vilkårene, og levere de tjenester, du vælger at bruge.

II. Parternes forpligtelser

A. Dine forpligtelser

Du skal overholde:

● Europæiske databeskyttelseslove, der er bindende for dig i forbindelse med din brug af tjenesterne; og

● dine forpligtelser som angivet i denne DPA, herunder dine forpligtelser som angivet i dette bilag.

Du erklærer og garanterer, at du har et gyldigt juridisk grundlag for at behandle dine kunders personoplysninger (herunder at stille sådanne data til rådighed for Shopify), og at du har indhentet alle nødvendige samtykker, rettigheder og autorisationer samt givet alle nødvendige meddelelser til enkeltpersoner for at muliggøre Shopifys behandling af dine kunders personoplysninger for at levere tjenesterne, som krævet i henhold til europæiske databeskyttelseslove.

B. Shopifys forpligtelser

1. Den dataansvarliges instruktioner og overtrædelse af europæiske databeskyttelseslove

a) Parterne accepterer, at vilkårene sammen med denne DPA udgør dine dokumenterede instruktioner vedrørende Shopifys behandling af dine kunders personoplysninger ("Dokumenterede instruktioner").

b) Shopify behandler dine kunders personoplysninger som databehandler: (i) i overensstemmelse med dine dokumenterede instruktioner, eller (ii) for at overholde Shopifys forpligtelser i henhold til gældende love, med forbehold af eventuelle meddelelseskrav i henhold til EØS, EØS-medlemsland, Storbritannien eller schweizisk lovgivning, som Shopify er underlagt.

c) Shopify vil underrette dig, hvis de modtager en instruktion, som de med rimelighed kan fastslå overtræder europæiske databeskyttelseslove (men Shopify har ingen forpligtelse til aktivt at overvåge din overholdelse af europæiske databeskyttelseslove).

2. Fortrolighedsforpligtelse

Shopify vil sikre, at personer, der har tilladelse til at behandle dine kunders personoplysninger, enten indgår skriftlige fortrolighedsaftaler eller er underlagt lovpligtige fortrolighedsforpligtelser.

3. Sikkerhedsforanstaltninger

a) Shopify skal implementere og vedligeholde passende tekniske og organisatoriske foranstaltninger, der er designet til at beskytte dine kunders personoplysninger mod uautoriseret eller ulovlig behandling og mod utilsigtet tab, ødelæggelse, beskadigelse, tyveri, uautoriseret adgang, ændring eller videregivelse, som angivet i bilag 2.

b) Under hensyntagen til karakteren af dine kunders personoplysninger og den relaterede behandling skal Shopify yde den rimelige bistand, som du med rimelighed kan anmode om, for at hjælpe dig med at opfylde dine sikkerhedsforpligtelser i henhold til europæiske databeskyttelseslove.

c) Shopify skal give dig besked uden unødig forsinkelse, når Shopify bliver opmærksom på et sikkerhedsbrud, der fører til utilsigtet eller ulovlig ødelæggelse, tab, ændring, uautoriseret videregivelse af eller adgang til dine kunders personoplysninger, der er overført, lagret eller på anden måde behandlet.

d) Shopify accepterer at undersøge ethvert sådant sikkerhedsbrud og gøre kommercielt rimelige bestræbelser på at afbøde virkningerne.

4. Underdatabehandlere

a) Du giver generelt Shopify tilladelse til at hyre underdatabehandlere til at behandle dine kunders personoplysninger. Du accepterer endvidere, at Shopify kan engagere sine tilknyttede selskaber som underdatabehandlere.

b) Shopifys brug af underdatabehandlere til at behandle dine kunders personoplysninger vil være i overensstemmelse med europæiske databeskyttelseslove.

c) Shopify opretholder en opdateret liste over alle underdatabehandlere som angivet i bilag 3. Shopify vil opdatere listen over underdatabehandlere efter behov og give dig en mekanisme til at få besked om tilføjelse eller udskiftning af en underdatabehandler. Du kan gøre indsigelse mod Shopifys brug af en ny underdatabehandler.

