Addendum over Gegevensverwerking van Shopify

We werken ons addendum over gegevensverwerking bij, dat zal ingaan op 25 juli 2025. Klik hier voor meer informatie over deze wijzigingen.
Ingangsdatum: 25 juli 2025

Addendum over Gegevensverwerking van Shopify

I. DOEL

Dit Addendum over Gegevensverwerking van Shopify ('Shopify Data Processing Addendum', 'DPA') is een aanvulling op en is door middel van verwijzing opgenomen in de Servicevoorwaarden van Shopify, samen met alle voorwaarden die van toepassing zijn op eventuele aanvullende diensten van Shopify die je voor jezelf wilt gebruiken (de 'Voorwaarden') en tussen Jou (of 'Merchant') en de Shopify-contractant zoals uiteengezet in de Voorwaarden ('Shopify'), die de specifieke zakelijke doeleinden en diensten met betrekking tot de DPA uiteenzetten. In geval van tegenstrijdigheid tussen de Voorwaarden en deze DPA, prevaleert de DPA met betrekking tot de verwerking van jouw Klantpersoonsgegevens, zoals hieronder gedefinieerd.

Jij en Shopify (elk een 'Partij', gezamenlijk de 'Partijen') komen overeen dat deze DPA de verplichtingen van de Partijen met betrekking tot de verwerking van Jouw Persoonsgegevens van klanten beschrijft. Jij treedt op als Verwerkingsverantwoordelijke en Shopify treedt op als Verwerker met betrekking tot de verwerking van Jouw Persoonsgegevens van klanten in verband met Jouw gebruik van onze Services die afhankelijk zijn van onze verwerking van Jouw Klantpersoonsgegevens, met uitzondering van de services beschreven in Bijlage E.

Waar de verwerking van Persoonlijke gegevens op grond van deze DPA onderworpen is aan gegevensbeschermingsvereisten in de Europese Economische Ruimte (de 'EER'), het Verenigd Koninkrijk (het 'VK') of Zwitserland en Shopify optreedt als Verwerker, vult Bijlage C deze DPA aan. In geval van tegenstrijdigheden tussen Bijlage C en andere artikelen van deze DPA, prevaleert Bijlage C met betrekking tot de verwerking van Jouw Persoonsgegevens van klanten die onderhevig zijn aan de gegevensverwerkersvereisten van de EER, het Verenigd Koninkrijk en Zwitserland. Om twijfel te voorkomen: Bijlage C is niet van toepassing op de verwerkingsactiviteiten die in Bijlage E worden beschreven.

Waar de verwerking vanPersoonlijke gegevensop grond van deze DPA onderworpen is aan de gegevensbeschermingswetten van de Verenigde Staten en Shopify optreedt als Verwerker of Dienstverlener, vult Bijlage D deze DPA aan. In geval van tegenstrijdigheden tussen Bijlage D en andere artikelen in deze DPA, prevaleert Bijlage D met betrekking tot de verwerking van Jouw Persoonsgegevens van klanten die onderhevig zijn aan de gegevensbeschermingswetten van de Verenigde Staten. Om twijfel te voorkomen: Bijlage D is niet van toepassing op de verwerkingsactiviteiten die in Bijlage E worden beschreven.

Als je uitgebreide services van Shopify ontvangt (zoals gedefinieerd in artikel 9.2 van de Servicevoorwaarden), verwerkt Shopify Jouw Persoonsgegevens van klanten als Verwerkingsverantwoordelijke of Bedrijf, zoals uiteengezet in Bijlage E. In geval van tegenstrijdigheden tussen Bijlage E en andere artikelen van deze DPA, prevaleert Bijlage E met betrekking tot de verwerking van Jouw Persoonsgegevens van klanten door Shopify als Verwerkingsverantwoordelijke of Bedrijf.

Om twijfel te voorkomen: deze DPA is niet van toepassing op de verwerking door Shopify van Persoonsgegevens van klanten die Shopify ontvangt als resultaat van de relatie van de Klant met Shopify via services zoals Shop en Shop Pay.

II. DEFINITIES

Begrippen met een hoofdletter die in deze DPA worden gebruikt maar niet worden gedefinieerd, hebben dezelfde betekenis als in de Voorwaarden:

A. Toepasselijke Wetgeving inzake Gegevensbescherming: Alle gegevensbeschermings- of privacywetten die van toepassing zijn op de verwerking door Shopify van Persoonlijke gegevens op grond van de Voorwaarden, hun uitvoeringsvoorschriften en secundaire wetgeving, elk zoals van tijd tot tijd kan worden gewijzigd, bijgewerkt of vervangen, met inbegrip van de wetten die van toepassing zijn op basis van de locatie of verblijfplaats van de Merchant en/of Jouw Klant(en).

B. Klant: Een individu of entiteit die Jouw Winkel(s) bezoekt, er interactie mee heeft en/of er een product, goed of dienst koopt.

C. ** Aanvraag gegevensrechten**: Een geldige en rechtmatige aanvraag van een persoon om beschikbare rechten uit te oefenen met betrekking tot Persoonlijke gegevens op grond van een Toepasselijke Wet inzake Gegevensbescherming

D. Verwerkingsverantwoordelijke of Bedrijf: De Partij die het doel van en de middelen voor de verwerking van Persoonlijke gegevens vaststelt, of zoals anderszins gedefinieerd op grond van een Toepasselijke Wet inzake Gegevensbescherming.

E. Verwerker of Dienstverlener: De Partij of andere entiteit of onderneming die diensten verleent namens en Persoonlijke gegevens verwerkt op aanwijzing en voor rekening van de Verwerkingsverantwoordelijke of zoals gedefinieerd op grond van een Toepasselijke Wetgeving inzake Gegevensbescherming.

F. Persoonsgegevens: Informatie of gegevens die worden gedefinieerd als 'persoonsgegevens', 'persoonlijke informatie' of 'persoonlijk identificeerbare informatie' (of een analoge term) onder Toepasselijke Wetgeving inzake Gegevensbescherming.

