Adenda ao Processamento de Dados da Shopify

Estamos a atualizar a nossa Adenda ao Processamento de Dados, com efeitos a partir de 25 de julho de 2025. Clique aqui para as alterações.
Última atualização: 10 de setembro de 2024

Adenda ao Processamento de Dados da Shopify

I. FINALIDADE

A presente Adenda ao Processamento de Dados (“APD”) da Shopify complementa e encontra-se incorporada por referência nos Termos de Serviço da Shopify, juntamente com quaisquer termos aplicáveis a serviços adicionais da Shopify que opte por utilizar (“Termos”), celebrada entre o utilizador (ou “Comerciante”) e a Entidade Contratante da Shopify, conforme definida nos Termos (“Shopify”), que estabelece os fins comerciais específicos e os serviços relacionados com a APD. Em caso de conflito entre os Termos e a presente APD, prevalecerá a APD no que diz respeito ao tratamento dos Seus Dados Pessoais.

Quando o tratamento de Dados Pessoais ao abrigo da APD estiver sujeito aos requisitos de proteção de dados no Espaço Económico Europeu (“EEE”), no Reino Unido ou na Suíça, o Apêndice C complementa a presente APD. Em caso de conflito entre o Apêndice C e outras secções da APD, o Apêndice C prevalecerá no que diz respeito ao tratamento dos Seus Dados Pessoais sujeito aos requisitos de privacidade do EEE, Reino Unido e Suíça.

O utilizador e a Shopify (cada um, uma “Parte”, em conjunto, as “Partes”) concordam que a presente APD estabelece as obrigações das Partes relativamente ao tratamento dos Seus Dados Pessoais no âmbito dos Termos e da utilização dos Serviços por parte do utilizador. Para evitar dúvidas, a presente APD não se aplica ao tratamento de Dados Pessoais pela Shopify enquanto Controladora de Dados, incluindo Dados Pessoais de Clientes que receba na sequência de uma relação direta ou interação intencional do Cliente com a Shopify, como através de serviços voltados para o consumidor, como a aplicação Shop e o Shop Pay.

II. DEFINIÇÕES

Os termos iniciados por letra maiúscula utilizados mas não definidos na presente ADP terão o significado que lhes é atribuído nos Termos:

A. Leis de Proteção de Dados Aplicáveis: todas as leis de proteção de dados ou de privacidade aplicáveis ao tratamento, por parte da Shopify, dos Seus Dados Pessoais ao abrigo dos Termos, incluindo os respetivos regulamentos de aplicação e legislação complementar, conforme possam ser alterados, atualizados ou substituídos ocasionalmente, incluindo (consoante aplicável, com base na localização ou residência do Comerciante e/ou dos Seus Clientes):

1. Personal Information Protection and Electronic Documents Act do Canadá, de 2000 (“PIPEDA”);

2. a) California Consumer Privacy Act, conforme alterada pela California Privacy Rights Act (“CCPA”); b) Virginia Consumer Data Protection Act; c) Colorado Privacy Act; d) Connecticut Data Privacy Act; e) Utah Consumer Privacy Act; f) Oregon Consumer Privacy Act; g) Texas Data Privacy and Security Act; h) Montana Consumer Data Privacy Act; e i) após a sua entrada em vigor, leis abrangentes de privacidade semelhantes noutros estados dos EUA (coletivamente designadas “Leis de Proteção de Dados dos EUA”);

3. Regulamento Geral sobre a Proteção de Dados (Regulamento (UE) 2016/679) (“RGPD”) e quaisquer leis nacionais de execução aplicáveis;

4. Diretiva da UE relativa à privacidade e às comunicações eletrónicas (Diretiva 2002/58/CE), conforme alterada (“Lei de Privacidade Digital”);

5. Regulamento Geral de Proteção de Dados do Reino Unido (“RGPD do Reino Unido”) e UK Data Protection Act 2018 (“UK DPA”);

6. Personal Data Protection Act 2012 (“PDPA”) de Singapura; e

7. Swiss Federal Data Protection Act ("Swiss FDPA")

B. Cliente: pessoa singular ou entidade que visita, interage com e/ou adquire um produto, bem ou serviço na(s) sua(s) Loja(s).

C. Dados Pessoais: informações ou dados definidos como “dados pessoais”, “informações pessoais” ou “informações de identificação pessoal” (ou termos análogos) ao abrigo das Leis de Proteção de Dados Aplicáveis, referentes aos seus Clientes, que sejam disponibilizados à Shopify (ou a terceiros que atuem em nome da Shopify) por si (ou por terceiros que atuem em seu nome) no âmbito da utilização dos Serviços, bem como quaisquer outros dados pessoais que o utilizador opte por partilhar com a Shopify sobre os seus Clientes no contexto da utilização dos Serviços. Para maior clareza, os Dados Pessoais não incluem quaisquer dados pessoais sobre Clientes que a Shopify trate na qualidade de Controlador de Dados e/ou que receba em resultado da relação direta ou de uma interação intencional entre o Cliente e a Shopify ou entre o Cliente e outros comerciantes da Shopify.