d) I det omfang du gør indsigelse mod Shopifys brug af en underdatabehandler, og Shopify ikke er i stand til eller uvillig til at imødekomme sådanne anmodninger, kan du opsige din brug af de berørte tjenester inden for 30 dage efter en sådan meddelelse i overensstemmelse med vilkårene.

e) Hvor Shopify hyrer en ny underdatabehandler, indgår Shopify en skriftlig aftale med underdatabehandleren, og Shopify pålægger underdatabehandleren kontraktlige forpligtelser, der i det væsentlige er de samme som dem, der er angivet i denne DPA. Shopify er fuldt ansvarlig for sine underdatabehandleres handlinger og undladelser i samme omfang, som Shopify ville være ansvarlig, hvis de udførte hver underdatabehandlers tjenester direkte i henhold til vilkårene i denne DPA. Shopifys ansvar er dog underlagt de betingelser og ansvarsbegrænsninger, der er angivet i vilkårene.

5. Bistand til den dataansvarlige
Under hensyntagen til arten af dine kunders personoplysninger og den tilhørende behandling, skal Shopify tilbyde den rimelige bistand, som du med rimelighed kan anmode om, for at hjælpe dig med at overholde dine forpligtelser:

● til at besvare anmodninger om datarettigheder i henhold til europæiske databeskyttelseslove med hensyn til al behandling af dine kunders personoplysninger af Shopify

● til at underrette relevante myndigheder og/eller registrerede om et brud på persondatasikkerheden

● til at udføre konsekvensanalyser vedrørende databeskyttelse og forudgående høringer

● til at sikre sikkerheden ved behandlingen i overensstemmelse med afsnit 3.

6. Vurdering af overholdelse

a) Shopify kan opfylde din ret til revision i henhold til europæiske databeskyttelseslove i forbindelse med behandling af dine kunders personoplysninger ved at give dig – efter din skriftlige anmodning og underlagt fortrolighed – følgende:

(i) Resultaterne af Shopifys seneste revisionsrapport, enten fra Shopifys selvrevisioner eller udarbejdet af en uafhængig tredjepartsrevisor;
(ii) yderligere oplysninger, som Shopify kontrollerer, hvis en databeskyttelsesmyndighed eller en offentlig myndighed anmoder om det.

b) Forudsat, og kun i det omfang, at europæiske databeskyttelseslove giver dig denne ret, kan du udøve din revisionsret: (i) i det omfang, at en uafhængig internationalt anerkendt revisor bekræfter, at Shopifys levering af en revisionsrapport ikke giver tilstrækkelige oplysninger til, at du kan verificere Shopifys overholdelse af denne DPA og europæiske databeskyttelseslove, eller (ii) som nødvendigt for, at du kan reagere på en revision foretaget af en offentlig myndighed. Hver revision skal overholde følgende parametre: (i) udføres af en uafhængig tredjepart, der indgår en fortrolighedsaftale med Shopify; (ii) være begrænset i omfang til forhold, der med rimelighed kræves, og som gensidigt aftalt, for at du kan vurdere Shopifys overholdelse af denne DPA og parternes overholdelse af europæiske databeskyttelseslove; (iii) finde sted på en gensidigt aftalt dato og tidspunkt og kun inden for Shopifys normale åbningstid; (iv) finde sted højst én gang årligt (medmindre det kræves i henhold til europæiske databeskyttelseslove); (v) kun dække faciliteter, der kontrolleres af Shopify; (vi) begrænse resultaterne til kun dine kunders personoplysninger; og (vii) behandle eventuelle resultater som fortrolige oplysninger i det videst mulige omfang i henhold til europæiske databeskyttelseslove. For at præcisere vil Shopify overholde alle dine rettigheder i henhold til dette afsnit 6 i overensstemmelse med sine fortrolighedsforpligtelser over for tredjeparter.