G. Inbreuk op Persoonsgegevens: Met betrekking tot Jouw Klantpersoonsgegevens, wordt geïnterpreteerd in overeenstemming met de Toepasselijke Wetgeving inzake Gegevensbescherming.

H. 'Verwerking', 'verwerkingen' of 'verwerken': (a) Elke bewerking of reeks bewerkingen die wordt uitgevoerd op Persoonlijke gegevens of op verzamelingen van Persoonsgegevens, al dan niet via geautomatiseerde middelen, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, openbaar maken door middel van uitwisseling, verspreiding of andere wijze van beschikbaar maken, samenbrengen of combineren, beperken, wissen of vernietigen; of (b) de definitie die aan dergelijke term(en) wordt gegeven op grond van de Toepasselijke Wetgeving inzake Gegevensbescherming.

I. 'Subverwerker(s)': Gelieerde ondernemingen of externe Verwerkers of Dienstverleners die in opdracht van Shopify Persoonlijke gegevens kunnen verwerken ten behoeve van het leveren van de Diensten.

J. 'Je/Jij', 'Jouw' of 'Merchant': Betekent elke onderneming die Jij exploiteert en die gebruikmaakt van of profiteert van de Diensten, de Uitgebreide Diensten of andere Aanvullende Diensten en die Partij is bij de Voorwaarden van Shopify.

K. 'Jouw Klantpersoonsgegevens': Persoonlijke Gegevens van of over Je Klanten, met uitzondering van Persoonsgegevens van klanten die Shopify ontvangt als resultaat van de relatie van de klant met Shopify. Hierop is het Privacybeleid voor Consumenten van Shopify van toepassing en niet deze Gegevensverwerkingsovereenkomst (DPA).

III. AARD VAN DE VERWERKING EN ROL VAN DE PARTIJEN

Shopify als Verwerker of Dienstverlener. Shopify ontvangt en verwerkt Jouw Persoonsgegevens van klanten om Jou de Diensten te leveren en anderszins zoals hieronder uiteengezet. Afhankelijk van welke van de Diensten Jij aanvraagt of gebruikt, zal Shopify de categorieën van Persoonlijke gegevens verwerken zoals beschreven in Bijlage A, op de manier en op de grondslagen die daarin zijn opgenomen.

Shopify verwerkt Jouw Persoonsgegevens van klanten uitsluitend als Verwerker of Dienstverlener om de Diensten te leveren die in de Voorwaarden en eventuele aanvullende Voorwaarden worden beschreven, en voor zover dat nodig is om die Diensten te leveren, te ontwikkelen en te verbeteren en om andere doeleinden te realiseren die zijn toegestaan op grond van de Toepasselijke Wetgeving inzake Gegevensbescherming.

Shopify als Verwerkingsverantwoordelijke of Bedrijf. Shopify verwerkt JouwPersoonsgegevens van klantenals Verwerkingsverantwoordelijke of Bedrijf (a) onder de omstandigheden en op de wijze zoals uiteengezet in Bijlage E, en (b) voor alle aanvullende doeleinden die verenigbaar zijn met de instructies van de Klant en de Toepasselijke Wetgeving inzake Gegevensbescherming.

IV. VERPLICHTINGEN VAN PARTIJEN

Het volgende artikel beschrijft de respectieve verplichtingen van de Partijen met betrekking tot de verwerking van Persoonlijke gegevens die onder deze DPA vallen.

A. Algemene naleving

  1. De Partijen zullen voldoen aan hun respectieve verplichtingen krachtens de Toepasselijke Wetgeving inzake Gegevensbescherming.

  2. Shopify is niet verplicht om je uit te leggen of te adviseren over Jouw verplichtingen op grond van de Toepasselijke Wetgeving inzake Gegevensbescherming, inclusief met betrekking tot de verwerking van Persoonlijke gegevens die onder deze DPA vallen. Je bent zelf verantwoordelijk om Jouw wettelijke en regelgevende verplichtingen te bepalen, met inbegrip van het evalueren of de technische en organisatorische maatregelen van de Diensten in overeenstemming zijn met Jouw onafhankelijke wettelijke en regelgevende verplichtingen.

B. Verplichtingen van Shopify

1. Gegevensbeveiliging
Shopify zal passende technische en organisatorische maatregelen implementeren en onderhouden die zijn ontworpen om JouwPersoonsgegevens van klantente beschermen tegen ongeoorloofde of onwettige verwerking en tegen onopzettelijk verlies, vernietiging, schade, diefstal, wijziging of openbaarmaking, zoals uiteengezet in Bijlage B.

2. Melding van en onderzoek naar inbreuk op Persoonsgegevens

a) Zoals vereist door de Toepasselijke Wetgeving inzake Gegevensbescherming, zal Shopify Jou op de hoogte stellen zodra Shopify een Inbreuk op Persoonlijke gegevens bevestigt.

b) Een dergelijke kennisgeving bevat de informatie die vereist is op grond van de Toepasselijke Wetgeving inzake Gegevensbescherming voor zover deze informatie redelijkerwijs beschikbaar is voor Shopify. De reactie van Shopify op, of kennisgeving van, een Inbreuk op Persoonlijke gegevens is geen erkenning door Shopify van enige fout of aansprakelijkheid.

c) Shopify stemt ermee in om elke Inbreuk op Persoonlijke gegevens te onderzoeken en commercieel gezien redelijke inspanningen te doen om de gevolgen te identificeren, te voorkomen, te beperken en te verhelpen.

C. Jouw verplichtingen met betrekking tot Persoonlijke gegevens

1. Privacyverklaringen en transparantie: Je verklaart en garandeert dat je voldoet aan alle verplichtingen op grond van Toepasselijke Wetgeving inzake Gegevensbescherming om kennisgeving en transparantie te bieden met betrekking tot jouw verwerking vanPersoonsgegevens van klantenop grond van de Voorwaarden en in verband met jouw gebruik van de Diensten. in overeenstemming met Toepasselijke Wetgeving inzake Gegevensbescherming, zul je aan de relevante personen alle bekendmakingen doen die nodig zijn voor Shopify om jouwPersoonsgegevens van klantenrechtmatig en eerlijk te verwerken in verband met deze DPA, inclusief wanneer je Uitgebreide Diensten of andere Aanvullende Diensten ontvangt, door een link te verstrekken naar het Privacybeleid voor Consumenten van Shopify en naar jouw Privacybeleid en door andere bekendmakingen te verstrekken zoals uiteengezet in Artikel 9.2.5 van de Voorwaarden.