D. Pedido de Exercício de Direitos sobre Dados: pedido válido e legal apresentado por uma pessoa para exercer os direitos disponíveis relativamente a Dados Pessoais ao abrigo de uma Lei de Proteção de Dados Aplicável.

E. Controlador de Dados: a Parte que determina as finalidades e os meios do tratamento de Dados Pessoais, ou conforme definido de outra forma por qualquer Lei de Proteção de Dados Aplicável.

F. Processador de Dados ou Fornecedor de Serviços: a Parte, entidade ou empresa que presta serviços em nome do Controlador de Dados e trata Dados Pessoais conforme instruções e em nome deste, devendo ser interpretado de acordo com as Leis de Proteção de Dados Aplicáveis.

G. Violação de Dados Pessoais: relativamente aos Seus Dados Pessoais, deve ser interpretada de acordo com a Lei de Proteção de Dados Aplicável.

H.Tratar”, “trata” ou “tratamento”: a) qualquer operação ou conjunto de operações efetuadas sobre Dados Pessoais ou conjuntos de Dados Pessoais, por meios automatizados ou não, tais como a recolha, o registo, a organização, a estruturação, o armazenamento, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, o alinhamento ou a combinação, a limitação, a eliminação ou a destruição; ou b) a definição atribuída a esses termos pela Lei de Proteção de Dados Aplicável.

I.Subprocessador(es)”: empresas afiliadas ou Subcontratantes ou Fornecedores de Serviços terceiros que podem tratar Dados Pessoais sob orientação da Shopify, com a finalidade de prestar os Serviços.

J.Utilizador”, “Seu/Sua” ou “Comerciante”: refere-se à empresa que utiliza os Serviços e é Parte nos Termos celebrados com a Shopify.

III. NATUREZA DO TRATAMENTO E FUNÇÕES DAS PARTES

A Shopify recebe e trata os Seus Dados Pessoais para lhe prestar os Serviços e conforme estabelecido abaixo. Consoante os Serviços que solicitar ou utilizar, a Shopify tratará as categorias de Dados Pessoais indicadas no Apêndice A, da forma e com os fundamentos aí descritos.

A Shopify apenas tratará os Seus Dados Pessoais na qualidade de Processador de Dados ou Fornecedor de Serviços, na medida do necessário para prestar e melhorar os seus Serviços ou conforme permitido pelas Leis de Proteção de Dados Aplicáveis. No âmbito da prestação e melhoria contínua dos seus Serviços, a Shopify pode agregar, anonimizar ou descaracterizar os Seus Dados Pessoais.

Na medida em que a Shopify receba do Utilizador Dados Pessoais que tenham sido descaracterizados, a Shopify manterá e utilizará esses dados apenas de forma descaracterizada.

IV. OBRIGAÇÕES DAS PARTES

A secção seguinte descreve as obrigações respetivas das Partes no que diz respeito ao tratamento dos Dados Pessoais abrangidos pela presente APD.

A. Conformidade geral

1. As Partes cumprirão as respetivas obrigações ao abrigo das Leis de Proteção de Dados Aplicáveis.

2. A Shopify não terá qualquer obrigação de interpretar ou aconselhar o Utilizador quanto às Suas obrigações ao abrigo das Leis de Proteção de Dados Aplicáveis, incluindo no que respeita aos Dados Pessoais abrangidos pela presente APD. É da exclusiva responsabilidade do Utilizador determinar as Suas obrigações legais e regulamentares, incluindo avaliar se as medidas técnicas e organizativas dos Serviços estão em conformidade com essas obrigações legais e regulamentares autónomas.

B. Obrigações da Shopify

1. Segurança dos Dados
A Shopify implementará e manterá medidas técnicas e organizativas adequadas, concebidas para proteger os Seus Dados Pessoais contra o tratamento não autorizado ou ilícito e contra a perda, destruição, dano, roubo, alteração ou divulgação acidentais, conforme estabelecido no Apêndice B.