7. Afslutning af behandlingen

a) Under din brug af tjenesterne kan du bruge kontoværktøjer til at få adgang til, returnere til dig selv eller slette dine kunders personoplysninger.

b) Efter ophøret vil Shopify, efter dit valg, slette eller returnere dine kunders personoplysninger. Uanset ovenstående kan Shopify opbevare dine kunders personoplysninger: (i) som påkrævet ved lov, herunder europæiske databeskyttelseslove; og (ii) i overensstemmelse med sine standardpolitikker for backup eller opbevaring af data, forudsat at Shopify i begge tilfælde vil opretholde fortroligheden af og i øvrigt overholde de gældende bestemmelser i denne DPA med hensyn til dine kunders opbevarede personoplysninger og ikke yderligere behandle dine kunders opbevarede personoplysninger undtagen til det/de formål og den varighed, der er tilladt i henhold til gældende love.

8. Internationale overførsler

a) Med forbehold for overholdelse af europæiske databeskyttelseslove kan Shopify International Ltd. overføre dine kunders personoplysninger, der behandles i henhold til dette bilag, uden for EØS, Storbritannien og Schweiz, hvis det er nødvendigt for at levere sine tjenester ("Internationale overførsler").

b) Sådanne overførsler består primært i overførsel af dine kunders personoplysninger til Shopify Inc., der er baseret i Canada, og som er omfattet af en afgørelse fra EU-Kommissionen 2002/2/EF dateret 20. december 2001 om tilstrækkelig beskyttelse af personoplysninger i henhold til den canadiske lov om beskyttelse af personlige oplysninger og elektroniske dokumenter.

c) Enhver international overførsel til lande, der ikke sikrer et tilstrækkeligt databeskyttelsesniveau i henhold til den europæiske databeskyttelseslovgivning, vil være underlagt passende sikkerhedsforanstaltninger, herunder følgende overførselsmekanismer:

● De relevante moduler i henhold til standardkontraktbestemmelserne fra 2021, som Europa-Kommissionen godkendte i sin afgørelse 2021/914/EF af 4. juni 2021;

● Tillægget om international dataoverførsel til Europa-Kommissionens standardkontraktbestemmelser for internationale dataoverførsler, udstedt af UK Information Commissioner's Office i henhold til § 119A(1) i UK Data Protection Act 2018

● Standardkontraktbestemmelserne fra 2021 som ændret for at opfylde kravene i den schweiziske føderale lov om databeskyttelse (som ændret fra tid til anden) af 19. juni 1992 som revideret pr. 25. september 2001; og

● Eventuelle standardkontraktbestemmelser, tillæg vedrørende international dataoverførsel eller andre klausuler, tillæg eller overførselsmekanismer, der måtte erstatte de nuværende klausuler og tillæg.

d) Shopify kan efter eget skøn erstatte enhver overførselsmekanisme for at sikre, at dataoverførsler overholder gældende love. Hvis en overførsel er baseret på standardkontraktbestemmelser, og sådanne bestemmelser opdateres af de relevante myndigheder, vil sådanne opdaterede bestemmelser eller lignende aftaler blive indarbejdet i denne DPA, som om de var fuldt ud angivet heri.

BILAG 1 - PERSONOPLYSNINGER

BESKRIVELSE AF BEHANDLINGEN AF PERSONOPLYSNINGER

I. Genstanden for behandlingen

Levering af Shopify-tjenester til shopejeren.

II. Kategorier af registrerede

Kunder hos shopejere.

III. Kategorier af behandlede personoplysninger

Se bilag A ovenfor.

IV. Overførselshyppighed

Kontinuerlig.

V. Behandlingens art

Indsamling, registrering, hosting, adgang til, brug, overførsel og sletning af personoplysninger som beskrevet i vilkårene.

VI. Formål, hvortil personoplysningerne behandles på den dataansvarliges vegne

Til ydeevne og forbedring af tjenesterne som beskrevet i vilkårene.