2. Rechten en toestemmingen van de klant: Je verklaart en garandeert dat je over alle benodigde rechten, machtigingen en toestemmingen beschikt om jouwPersoonsgegevens van klantenaan Shopify beschikbaar te stellen en dat Shopify jouwPersoonsgegevens van klantenkan verwerken zodat je de diensten kunt ontvangen, inclusief Uitgebreide Diensten of andere Aanvullende Diensten die je ontvangt, in overeenstemming met de Voorwaarden, deze DPA en Toepasselijke Wetgeving inzake Gegevensbescherming.

3. Aanvraag gegevensrechten: Je verklaart en garandeert dat je jouw Klanten de mogelijkheid biedt om Gegevensrechtaanvragen uit te voeren, zoals vereist door de Toepasselijke Wetgeving inzake Gegevensbescherming, met betrekking tot alle Persoonlijke gegevens verwerkt door Shopify waarvoor je de Verwerkingsverantwoordelijke bent.

4. Vragen van regelgevende instanties: Tenzij dit verboden is door de toepasselijke wetgeving, stel je ons onmiddellijk op de hoogte in overeenstemming met de Kennisgevingsbepaling in de Voorwaarden van enig onderzoek of klacht van een overheidsinstantie, regelgevende instantie of andere externe partij met betrekking tot jouw gebruik van de Diensten.

V. DIVERSEN

A. Wereldwijde gegevensoverdrachten
Je erkent dat jouwPersoonsgegevens van klantenkunnen worden overgedragen en verwerkt in elk land waarin Shopify, zijn gelieerde ondernemingen of externe dienstverleners zijn gevestigd (met inbegrip van Singapore en Canada). Elke overdracht van jouwPersoonsgegevens van klantennaar deze ontvangers zal plaatsvinden in overeenstemming met de Toepasselijke Wetgeving inzake Gegevensbescherming. Voor meer informatie over internationale doorgifte van gegevens, waarbij Shopify onderworpen is aan vereisten voor gegevensbescherming in de EER, het Verenigd Koninkrijk of Zwitserland, zie artikel II(B)(8) van Bijlage C.

B. Reactie op juridische aanvragen

  1. Je erkent dat, in de loop van het leveren van de Diensten aan jou, Shopify jePersoonsgegevens van klantenkan delen (i) om te voldoen aan wettelijke eisen of om te reageren op gerechtelijke bevelen of andere soortgelijke eisen van de overheid of regelgevende instanties; of (ii) om vermoede fraude, bedreigingen van de fysieke veiligheid, illegale activiteiten of schendingen van een contract (zoals de Voorwaarden) of ons beleid (zoals ons Beleid voor aanvaardbaar gebruik) te voorkomen.

  2. Shopify zal redelijke inspanningen leveren alvorens jouwPersoonsgegevens van klantente produceren om ervoor te zorgen dat een dergelijke openbaarmaking is toegestaan op grond van de Toepasselijke Wetgeving inzake Gegevensbescherming en wordt behandeld als vertrouwelijke informatie binnen het toepasselijke juridische kader.

C. Openbaarmaking in Bedrijfstransacties
Je erkent dat, in de loop van het leveren van de Diensten aan jou, Shopify verplicht kan worden om jouwPersoonsgegevens van klantente delen met potentiële tegenpartijen bij een bedrijfs- of herstructureringstransactie.

D. Het gebruik door Shopify van Dienstverleners

  1. Je erkent dat, in de loop van het leveren van de Diensten aan Jou, Shopify Subverwerkers kan gebruiken om Persoonlijke gegevens te verwerken. Shopify houdt een bijgewerkte lijst van alle gebruikte [serviceproviders]({{help, url(path: '/manual/your-account/privacy/subprocessors')})}) bij. Als de Toepasselijke Wetgeving inzake Gegevensbescherming je dergelijke rechten toekent, mag je bezwaar maken tegen het gebruik van een Subverwerker door Shopify, en als Shopify niet in staat of bereid is om aan dergelijke aanvragen te voldoen, mag je, in overeenstemming met dergelijke wetgeving, je gebruik van de betreffende Diensten binnen 30 dagen na een dergelijke kennisgeving beëindigen in overeenstemming met de Voorwaarden.

  2. Het gebruik van dienstverleners door Shopify voor het verwerken van jouwPersoonsgegevens van klantendie je verstrekt, is in overeenstemming met de Toepasselijke Wetgeving inzake Gegevensbescherming. Wanneer Shopify een dienstverlener inschakelt, gaat Shopify een schriftelijke overeenkomst aan met de dienstverlener die contractuele verplichtingen oplegt die in wezen gelijk zijn aan de verplichtingen die in deze DPA zijn opgenomen.

E. Wijziging van de DPA Je erkent en gaat ermee akkoord dat Shopify deze DPA van tijd tot tijd kan wijzigen door het plaatsen van de relevante gewijzigde en geherformuleerde DPA op de website van Shopify, beschikbaar op https://shopify.com/legal/dpa. Dergelijke wijzigingen aan de DPA zijn van kracht vanaf de datum van de plaatsing. Jouw voortgezette gebruik van de Diensten nadat de gewijzigde DPA op de website van Shopify is geplaatst, houdt in dat je akkoord gaat met de gewijzigde DPA en deze accepteert. Als je niet akkoord gaat met eventuele wijzigingen in de DPA, moet je niet doorgaan met het gebruik van de Dienst.