2. Notificação e Investigação de Violação de Dados Pessoais
a) Conforme exigido pelas Leis de Proteção de Dados Aplicáveis, a Shopify notificará o Utilizador assim que confirmar qualquer Violação de Dados Pessoais.

b) Essa notificação incluirá as informações exigidas ao abrigo das Leis de Proteção de Dados Aplicáveis, na medida em que tais informações estejam razoavelmente disponíveis para a Shopify. A resposta da Shopify a, ou a notificação de, uma Violação de Dados Pessoais não constitui um reconhecimento de culpa ou responsabilidade por parte da Shopify.

c) A Shopify compromete-se a investigar qualquer Violação dos Dados Pessoais e a envidar esforços comercialmente razoáveis para identificar, prevenir, atenuar e corrigir os respetivos efeitos.

3. Pedidos de Exercício de Direitos sobre Dados
a) na medida exigida pelas Leis de Proteção de Dados Aplicáveis, a Shopify facilitará a capacidade do Utilizador para processar e responder a Pedidos de Exercício de Direitos sobre Dados apresentados pelos Seus Clientes, relacionados com a utilização dos Serviços.

b) Para obter assistência na resposta a qualquer Pedido de Exercício de Direitos sobre Dados, envie o Pedido à Shopify através da consola/portal administrativo do Comerciante da Shopify, salvo se a Shopify indicar um mecanismo diferente.

C. As suas Obrigações em relação aos Dados Pessoais

1. Avisos de Privacidade e Transparência: o utilizador declara e garante que cumpre todas as obrigações previstas nas Leis de Proteção de Dados Aplicáveis relativamente à prestação de informações e à transparência no tratamento de Dados Pessoais ao abrigo dos Termos e no âmbito da utilização dos Serviços. Na medida exigida pelas Leis de Proteção de Dados Aplicáveis, o Utilizador deverá comunicar aos respetivos titulares todas as informações necessárias para que a Shopify possa tratar Dados Pessoais de forma lícita e transparente no âmbito da presente APD, incluindo através da disponibilização de uma ligação à Política de Privacidade da Shopify ou à sua própria Política de Privacidade.

2. Direitos e Permissões do Cliente: o Utilizador declara e garante que tem todos os direitos, permissões e consentimentos necessários para disponibilizar Dados Pessoais à Shopify de acordo com os Termos, a sua utilização dos Serviços que recebe e as Leis de Proteção de Dados Aplicáveis.

3. Pedidos de Exercício de Direitos sobre os Dados: O Utilizador declara e garante que fornece a capacidade de os seus Clientes exercerem Pedidos de Exercício de Direitos sobre os Dados, conforme exigido pelas Leis de Proteção de Dados Aplicáveis, no que diz respeito a todos os Dados Pessoais tratados pela Shopify para os quais o Utilizador é o Controlador de Dados.

4. Pedidos de Informação Regulatórios: salvo se proibido pela legislação aplicável, o Utilizador compromete-se a notificar-nos de forma imediata, de acordo com a cláusula de Notificação constante dos Termos, sobre qualquer inquérito ou reclamação por parte de autoridades governamentais, reguladoras ou de terceiros relacionada com a sua utilização dos Serviços.

V. LEIS DE PROTEÇÃO DE DADOS DOS EUA

Esta secção aplica-se apenas na medida em que: i) as Leis de Proteção de Dados dos EUA se aplicam ao Utilizador em relação à sua utilização dos Serviços; e ii) as seguintes disposições são exigidas pelas Leis de Proteção de Dados dos EUA e o Utilizador é uma “empresa” ou “controlador” ao abrigo dessas leis.

A. A Shopify não irá: i) conservar, utilizar ou divulgar esses Dados Pessoais fora da sua relação comercial direta com o Utilizador ou para qualquer outro fim que não os fins limitados e específicos identificados na presente APD e/ou nos Termos, incluindo conservar, utilizar ou divulgar esses Dados Pessoais para fins comerciais que não os expressamente indicados na presente APD e/ou nos Termos; ii) "vender" ou "partilhar" esses Dados Pessoais na aceção da CCPA; ou iii) combinar esses Dados Pessoais com outros Dados Pessoais que receba de outras fontes, exceto nos casos permitidos pela legislação norte-americana aplicável em matéria de proteção de dados.

B. A Shopify compromete-se a: i) assegurar o mesmo nível de proteção da privacidade exigido a empresas ou Controladores de Dados ao abrigo de tal legislação, e a informar o utilizador caso determine que já não pode cumprir essas obrigações, situação em que o Utilizador poderá tomar as medidas razoáveis e adequadas para cessar ou corrigir qualquer tratamento não autorizado dos Dados Pessoais; ii) garantir que o pessoal autorizado a tratar os Dados Pessoais celebra contratos de confidencialidade por escrito ou está sujeito a obrigações legais de confidencialidade; iii) mediante pedido escrito razoável e como forma de permitir ao Utilizador tomar medidas razoáveis e adequadas para garantir que a Shopify utiliza os Dados Pessoais de forma consistente com as Leis de Proteção de Dados dos EUA, fornecer o relatório SOC2 que apresente uma avaliação razoável do programa de segurança da informação da Shopify; e iv) após a rescisão dos Serviços prestados ao Utilizador, iniciar o seu processo interno de eliminação para tornar irreconhecíveis os Dados Pessoais.