VII. Behandlingens varighed

Tjenesternes varighed i henhold til vilkårene eller den gældende aftale plus perioden efter et sådant udløb indtil anonymisering, returnering eller sletning af data.

VIII. Kompetent tilsynsmyndighed Den kompetente tilsynsmyndighed er Irlands databeskyttelseskommission.

BILAG 2 - SIKKERHEDSFORANSTALTNINGER

Oplysninger om sikkerhedsforanstaltninger findes i bilag B til denne DPA.

BILAG 3 - LISTE OVER UNDERDATABEHANDLERE

De underdatabehandlere, der anvendes af Shopify til levering af tjenesterne i henhold til vilkårene, er anført her.

Underdatabehandlerne behandler de ovenfor beskrevne kategorier af personoplysninger i forbindelse med tjenesterne i hele deres aftale med Shopify.

Bilag D: Amerikanske databeskyttelseslove

Dette afsnit gælder kun i det omfang, at: (i) amerikanske databeskyttelseslove gælder for dine og/eller dine kunders personoplysninger i forbindelse med din brug af tjenesterne; (ii) følgende bestemmelser er påkrævet i henhold til amerikanske databeskyttelseslove; og (iii) Shopify fungerer som databehandler eller tjenesteudbyder. For at undgå tvivl gælder dette bilag D ikke for de behandlingsaktiviteter, der er beskrevet i bilag E.

  1. A. Parterne accepterer, at vilkårene sammen med denne DPA udgør dine dokumenterede instruktioner vedrørende Shopifys behandling af dine kunders personoplysninger ("Dokumenterede instruktioner").

  2. Bortset fra som angivet i bilag E, hvis du modtager visse Forbedrede tjenester, vil Shopify ikke: (i) opbevare, bruge eller videregive dine kunders personoplysninger uden for sit direkte forretningsforhold med dig eller til andre formål end de begrænsede og specificerede formål, der er identificeret i denne DPA og/eller vilkårene, herunder at levere, udvikle og forbedre tjenesterne eller som ellers tilladt i henhold til gældende amerikanske databeskyttelseslove, eller (ii) "sælge" eller "dele" dine kunders personoplysninger eller udføre "målrettet annoncering" med dine kunders personoplysninger i henhold til CCPA eller andre amerikanske databeskyttelseslove; eller (iii) kombinere dine kunders personoplysninger med personoplysninger, som Shopify modtager fra andre kilder, i hvert tilfælde undtagen som tilladt i henhold til amerikanske databeskyttelseslove.

  3. Shopify vil (i) tilbyde det samme niveau af privatlivsbeskyttelse, som kræves af virksomheder eller dataansvarlige i henhold til amerikanske databeskyttelseslove, og informere dig, hvis Shopify fastslår, at de ikke længere kan opfylde disse forpligtelser, i hvilket tilfælde du kan tage rimelige og passende skridt til at stoppe eller afhjælpe enhver uautoriseret behandling af sådanne personoplysninger, (ii) sikre, at personale, som Shopify bemyndiger til at behandle personoplysninger, enten indgår skriftlige fortrolighedsaftaler eller er underlagt lovpligtige fortrolighedsforpligtelser, (iii) efter rimelig skriftlig anmodning, og som en del af at gøre det muligt for dig at tage rimelige og passende skridt til at sikre, at Shopify bruger dine kunders personoplysninger på en måde, der er i overensstemmelse med amerikanske databeskyttelseslove, fremlægge SOC2-rapporten, der viser en rimelig vurdering af Shopifys informationssikkerhedsprogram; og (iv) ved ophør af deres tjenester til dig vil Shopify iværksætte sin rensningsproces for at slette, returnere eller afidentificere dine kunders personoplysninger, der er leveret til Shopify til behandling udelukkende som databehandler eller tjenesteudbyder.

  4. Du erklærer og garanterer, at du ikke vil dele personoplysninger om en person, der har udøvet en frameldingsret, som du har forpligtet dig til at respektere, eller følsomme personoplysninger om en person, der ikke har givet samtykke til behandling af sådanne følsomme oplysninger, med Shopify, i overensstemmelse med kravene i gældende databeskyttelseslovgivning.