VI BIJLAGEN

  1. Appendix A - Categories of Personal Data

  2. Bijlage B - Gegevensbeveiliging

  3. Bijlage C - GDPR, GDPR VK en Bijlage Gegevensverwerking Zwitserland](#appendix-c)

  4. Bijlage D - Amerikaanse Wetgeving inzake Gegevensbescherming

  5. Bijlage E - Shopify als Verwerkingsverantwoordelijke of Bedrijf voor Uitgebreide Diensten

BIJLAGE A: CATEGORIEËN Persoonlijke gegevens

Als onderdeel van jouw gebruik van de Diensten, en afhankelijk van welke Diensten je gebruikt, kunnen we de volgende categorieën Persoonlijke gegevens ontvangen en verwerken om de Diensten te leveren:

● Klantnaam, e-mailadres, contact-, factuur- en verzendgegevens.

● Aankoop- en andere transactiegegevens van jouw winkel(s).

● Update(s) over de status van transactie(s) met jou of jouw winkel(s)

● Klantactiviteiten in je winkel(s), inclusief bekeken producten en/of producten in winkelwagens.

● Signalen van klantenvoorkeuren, waaronder Wereldwijde privacybescherming ('Global Privacy Control', 'GPC'), aanmeld- en afmeldsignalen.

● Apparaatgegevens van de klant voor het apparaat of de apparaten gebruikt bij het bezoeken van jouw winkel(s), inclusief IP-adres, browser en netwerkactiviteit.

● Andere informatie over de interacties van Klanten met jou.

● Alle andere Persoonlijke gegevens die jij of je Klanten beschikbaar stellen aan Shopify.

BIJLAGE B: GEGEVENSBEVEILIGING

Shopify onderhoudt een informatiebeveiligingsprogramma dat is ontworpen om (a) jou in staat te stellen je Persoonsgegevens van klanten te beveiligen tegen ongeoorloofde of onwettige verwerking en tegen onopzettelijk verlies, vernietiging, schade, diefstal, wijziging of openbaarmaking; (b) redelijkerwijs voorzienbare risico's te identificeren voor de beveiliging en beschikbaarheid van de Diensten die je ontvangt; en (c) beveiligingsrisico's voor de Diensten te minimaliseren.

I. Het informatiebeveiligingsprogramma van Shopify bevat de volgende waarborgen:

A. Logische veiligheid

  1. Toegangscontroles: Shopify maakt zijn systemen alleen toegankelijk voor bevoegd personeel, en alleen als dat nodig is om de Diensten te onderhouden en te leveren. Shopify onderhoudt toegangscontroles en beleid ontworpen om autorisaties te beheren voor toegang tot zijn systemen, met inbegrip van het gebruik van firewalls en/of andere technologie en authenticatiecontroles.

  2. Beperkte Gebruikerstoegang: Shopify (i) verleent en beperkt toegang tot zijn systemen in overeenstemming met het Principle of Least Privilege op basis van de functies van het personeel, en (ii) vereist tweeledige verificatie (2FA) voor toegang tot zijn systemen.

  3. Kwetsbaarheidsbeoordelingen: Shopify onderhoudt een kwetsbaarheidsbeoordelings- en penetratietestprogramma, dat verantwoordelijk is voor het onderzoeken en volgen van geïdentificeerde problemen met de Diensten om deze waar nodig op te lossen.

  4. Applicatiebeveiliging: Shopify onderhoudt een applicatiebeveiligingsprogramma dat verantwoordelijk is voor het beschermen van Diensten tegen applicatiebeveiligingsbedreigingen.

  5. Veranderingsbeheer: Shopify zorgt voor controles die zijn ontworpen om wijzigingen in bestaande Dienst-middelen te loggen, autoriseren, testen, goedkeuren en documenteren, en documenteert wijzigingsdetails binnen zijn veranderingsbeheer of implementatiehulpmiddelen. Shopify test veranderingen volgens zijn veranderingsbeheerstandaarden voorafgaand aan de migratie naar productie.

  6. ** Gegevensintegriteit** In voorkomend geval zal Shopify controles onderhouden die zijn ontworpen om gegevensintegriteit te bieden tijdens de overdracht, opslag en verwerking binnen de Diensten.

  7. Beschikbaarheid: Shopify zal (i) waar nodig redundantie implementeren voor de Diensten om het effect van een storing op de Diensten te minimaliseren, (ii) de Diensten ontwerpen om storingen te anticiperen en te tolereren, en (iii) passende processen implementeren die zijn ontworpen om Persoonsgegevensverkeer weg te leiden van de getroffen gebieden wanneer dat nodig is om te herstellen van storingen.

  8. Bedrijfscontinuïteit en herstel bij noodsituaties: Shopify onderhoudt een risicobeheerprogramma dat is ontworpen om de continuïteit van zijn kritische bedrijfsfuncties te ondersteunen, met inbegrip van processen en procedures voor de identificatie van, de reactie op en het herstel van gebeurtenissen die de levering van de Diensten van Shopify die je ontvangt kunnen verhinderen of wezenlijk belemmeren.

  9. Incidentenbeheer: Shopify biedt je documentatie om beveiligings- of beschikbaarheidsincidenten te melden, beveiligings- of beschikbaarheidsvragen te stellen, en informatie in te dienen over potentiële beveiligings- of beschikbaarheidsproblemen. Shopify onderhoudt corrigerende actieplannen en incidentenbestrijdingsplannen die zijn ontworpen om potentiële bedreigingen van de veiligheid van de Diensten te detecteren, te beperken, te onderzoeken en erop te reageren.

B. Fysieke beveiliging Wanneer dit nodig is om diensten te beschermen zal Shopify (i) redelijke maatregelen implementeren die zijn ontworpen om onbevoegde fysieke toegang, schade, of interferentie met de Diensten te voorkomen, (ii) passende controle-apparaten gebruiken die zijn ontworpen om fysieke toegang tot de Diensten te beperken tot alleen geautoriseerd personeel die een legitieme zakelijke noodzaak voor een dergelijke toegang hebben, en (iii) periodieke controles uitvoeren om de naleving van deze normen te valideren.

C. Werknemers van Shopify: Werknemers van Shopify die toegang hebben tot je Persoonsgegevens van klanten zijn gebonden aan geheimhoudingsverplichtingen als onderdeel van hun arbeidsvoorwaarden. Shopify zal beveiligingsopleidingsprogramma's voor werknemers implementeren en onderhouden met betrekking tot de informatiebeveiligingsvereisten van Shopify. De trainingsprogramma's voor beveiligingsbewustzijn worden periodiek herzien en bijgewerkt.