C. O Utilizador declara e garante que não partilhará com a Shopify quaisquer Dados Pessoais de um indivíduo que tenha exercido um direito de exclusão que o Utilizador se comprometeu a honrar ou quaisquer Dados Pessoais confidenciais de um indivíduo que não tenha consentido com o tratamento de tais dados confidenciais.

VI. DISPOSIÇÕES DIVERSAS

A. Transferências Globais de Dados
O utilizador reconhece que os Dados Pessoais podem ser transferidos e tratados em qualquer país onde a Shopify, as suas empresas afiliadas ou fornecedores de serviços terceiros estejam localizados (incluindo Singapura e o Canadá). Qualquer transferência dos Dados Pessoais para esses destinatários será efetuada em conformidade com as Leis de Proteção de Dados Aplicáveis. Para mais informações sobre transferências internacionais de dados, quando a Shopify estiver sujeita a requisitos de privacidade no EEE, no Reino Unido ou na Suíça, consulte a secção II(B)(8) do Apêndice C.

B. Resposta a Pedidos Legais

    1. O Utilizador reconhece que, no decurso da prestação dos Serviços ao Utilizador, a Shopify pode partilhar os Dados Pessoais i) para cumprir os requisitos legais ou para responder a ordens judiciais ou outras exigências governamentais ou regulamentares semelhantes; ou ii) para prevenir ou investigar suspeitas de fraude, ameaças à segurança física, atividade ilegal ou violações de um contrato (como os Termos) ou as nossas políticas (como a nossa Política de Utilização Aceitável).

  2. A Shopify envidará esforços razoáveis antes de produzir tais Dados Pessoais para garantir que tal divulgação seja permitida sob as Leis de Proteção de Dados Aplicáveis e será tratada como informação confidencial sob o enquadramento jurídico aplicável.

C. Divulgação em Transações Empresariais
O Utilizador reconhece que, no decurso da prestação dos Serviços ao Utilizador, a Shopify pode ser obrigada a partilhar Dados Pessoais com potenciais contrapartes de qualquer transação empresarial ou de reestruturação.

D. Utilização de Subprocessadores/Fornecedores de Serviços por parte da Shopify

  1. O utilizador reconhece que, no decurso da prestação dos Serviços, a Shopify poderá recorrer a Subprocessadores para tratar os Dados Pessoais. A Shopify mantém uma lista atualizada de todos os Subprocessadores utilizados. Caso as Leis de Proteção de Dados Aplicáveis lhe concedam esse direito, poderá opor-se à utilização de um Subprocessador por parte da Shopify e, se a Shopify não conseguir ou não estiver disposta a acomodar esse pedido, poderá, de acordo com essas leis, cessar a utilização dos Serviços afetados no prazo de 30 dias a contar dessa notificação, em conformidade com os Termos.

  2. O uso de Subprocessadores pela Shopify para tratar os Dados Pessoais que o Utilizador fornece estará em conformidade com as Leis de Proteção de Dados Aplicáveis. Quando a Shopify contratar um Subprocessador, a Shopify celebrará um contrato por escrito com o Subprocessador que impõe obrigações contratuais que são substancialmente as mesmas que as estabelecidas na presente APD.

E. Alteração da APD
O utilizador reconhece e concorda que a Shopify poderá alterar a presente APD periodicamente, publicando a versão alterada e atualizada no website da Shopify, disponível em https://shopify.com/legal/dpa, sendo essas alterações eficazes a partir da data da publicação. A continuação da utilização dos Serviços após a publicação da APD alterada no website da Shopify constitui a sua aceitação da APD alterada. Se não concordar com quaisquer alterações à APD, deverá cessar imediatamente a utilização dos Serviços.

VII Apêndices

  1. Apêndice A – Categorias de Dados Pessoais
  2. Apêndice B – Segurança dos Dados
  3. Apêndice C – Apêndice de Tratamento de Dados ao abrigo do RGPD, RGPD do Reino Unido e da Legislação Suíça sobre Proteção de Dados

APÊNDICE A: CATEGORIAS DE DADOS PESSOAIS

No âmbito da sua utilização dos Serviços, e consoante os Serviços utilizados, poderemos receber e tratar as seguintes categorias de Dados Pessoais para efeitos de prestação dos Serviços:

  • Nome do cliente, e-mail, contacto, informações de faturação e de envio.
  • Informações sobre compras e outras transações realizadas na(s) Sua(s) Loja(s).
  • Atualizações sobre o estado da(s) transação(ões) consigo ou com a(s) Sua(s) Loja(s)
  • Atividade dos Clientes na(s) Loja(s) do Utilizador, incluindo produtos visualizados e/ou adicionados aos carrinhos de compras.
  • Sinais de preferência dos Clientes, incluindo o Controlo de Privacidade Global(“GPC”), sinais de exclusão e de consentimento.
  • Informações do dispositivo do cliente para o(s) dispositivo(s) utilizado(s) quando visita(m) a(s) sua(s) Loja(s), incluindo endereço IP, navegador e atividade de rede.
  • Outras informações sobre as interações dos Clientes consigo.
  • Quaisquer outros Dados Pessoais que o Utilizador opte por disponibilizar à Shopify.

APÊNDICE B: SEGURANÇA DOS DADOS

A Shopify manterá um programa de segurança da informação concebido para a) permitir que o Utilizador proteja os Dados Pessoais contra tratamento não autorizado ou ilegal e contra perda acidental, destruição, dano, roubo, alteração ou divulgação; b) identificar riscos razoavelmente previsíveis para a segurança e disponibilidade dos Serviços que o Utilizador recebe; e c) minimizar os riscos de segurança para os Serviços.

I. O programa de segurança da informação da Shopify incluirá as seguintes salvaguardas:

A. Segurança lógica

  1. Controlos de Acesso A Shopify tornará os seus sistemas acessíveis apenas a pessoal autorizado e somente conforme necessário para manter e fornecer os Serviços. A Shopify manterá controlos de acesso e políticas elaboradas para gerir autorizações de acesso aos seus sistemas, incluindo através da utilização de firewalls e/ou outras tecnologias e controlos de autenticação.

  2. Acesso Restrito do Utilizador A Shopify irá i) fornecer e restringir o acesso aos seus sistemas de acordo com os princípios de privilégio mínimo com base nas funções de trabalho do pessoal, e ii) exigir autenticação de dois fatores (2FA) para acesso aos seus sistemas.

  3. Avaliações de Vulnerabilidade A Shopify irá manter um programa de avaliação de vulnerabilidades e testes de intrusão, responsável por investigar e rastrear problemas identificados com os Serviços para resolução, quando necessário.

  4. Segurança das Aplicações A Shopify mantém um programa de segurança de aplicações responsável por proteger os Serviços contra ameaças à segurança de aplicações.

  5. Gestão da Mudança A Shopify manterá controlos concebidos para registar, autorizar, testar, aprovar e documentar alterações aos recursos dos Serviços existentes e documentará os detalhes das alterações nas suas ferramentas de gestão de alterações ou de implementação. A Shopify testará as alterações de acordo com os seus padrões de gestão da mudança antes da migração para a produção.

  6. Integridade dos Dados Conforme apropriado, a Shopify manterá controlos concebidos para fornecer integridade de dados durante a transmissão, armazenamento e tratamento nos Serviços.

  7. Disponibilidade A Shopify irá (i) implementar redundância quando apropriado para os Serviços para minimizar as consequências de um mau funcionamento nos Serviços, (ii) conceber os Serviços para antecipar e tolerar falhas, e (iii) implementar processos adequados concebidos para afastar o tráfego de Dados Pessoais das áreas afetadas quando necessário para recuperar de falhas.

  8. Continuidade do Negócio e Recuperação de Desastres: A Shopify manterá um programa de gestão de riscos concebido para apoiar a continuidade das suas funções comerciais essenciais, incluindo processos e procedimentos para identificação, resposta e recuperação de eventos que possam impedir ou prejudicar materialmente a prestação dos Serviços que o Utilizador recebe por parte da Shopify.

  9. Gestão de Incidentes: a Shopify fornece documentação para que o Utilizador comunique incidentes de segurança ou disponibilidade, faça perguntas sobre segurança ou disponibilidade e envie informações sobre possíveis problemas de segurança ou disponibilidade. A Shopify manterá planos de ação corretiva e planos de resposta a incidentes projetados para detetar, mitigar, investigar e responder a possíveis ameaças à segurança dos Serviços.

B. Segurança física Quando necessário para proteger os Serviços, a Shopify i) implementará medidas razoáveis concebidas para impedir o acesso físico não autorizado, danos ou interferência nos Serviços, ii) utilizará dispositivos de controlo adequados concebidos para restringir o acesso físico aos Serviços apenas a pessoal autorizado que tenha uma necessidade comercial legítima para esse acesso, e iii) realizará revisões periódicas para validar a adesão a estas normas.