Bilag E: Shopify som dataansvarlig eller virksomhed for Forbedrede tjenester

Shopify fungerer som dataansvarlig eller virksomhed, når du modtager de Forbedrede tjenester som defineret i afsnit 9.2 i servicevilkårene. Shopify kan fra tid til anden opdatere de tjenester og produkter, som den fungerer som dataansvarlig eller virksomhed for.

Som en del af Shopifys levering af de Forbedrede tjenester accepterer du, at Shopify behandler dine kunders personoplysninger som dataansvarlig eller virksomhed i henhold til gældende databeskyttelseslovgivning for at levere, udvikle og forbedre analyser, produkttilpasning, reklame og andre tjenester til dig, der omfatter dine kunders interaktioner og transaktioner med din butik, med andre shopejere og med Shopify. Når Shopify behandler dine kunders personoplysninger på denne måde, gælder Shopifys politik om beskyttelse af persondata for forbrugerne og dette bilag E til denne DPA. Du kan deaktivere Shopifys brug af dine kunders personoplysninger på denne måde ved at deaktivere Shopify Network Intelligence her, selvom du ikke vil kunne bruge visse apps eller funktioner, som angivet [TODO: Link].

1. Meddelelser om beskyttelse af persondata, gennemsigtighed og rettigheder. I overensstemmelse med gældende databeskyttelseslove skal du meddele de relevante personer alle oplysninger, der er nødvendige for, at Shopify lovligt og retfærdigt kan behandle dine kunders personoplysninger for at levere Forbedrede tjenester til dig i forbindelse med dette bilag E til denne DPA, herunder ved at angive et link til Shopifys politik om beskyttelse af persondata for forbrugerne i din egen politik om beskyttelse af persondata og give de oplysninger, der er angivet i afsnit 1 i servicevilkårene.

2. Europæiske krav. Hvis du er baseret i EØS, Storbritannien eller Schweiz, eller hvis dine kunder er i EØS, Storbritannien eller Schweiz, accepterer, erklærer og garanterer du, at du har indhentet samtykke fra kunderne, og giver kunderne mulighed for at udøve retten til at trække deres samtykke tilbage, gøre indsigelse mod visse behandlinger og fravælge visse behandlinger, hvor det kræves i henhold til gældende databeskyttelseslovgivning. For at undgå tvivl skal du indhente samtykke til målrettet annoncering som en del af de Forbedrede tjenester og brugen af cookies eller andre lokale lagringsteknologier i det omfang, det kræves i henhold til gældende databeskyttelseslovgivning. For at få mere information om implementering af disse krav kan du besøge [TODO: link].

3. Den dataansvarliges ansvar. Du er dataansvarlig for dine kunders personoplysninger og skal individuelt bestemme formålene og midlerne til din behandling af dine kunders personoplysninger, og hvordan dine kunders personoplysninger skal anvendes og behandles, herunder fastlæggelse af retsgrundlaget for din behandling i henhold til gældende databeskyttelseslovgivning. Shopify er dataansvarlig for dine kunders personoplysninger, som behandles i overensstemmelse med dette bilag E, og skal individuelt bestemme formålene og midlerne til behandling af sådanne personoplysninger, og hvordan sådanne personoplysninger skal anvendes og behandles, herunder fastlæggelse af retsgrundlaget for behandlingen i henhold til gældende databeskyttelseslovgivning.

Hver part er individuelt ansvarlig for at besvare anmodninger om datarettigheder, som den modtager i forbindelse med sin behandling af dine kunders personoplysninger som dataansvarlig.

4. Ingen virkning på resten af DPA. Dette bilag E påvirker ikke i øvrigt nogen vilkår, herunder resten af denne DPA, der afspejler et dataansvarlig-databehandler-forhold mellem shopejere og Shopify.