II. Wijzigingen aan deze Bijlage

Shopify herziet zijn beveiligingsmaatregelen van tijd tot tijd en kan deze Bijlage naar eigen goeddunken bijwerken. Dergelijke updates vervangen eerdere versies van deze Bijlage vanaf de datum dat Shopify de bijgewerkte versie publiceert.

BIJLAGE C: GDPR, GDPR VK EN BIJLAGE GEGEVENSVERWERKING ZWITSERLAND

Waar de verwerking van jouw Persoonsgegevens van klanten onder de DPA onderworpen is aan gegevensbeschermingsvereisten in de Europese Economische Ruimte (de 'EER'), het Verenigd Koninkrijk (het 'VK') of Zwitserland (gezamenlijk de 'Europese Wetgeving inzake Gegevensbescherming'), en Shopify optreedt als Verwerker, vult Bijlage C deze DPA aan.

I. Aard van de verwerking en rol van de Partijen

a. Persoonlijke gegevens

Op grond van deze Bijlage treedt je op als Verwerkingsverantwoordelijke en treedt Shopify op als Verwerker met betrekking tot de verwerking van jouw Persoonsgegevens van klanten zoals beschreven in Bijlage 1, zoals nodig is om de zakelijke doeleinden zoals beschreven in de Voorwaarden te vervullen en je te voorzien van de Diensten waarvan je gebruik wilt maken.

II. Verplichtingen van de Partijen

A. Jouw verplichtingen

Je moet voldoen aan:

● Europese Wetgeving inzake Gegevensbescherming die voor jou bindend zijn met betrekking tot jouw gebruik van de Diensten; en

● Jouw verplichtingen zoals uiteengezet in de DPA, inclusief jouw verplichtingen zoals uiteengezet in deze Bijlage.

Je verklaart en garandeert dat je een geldige wettelijke basis hebt voor het verwerken van de Persoonlijke gegevens(inclusief het beschikbaar stellen van deze gegevens aan Shopify) en dat je alle noodzakelijke toestemmingen, rechten en autorisaties hebt verkregen en alle noodzakelijke kennisgevingen aan personen hebt gedaan met betrekking tot jouw bekendmaking van Persoonlijke gegevens aan Shopify om de verwerking van Persoonlijke gegevens door Shopify mogelijk te maken om de Diensten te leveren, zoals vereist door de Europese Wetgeving inzake Gegevensbescherming.

B. Verplichtingen van Shopify

1. Instructies voor de Verwerkingsverantwoordelijke en schending van de Europese Wetgeving inzake Gegevensbescherming

a) De Partijen komen overeen dat de Voorwaarden en deze DPA tezamen jouw gedocumenteerde instructies vormen met betrekking tot de verwerking van je Persoonsgegevens van klanten door Shopify ('Gedocumenteerde instructies').

b) Shopify verwerkt je Persoonsgegevens van klanten als Verwerker: (i) in overeenstemming met jouw Gedocumenteerde instructies, of (ii) om te voldoen aan de verplichtingen van Shopify op grond van toepasselijke wetgeving, met inachtneming van eventuele kennisgevingsvereisten op grond van wetgeving van de Europese Unie of lidstaten van de Europese Unie waaraan Shopify is onderworpen.

c) Shopify zal je op de hoogte stellen als het een instructie ontvangt waarvan het redelijkerwijs vaststelt dat deze inbreuk maakt op de Europese Wetgeving inzake Gegevensbescherming (maar Shopify is niet verplicht om actief te controleren of je je houdt aan de Europese Wetgeving inzake Gegevensbescherming).

2. Geheimhoudingsplicht

Shopify zal ervoor zorgen dat personen die Shopify machtigt om Persoonsgegevens van klanten te verwerken, ofwel schriftelijke geheimhoudingsovereenkomsten aangaan ofwel onderworpen zijn aan wettelijke geheimhoudingsverplichtingen.

3. Veiligheidsmaatregelen

a) Shopify zal passende technische en organisatorische maatregelen implementeren en onderhouden die zijn ontworpen om jouw Persoonsgegevens van klanten te beschermen tegen ongeoorloofde of onwettige verwerking en tegen onopzettelijk verlies, vernietiging, schade, diefstal, ongeoorloofde toegang, wijziging of openbaarmaking, zoals uiteengezet in Bijlage 2.

b) Rekening houdend met de aard van jouw Persoonsgegevens van klanten en de daarmee verband houdende verwerking, zal Shopify de redelijke ondersteuning verlenen waar jij redelijkerwijs om kunt verzoeken om je te helpen jouw beveiligingsverplichtingen op grond van de Europese Wetgeving inzake Gegevensbescherming na te komen.

c) Shopify stelt je, zonder onnodige vertraging, op de hoogte zodra het zich bewust wordt van een inbreuk op de beveiliging die leidt tot de toevallige of onwettige vernietiging, verlies, wijziging, ongeautoriseerde openbaarmaking van of toegang tot jouw Persoonsgegevens van klanten die zijn verzonden, opgeslagen of anderszins verwerkt.

d) Shopify stemt ermee in om een dergelijke inbreuk op de beveiliging te onderzoeken en commercieel gezien redelijke inspanningen te leveren om de gevolgen te beperken.