C. Funcionários da Shopify Os funcionários da Shopify que estão autorizados a aceder aos Dados Pessoais estão vinculados a obrigações de confidencialidade como parte dos seus termos de emprego. A Shopify implementará e manterá programas de formação de segurança dos funcionários em relação aos requisitos de segurança das informações da Shopify. Os programas de formação de sensibilização para a segurança serão revistos e atualizados periodicamente.

II. Modificações a este Apêndice

A Shopify revê periodicamente as suas medidas de segurança e pode atualizar o presente Apêndice a seu exclusivo critério. Qualquer atualização substituirá as versões anteriores do presente Apêndice a partir da data em que a Shopify publique a versão atualizada.

APÊNDICE C: APÊNDICE DE TRATAMENTO DE DADOS AO ABRIGO DO RGPD, RGPD DO REINO UNIDO E LEGISLAÇÃO SUÍÇA SOBRE PROTEÇÃO DE DADOS

Quando o tratamento dos Dados Pessoais ao abrigo da APD estiver sujeito a requisitos de proteção de dados no Espaço Económico Europeu (o "EEE"), no Reino Unido ou na Suíça (coletivamente, "Leis Europeias de Proteção de Dados"), o Apêndice C complementa a presente APD.

I. Natureza do processamento e Funções das Partes

A. Dados Pessoais

  1. Nos termos do presente Apêndice, o Utilizador agirá como Controlador de Dados e a Shopify agirá como Processador de Dados no que diz respeito ao tratamento dos Dados Pessoais do Utilizador, conforme descrito no Anexo 1, conforme necessário para cumprir as finalidades comerciais descritas nos Termos e fornecer-lhe os Serviços que optar por utilizar.
  2. Para evitar dúvidas, a Shopify atuará como um Controlador de Dados independente com relação aos Dados Pessoais sobre Clientes que a Shopify recebe como resultado do relacionamento direto do Cliente ou interações intencionais com a Shopify, conforme descrito na Política de Privacidade da Shopify .

II. Obrigações das Partes

A. As Suas Obrigações

O Utilizador compromete-se a cumprir:

  • As Leis Europeias de Proteção de Dados vinculativas para o Utilizador no cumprimento do presente Apêndice; e
  • As obrigações do Utilizador estabelecidas na APD, incluindo as obrigações previstas no presente Apêndice.

O Utilizador declara e garante ter uma base legal válida para tratar os Dados Pessoais (incluindo a disponibilização desses dados à Shopify) e que obteve todos os consentimentos, direitos e autorizações necessários e deu todos os avisos necessários aos indivíduos relativamente à sua divulgação de Dados Pessoais à Shopify para permitir o tratamento de Dados Pessoais pela Shopify para fornecer os Serviços, conforme exigido pelas Leis Europeias de Proteção de Dados.

B. Obrigações da Shopify

1. Instruções do Controlador e Violação da Legislação Europeia de Proteção de Dados

a) As Partes concordam que os Termos, juntamente com a presente APD, constituem suas instruções documentadas em relação ao tratamento dos seus Dados Pessoais pela Shopify ("Instruções documentadas").

b) A Shopify tratará os Dados Pessoais como um Responsável pelo Tratamento apenas: i) de acordo com suas instruções documentadas, ou ii) para cumprir as obrigações da Shopify sob as leis aplicáveis, sujeitas a quaisquer requisitos de aviso sob a União Europeia ou a lei do estado membro da União Europeia à qual a Shopify está sujeita.

c) A Shopify irá notificar o Utilizador se receber uma instrução que determine razoavelmente que infringe as Leis Europeias de Proteção de Dados (porém, a Shopify não tem obrigação de controlar ativamente a conformidade com as Leis Europeias de Proteção de Dados do Utilizador).

2. Obrigação de confidencialidade

A Shopify irá garantir que as pessoas que autoriza a tratar os seus Dados Pessoais celebrem contratos de confidencialidade por escrito ou estejam sujeitas a obrigações legais de confidencialidade.

3. Medidas de segurança

a) A Shopify implementará e manterá medidas técnicas e organizativas adequadas, concebidas para proteger os Dados Pessoais contra o tratamento não autorizado ou ilícito e contra a perda, destruição, dano, roubo, acesso não autorizado, alteração ou divulgação acidentais, conforme estabelecido no Anexo 2.

b) Tendo em conta a natureza dos seus Dados Pessoais e o respetivo tratamento, a Shopify fornecerá a assistência razoável, que o Utilizador poderá solicitar para ajudar a cumprir as suas obrigações de segurança ao abrigo das Leis Europeias de Proteção de Dados.

c) A Shopify notificará o Utilizador, sem atrasos indevidos, ao tomar conhecimento de uma violação de segurança que leve à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso aos Seus Dados Pessoais transmitidos, armazenados ou de outra forma tratados.

d) A Shopify concorda em investigar qualquer violação de segurança e envidar esforços comercialmente razoáveis para mitigar os efeitos.

4. Subprocessadores

a) De modo geral, o utilizador autoriza a Shopify a contratar Subprocessadores para tratar os Dados Pessoais. Concorda igualmente que a Shopify pode envolver as suas filiais como Subprocessadores.

b) A utilização de Subprocessadores pela Shopify para tratar os seus Dados Pessoais estará em conformidade com as Leis Europeias de Proteção de Dados.

c) A Shopify mantém uma lista atualizada de todos os Subprocessadores, conforme estabelecido no Anexo 3. A Shopify atualizará a lista de Subprocessadores conforme apropriado e fornecerá ao Utilizador um mecanismo para obter um aviso sobre a adição ou substituição de um Subprocessador. O Utilizador pode opor-se à utilização pela Shopify de um novo Subprocessador.

d) Na medida em que o Utilizador se opõe ao uso de um Subprocessador pela Shopify, e a Shopify não pode ou não está disposta a acomodar tais solicitações, o Utilizador pode encerrar o uso dos Serviços afetados no prazo de 30 dias após essa notificação, de acordo com os Termos.

e) Sempre que a Shopify recorrer a um novo Subprocessador, celebrará com este um contrato escrito e impor-lhe-á obrigações contratuais substancialmente idênticas às previstas na presente APD. A Shopify será integralmente responsável pelos atos e omissões dos seus Subprocessadores, na mesma medida em que seria responsável se prestasse diretamente os serviços de cada Subprocessador ao abrigo dos termos da presente APD. A responsabilidade da Shopify estará, no entanto, sujeita às condições e limitações de responsabilidade previstas nos Termos.

5. Assistência ao Controlador
Tendo em conta a natureza dos seus Dados Pessoais e o respetivo tratamento, a Shopify fornecerá a assistência razoável que o Utilizador possa solicitar para ajudar no cumprimento das suas obrigações:

  • responder a Pedidos de Exercício de Direitos sobre Dados ao abrigo da Legislação Europeia de Proteção de Dados;
  • notificar as autoridades relevantes e/ou os titulares dos dados de uma Violação de Dados Pessoais;
  • realizar avaliações de impacto sobre a proteção de dados e consultas prévias;
  • garantir a segurança do tratamento em conformidade com a secção 3.

6. Avaliação da conformidade

a) A Shopify pode cumprir o direito de auditoria do Utilizador ao abrigo das Leis Europeias de Proteção de Dados em relação ao tratamento de dados pessoais, fornecendo-lhe, mediante o seu pedido por escrito e sujeito a confidencialidade:

i) os resultados mais recentes do relatório de auditoria da Shopify, seja das auditorias próprias da Shopify ou elaboradas por um auditor externo independente;
ii) informações adicionais no controlo da Shopify, se uma autoridade governamental ou de proteção de dados o solicitar.

b) Desde que, e apenas na medida em que, as Leis Europeias em matéria de Proteção de Dados lhe confiram esse direito, o Utilizador poderá exercer o seu direito de Auditoria: i) na medida em que um auditor independente e internacionalmente reconhecido ateste que a disponibilização de um relatório de auditoria por parte da Shopify não fornece informações suficientes para que o Utilizador possa verificar o cumprimento, por parte da Shopify, da presente APD e das Leis Europeias em matéria de Proteção de Dados; ou ii) quando tal for necessário para o Utilizador responder a uma auditoria de uma autoridade governamental. Cada auditoria deve respeitar os seguintes parâmetros: i) ser conduzida por um terceiro independente que celebre um contrato de confidencialidade com a Shopify; ii) ter um âmbito limitado às matérias razoavelmente necessárias, e conforme acordado entre as partes, para que o Utilizador possa avaliar a conformidade, por parte da Shopify, da presente APD e o cumprimento, por ambas as partes, das Leis Europeias em matéria de Proteção de Dados; iii) realizar-se numa data e hora acordadas entre as Partes e apenas durante o horário de funcionamento normal da Shopify; iv) não ocorrer mais do que uma vez por ano (salvo se exigido pelas Leis Europeias em matéria de Proteção de Dados); v) incidir apenas sobre instalações controladas pela Shopify; vi) limitar as conclusões aos Dados Pessoais; e vii) tratar quaisquer resultados como informações confidenciais na máxima medida permitida pelas Leis Europeias em matéria de Proteção de Dados. Para efeitos de clarificação, a Shopify cumprirá quaisquer direitos do Utilizador ao abrigo da presente secção 6 em conformidade com as suas obrigações de confidencialidade para com terceiros.