4. Subverwerkers

a) Je geeft Shopify in het algemeen toestemming om Subverwerkers in te schakelen om jouw Persoonsgegevens van klanten te verwerken. Je stemt er verder mee in dat Shopify zijn gelieerde ondernemingen kan inschakelen als Subverwerkers.

b) Het gebruik door Shopify van Subverwerkers om jouw Persoonsgegevens van klanten te verwerken zal in overeenstemming zijn met de Europese Wetgeving inzake Gegevensbescherming.

c) Shopify houdt een bijgewerkte lijst van alle Subverwerkers bij zoals uiteengezet in Bijlage 3. Shopify zal de lijst van Subverwerkers waar nodig bijwerken en je een mechanisme bieden om op de hoogte te worden gesteld van van de toevoeging of vervanging van een Subverwerker. Je kunt bezwaar maken tegen het gebruik van een nieuwe Subverwerker door Shopify.

d) Voor zover je bezwaar maakt tegen het gebruik van een Subverwerker door Shopify, en Shopify niet in staat of bereid is om aan dergelijke verzoeken tegemoet te komen, kun je jouw gebruik van de betreffende Diensten binnen 30 dagen na een dergelijke kennisgeving beëindigen in overeenstemming met de Voorwaarden.

e) Wanneer Shopify een nieuwe Subverwerker inschakelt, zal Shopify een schriftelijke overeenkomst aangaan met de Subverwerker en Shopify zal de Subverwerker contractuele verplichtingen opleggen die in wezen gelijk zijn aan de verplichtingen die in deze DPA zijn opgenomen. Shopify is volledig aansprakelijk voor het handelen en nalaten van zijn Subverwerkers in dezelfde mate waarin Shopify aansprakelijk zou zijn als het de diensten van elke Subverwerker rechtstreeks zou uitvoeren onder de voorwaarden van deze DPA. De aansprakelijkheid van Shopify zal niettemin onderworpen zijn aan de voorwaarden en aansprakelijkheidsbeperking zoals uiteengezet in de Voorwaarden.

5. Ondersteuning van de Verwerkingsverantwoordelijke
Rekening houdend met de aard van jouw Persoonsgegevens van klanten en de daarmee verband houdende verwerking, zal Shopify je de redelijke ondersteuning verlenen waar je redelijkerwijs om kunt verzoeken om je te helpen bij het nakomen van jouw verplichtingen:

● om te reageren op Gegevensrechtaanvragen onder de Europese Wetgeving inzake Gegevensbescherming, met betrekking tot alle verwerking van jouw Persoonsgegevens van klanten door Shopify;

● om relevante autoriteiten en/of betrokkenen op de hoogte stellen van een Inbreuk op Persoonsgegevens;

● om effectbeoordelingen op het gebied van gegevensbescherming en voorafgaande raadplegingen uit te voeren;

● om de veiligheid van de verwerking te waarborgen in overeenstemming met artikel 3.

6. Naleving beoordelen

a) Shopify kan jouw Auditrecht onder de Europese Wetgeving inzake Gegevensbescherming met betrekking tot de verwerking van jouw Persoonsgegevens van klanten nakomen door jou - op jouw schriftelijke verzoek en onder voorbehoud van vertrouwelijkheid - het volgende te verstrekken:

(i) de resultaten van het meest recente auditrapport van Shopify, hetzij van de zelf-audits van Shopify of opgesteld door een onafhankelijke externe auditor;
(ii) aanvullende informatie waarover Shopify beschikt als een gegevensbeschermings- of overheidsinstantie daarom vraagt.

b) Op voorwaarde dat en alleen voor zover de Europese Wetgeving inzake Gegevensbescherming jou dit recht toekent, mag je jouw Auditrecht uitoefenen: (i) voor zover een onafhankelijke, internationaal erkende auditor verklaart dat de verstrekking van een auditrapport door Shopify je niet voldoende informatie biedt om te controleren of Shopify voldoet aan deze DPA en aan de Europese Wetgeving inzake Gegevensbescherming of (ii) voor zover je dit nodig hebt om te reageren op een audit van een overheidsinstantie. Elke audit moet voldoen aan de volgende parameters: (i) worden uitgevoerd door een onafhankelijke externe partij die een vertrouwelijkheidsovereenkomst aangaat met Shopify; (ii) in omvang beperkt zijn tot zaken die redelijkerwijs vereist zijn, en zoals wederzijds overeengekomen, voor jou om de naleving door Shopify van deze DPA en de naleving van de Europese Wetgeving inzake Gegevensbescherming door de Partijen te beoordelen; (iii) plaatsvinden op een onderling overeengekomen datum en tijd en alleen tijdens de reguliere kantooruren van Shopify; (iv) niet meer dan eenmaal per jaar plaatsvinden (tenzij vereist op grond van de Europese Wetgeving inzake Gegevensbescherming); (v) alleen betrekking hebben op faciliteiten die worden gecontroleerd door Shopify; (vi) bevindingen beperken tot alleen Persoonsgegevens; en (vii) alle resultaten behandelen als vertrouwelijke informatie voor zover toegestaan door de Europese Wetgeving inzake Gegevensbescherming. Ter verduidelijking, Shopify zal voldoen aan al jouw rechten op grond van dit artikel 6 in overeenstemming met zijn geheimhoudingsverplichtingen tegenover externe partijen.

7. Einde van de verwerking

a) Tijdens jouw gebruik van de Diensten kun je accounttools gebruiken om jouw Persoonsgegevens van klanten in te zien, naar jezelf terug te sturen of te verwijderen.

b) Na beëindiging zal Shopify, volgens jouw keuze, jouw Persoonsgegevens van klanten verwijderen of retourneren. Niettegenstaande het voorgaande, kan Shopify jouw Persoonsgegevens van klanten bewaren: (i) zoals vereist door de wet, met inbegrip van de Europese Wetgeving inzake Gegevensbescherming; en (ii) in overeenstemming met zijn standaard back-upbeleid of beleid voor het bewaren van documenten, op voorwaarde dat, in beide gevallen, Shopify de vertrouwelijkheid van de bewaarde Persoonsgegevens van klanten zal handhaven en anderszins zal voldoen aan de toepasselijke bepalingen van deze DPA met betrekking tot de bewaarde Klantpersoonsgegevens, en de bewaarde Persoonsgegevens van klanten niet verder zal verwerken, behalve voor het doel of de doelen en de duur die zijn toegestaan op grond van dergelijke toepasselijke wetgeving.