7. Fim do tratamento

a) Durante a sua utilização dos Serviços, pode utilizar as ferramentas da conta para aceder, devolver ao utilizador ou eliminar Dados Pessoais.

b) Após a rescisão, a Shopify eliminará ou devolverá os seus Dados Pessoais, conforme a sua escolha. Não obstante o disposto, a Shopify poderá conservar os Dados Pessoais: i) conforme exigido por lei, incluindo as Leis Europeias de Proteção de Dados; e ii) de acordo com as suas políticas padrão de cópias de segurança ou de conservação de registos, desde que, em qualquer dos casos, a Shopify mantenha a confidencialidade dos Dados Pessoais e cumpra as disposições aplicáveis da presente APD relativamente a tais dados, não os tratando posteriormente, salvo para os fins e pelo período permitidos ao abrigo da legislação aplicável.

8. Transferências internacionais

a) Sujeito à conformidade com as Leis Europeias de Proteção de Dados, a Shopify International Ltd. pode transferir Dados Pessoais tratados sob este Apêndice fora do EEE, do Reino Unido e da Suíça, conforme necessário para fornecer os seus Serviços (“Transferências Internacionais”).

b) Tais transferências consistem principalmente na transferência dos Dados Pessoais para a Shopify Inc., com sede no Canadá, que beneficia de uma decisão da Comissão Europeia 2002/2/CE, datada de 20 de dezembro de 2001, sobre a proteção adequada dos dados pessoais fornecida pela Canadian Personal Information Protection and Electronic Documents Act.

c) Quaisquer transferências internacionais para países que não assegurem um nível adequado de proteção de dados nos termos da Legislação Europeia de Proteção de Dados serão sujeitas a salvaguardas apropriadas, incluindo os seguintes mecanismos de transferência:

  • os módulos relevantes ao abrigo das cláusulas contratuais padrão 2021 aprovadas pela Comissão Europeia na sua decisão 2021/914/CE de 4 de junho de 2021;
  • a Adenda à Transferência Internacional de Dados às cláusulas contratuais padrão da Comissão Europeia para transferências internacionais de dados emitida pelo Gabinete do Comissário da Informação do Reino Unido ao abrigo do S119A(1) da Lei de Proteção de Dados do Reino Unido de 2018;
  • as Cláusulas Contratuais Padrão de 2021, com as alterações para satisfazer os requisitos da Lei Federal Suíça sobre a Proteção de Dados ( tal como alterada periodicamente) de 19 de junho de 1992, na sua versão revista em 25 de setembro de 2001; e
  • quaisquer cláusulas contratuais padrão, adenda à transferência internacional de dados ou outras cláusulas, adendas ou mecanismos de transferência que possam substituir as cláusulas e a adenda atuais.

d) A Shopify pode, a seu exclusivo critério, substituir qualquer mecanismo de transferência para garantir que as transferências de dados estejam em conformidade com as leis aplicáveis. Se uma transferência for baseada em cláusulas contratuais padrão e essas cláusulas forem atualizadas pelas autoridades relevantes, essas cláusulas atualizadas ou contratos semelhantes serão incorporados na presente APD do mesmo modo que se estivessem totalmente dispostas aqui.

ANEXO 1 – DADOS PESSOAIS

DESCRIÇÃO DO TRATAMENTO DE DADOS PESSOAIS

I. Objeto do tratamento

Prestação dos Serviços da Shopify ao Comerciante.

II. Categorias de Titulares de Dados

Clientes do Comerciante.

III. Categorias de Dados Pessoais tratados

Consulte o Apêndice A acima.

IV. Frequência da transferência

Contínua.

V. Natureza do tratamento

Recolha, registo, alojamento, acesso, utilização, transferência e eliminação de Dados Pessoais, conforme descrito nos Termos.

VI. Finalidades para as quais os Dados Pessoais são tratados em nome do Controlador

Para a prestação e melhoria dos Serviços, conforme descrito nos Termos.

VII. Duração do tratamento

Duração dos Serviços ao abrigo dos Termos ou do contrato aplicável, acrescida do período subsequente até à anonimização, devolução ou eliminação dos dados.

VIII. Autoridade de Controlo Competente A autoridade de controlo competente será a Comissão de Proteção de Dados da Irlanda.

ANEXO 2 – MEDIDAS DE SEGURANÇA

As informações sobre as medidas de segurança encontram-se no Apêndice B da APD.

ANEXO 3 – LISTA DE SUBPROCESSADORES

Os Subprocessadores utilizados pela Shopify para a prestação dos Serviços ao abrigo dos Termos estão listados aqui.

Os Subprocessadores tratarão as categorias de Dados Pessoais acima descritas em ligação com os Serviços durante a vigência do respetivo contrato com a Shopify.