**8. Internationale Overdrachten **

a) Onderworpen aan naleving van de Europese Wetgeving inzake Gegevensbescherming, kan Shopify International Ltd., jouw Persoonsgegevens van klanten die op grond van deze Bijlage worden verwerkt, doorgeven buiten de EER, het Verenigd Koninkrijk en Zwitserland als dit nodig is om zijn Diensten te kunnen leveren ('Internationale Overdrachten').

b) Dergelijke overdrachten bestaan voornamelijk uit de overdracht van jouw Persoonsgegevens van klanten aan Shopify Inc., gevestigd in Canada, dat profiteert van een besluit van de Europese Commissie 2002/2/EC van 20 december 2001 over de adequate bescherming van Persoonlijke gegevens door de Canadese Personal Information Protection and Electronic Documents Act.

c) Voor alle Internationale Overdrachten naar landen die geen passend niveau van gegevensbescherming garanderen in de zin van de Europese Wetgeving inzake Gegevensbescherming, gelden passende waarborgen, waaronder de volgende overdrachtsmechanismen:

● de relevante modules onder de modelcontractbepalingen van 2021, goedgekeurd door de Europese Commissie in haar besluit 2021/914/EG van 4 juni 2021;

● het Addendum voor Internationale Gegevensoverdracht bij de modelcontractbepalingen voor internationale gegevensoverdrachten van de Europese Commissie, uitgegeven door het Britse Information Commissioner's Office krachtens S119A(1) van de UK Data Protection Act 2018;

● de modelcontractbepalingen uit 2021, zoals gewijzigd om te voldoen aan de vereisten van de Zwitserse Federale Wet op Gegevensbescherming (zoals van tijd tot tijd gewijzigd) van 19 juni 1992, zoals herzien per 25 september 2001; en

● alle contractuele standaardclausules, addenda voor internationale gegevensoverdracht of andere clausules, addenda of overdrachtsmechanismen die de huidige clausules en addenda kunnen vervangen.

d) Shopify kan, naar eigen goeddunken, elk overdrachtsmechanisme vervangen om ervoor te zorgen dat de gegevensoverdrachten voldoen aan de toepasselijke wetgeving. Als een overdracht is gebaseerd op standaard contractuele clausules en dergelijke clausules worden bijgewerkt door de relevante autoriteiten, zullen dergelijke bijgewerkte clausules of soortgelijke overeenkomsten worden opgenomen in deze DPA alsof ze hierin volledig zijn vermeld.

BIJLAGE 1 - PERSOONLIJKE GEGEVENS

BESCHRIJVING VAN DE VERWERKING VAN PERSOONLIJKE GEGEVENS

I. Onderwerp van de verwerking

Verlening van Shopify-diensten aan Merchant.

II. Categorieën van betrokkenen

Klanten van Merchant.

III. Categorieën van verwerkte Persoonsgegevens

Zie Bijlage A hierboven.

IV. Frequentie van de overdracht

Continu.

V. Aard van de verwerking

Verzamelen, vastleggen, hosten, benaderen, gebruiken, overdragen en verwijderen van Persoonlijke gegevens zoals beschreven in de Voorwaarden.

VI. Doeleinden waarvoor de Persoonlijke gegevens namens de Verwerkingsverantwoordelijke worden verwerkt

Voor de uitvoering en verbetering van de Diensten zoals beschreven in de Voorwaarden

VII. Duur van de verwerking

Duur van de Diensten onder de Voorwaarden of toepasselijke overeenkomst, plus de periode na afloop tot het anonimiseren, retourneren of verwijderen van gegevens.

VIII. Bevoegde toezichthoudende autoriteit De bevoegde toezichthoudende autoriteit is de Data Protection Commission van Ierland.

BIJLAGE 2 - VEILIGHEIDSMAATREGELEN

Informatie over beveiligingsmaatregelen is te vinden in Bijlage B van de DPA.

BIJLAGE 3 - LIJST VAN SUBVERWERKERS

De Subverwerkers die Shopify gebruikt voor het uitvoeren van de Diensten op grond van de Voorwaarden staan hier vermeld.

De Subverwerkers zullen de hierboven beschreven categorieën Persoonlijke gegevens verwerken in verband met de Diensten voor de duur van hun overeenkomst met Shopify.

Bijlage D: Amerikaanse Wetgeving inzake Gegevensbescherming

Dit artikel is alleen van toepassing voor zover: (i) de Amerikaanse Wetgeving inzake Gegevensbescherming van toepassing is op jou en/of jouw Persoonsgegevens van klanten in verband met jouw gebruik van de Diensten; (ii) de volgende bepalingen vereist zijn door de Amerikaanse Wetgeving inzake Gegevensbescherming; en (iii) Shopify optreedt als Verwerker of Dienstverlener. Om twijfel te voorkomen: deze Bijlage D is niet van toepassing op de verwerkingsactiviteiten beschreven in Bijlage E.

  1. De Partijen komen overeen dat de Voorwaarden en deze DPA tezamen jouw gedocumenteerde instructies vormen met betrekking tot de verwerking van je Klantpersoonsgegevens door Shopify ('Gedocumenteerde instructies').

  2. Behalve zoals uiteengezet in Bijlage E, zal Shopify, als je bepaalde Uitgebreide Diensten ontvangt, niet: (i) jouw Persoonlijke gegevens van klanten bewaren, gebruiken of openbaar maken buiten de directe zakelijke relatie met jou of voor enig ander doel dan de beperkte en gespecificeerde doeleinden die in deze DPA en/of de Voorwaarden worden genoemd, met inbegrip van het leveren, ontwikkelen en verbeteren van de Diensten of zoals anderszins toegestaan door de Toepasselijke Amerikaanse Wetgeving inzake Gegevensbescherming, of (ii) jouw Persoonlijke gegevens van klanten 'verkopen' of 'delen' of 'gerichte reclame' maken met jouw Persoonlijke gegevens van klanten in de zin van de CCPA of andere Amerikaanse Wetgeving inzake Gegevensbescherming; of (iii) jouw Persoonlijke gegevens van klanten combineren met Persoonlijke gegevens die het van andere bronnen ontvangt, in elk geval behalve zoals toegestaan onder de Amerikaanse Wetgeving inzake Gegevensbescherming.

  3. Shopify zal: (i) hetzelfde niveau van privacybescherming bieden dat vereist is voor Bedrijven of Verwerkingsverantwoordelijken volgens de Amerikaanse Wetgeving inzake Gegevensbescherming, en jou informeren als Shopify vaststelt dat het niet langer aan deze verplichtingen kan voldoen, in welk geval je redelijke en passende maatregelen kunt nemen om ongeoorloofde verwerking van jouw Klantgegevens te stoppen of te verhelpen; (ii) ervoor zorgen dat personeel dat Shopify machtigt om jouw Persoonlijke gegevens van klanten te verwerken, een schriftelijke geheimhoudingsovereenkomsten aangaat of onderworpen is aan wettelijke geheimhoudingsverplichtingen; (iii) op redelijk schriftelijk verzoek en om je in staat te stellen redelijke en passende stappen te ondernemen om ervoor te zorgen dat Shopify jouw Persoonlijke gegevens van klanten gebruikt op een manier die consistent is met de Amerikaanse Wetgeving inzake Gegevensbescherming, jou voorzien van het SOC2-rapport waaruit een redelijke beoordeling van het informatiebeveiligingsprogramma van Shopify blijkt; en (iv) bij beëindiging van zijn diensten aan jou, het zuiveringsproces starten om jouw Klantgegevens die aan Shopify zijn verstrekt voor verwerking uitsluitend als Verwerker of Dienstverlener te verwijderen, te retourneren of te anonimiseren.

  4. Je verklaart en garandeert dat je geen Persoonlijke gegevens met Shopify deelt van een individu dat gebruik heeft gemaakt van een afmeldrecht dat je hebt toegezegd te respecteren of gevoelige Persoonlijke gegevens van een individu dat geen toestemming heeft gegeven voor de verwerking van dergelijke gevoelige gegevens in overeenstemming met de vereisten onder de Toepasselijke Wetgeving inzake Gegevensbescherming.

Bijlage E - Shopify als Verwerkingsverantwoordelijke of Bedrijf voor Uitgebreide Diensten

Shopify treedt op als Verwerkingsverantwoordelijke of Bedrijf wanneer jij de Uitgebreide Diensten ontvangt zoals gedefinieerd in artikel 9.2 van de Servicevoorwaarden. Shopify kan van tijd tot tijd de diensten en producten bijwerken waarvoor het als Verwerkingsverantwoordelijke of Bedrijf optreedt.

Als onderdeel van de levering van de Uitgebreide Diensten door Shopify, ga je ermee akkoord dat Shopify jouw Persoonlijke gegevens van klanten verwerkt als Verwerkingsverantwoordelijke of Bedrijf onder de Toepasselijke Wetgeving inzake Gegevensbescherming om jou analyses, productpersonalisatie, advertenties en andere diensten aan te bieden, te ontwikkelen en te verbeteren die de interacties en transacties van uw Klanten met uw Winkel, met andere Merchants en met Shopify omvatten. Wanneer Shopify jouw Persoonlijke gegevens van klanten op deze manier verwerkt, zijn het Privacybeleid voor Consumenten van Shopify en deze Bijlage E van deze DPA van toepassing. Je kunt het gebruik van jouw Persoonlijke gegevens van klanten door Shopify op deze manier uitschakelen door Shopify Network Intelligence hier uit te schakelen, hoewel je dan bepaalde apps of functies niet zult kunnen gebruiken, zoals here aangegeven.

1. Privacyverklaringen, transparantie en rechten. In overeenstemming met de toepasselijke wetgeving inzake gegevensbescherming dien je de relevante personen alle informatie te verstrekken die Shopify nodig heeft om jouw Persoonlijke gegevens van klanten rechtmatig en eerlijk te verwerken om jou verbeterde diensten te kunnen leveren in verband met deze Bijlage E van de DPA, onder meer door een link naar het privacybeleid van Shopify voor consumenten in jouw privacybeleid op te nemen en de informatie te verstrekken zoals uiteengezet in artikel 1 van de Servicevoorwaarden.

2. Europese vereisten. Als je gevestigd bent in de EER, het Verenigd Koninkrijk of Zwitserland, of als jouw Klanten zich in de EER, het Verenigd Koninkrijk of Zwitserland bevinden, stem je ermee in, verklaar je en garandeer je dat je toestemming van klanten hebt verkregen en bied je klanten de mogelijkheid om het recht uit te oefenen om toestemming in te trekken, bezwaar te maken tegen bepaalde verwerkingen en zich af te melden voor bepaalde verwerkingen, waar vereist door de Toepasselijke Wetgeving inzake Gegevensbescherming. Om twijfel te voorkomen: je moet toestemming verkrijgen voor gerichte advertenties als onderdeel van de Uitgebreide Diensten en het gebruik van cookies of andere lokale opslagtechnologieën voor zover vereist door de Toepasselijke Wetgeving inzake Gegevensbescherming. Voor meer informatie over de implementatie van deze vereisten kun je hier terecht.

3. Verantwoordelijkheden van de verwerkingsverantwoordelijke. Jij bent een Verwerkingsverantwoordelijke van jouw Persoonlijke gegevens van klanten en bepaalt individueel de doeleinden en middelen van de verwerking van jouw Persoonlijke gegevens van klanten en hoe je je Persoonlijke gegevens van klanten gebruikt en verwerkt, inclusief het bepalen van de wettelijke basis voor jouw verwerking onder de Toepasselijke Wetgeving inzake Gegevensbescherming. Shopify is een Verwerkingsverantwoordelijke van jouw Persoonlijke gegevens van klanten die het verwerkt in overeenstemming met deze Bijlage E en bepaalt individueel de doeleinden en middelen van de verwerking van dergelijke Persoonlijke gegevens en hoe het deze Persoonlijke gegevens gebruikt en verwerkt, inclusief het bepalen van de wettelijke basis voor zijn verwerking onder de Toepasselijke Wetgeving inzake Gegevensbescherming.

Elke Partij is individueel verantwoordelijk voor het reageren op Gegevensrechtaanvragen die die Partij ontvangt met betrekking tot de verwerking van jouw Persoonsgegevens van klanten als Verwerkingsverantwoordelijke.

4. Geen gevolgen voor de rest van de DPA. Deze Bijlage E heeft geen invloed op de Voorwaarden, inclusief de rest van deze DPA, die de relatie Gegevensverantwoordelijke - Verwerker tussen Merchants en Shopify weerspiegelen.