Addendum over gegevensverwerking van Shopify

1. Definities

(a) "Europese gegevensbeschermingswetten" betekent Verordening 2016/679 van de Europese Unie (de "Algemene Verordening Gegevensbescherming"), de UK Data Protection Act 2018 ("DPA"), de UK General Data Protection Regulation zoals gedefinieerd door de DPA zoals gewijzigd door de Data Protection, Privacy and Electronic Communications (Amendments etc) (EU Exit) Regulations 2019 (samen met de DPA de "UK GDPR") en alle relevante wetten, statuten, verordeningen, regels of andere bindende instrumenten die het bovenstaande ten uitvoer leggen of anderszins betrekking hebben op gegevensbescherming, privacy, gegevensbeveiliging of de verwerking van persoonsgegevens in een Europese lidstaat of het Verenigd Koninkrijk, in elk geval zoals van toepassing en van kracht, en zoals van tijd tot tijd gewijzigd, geconsolideerd, opnieuw vastgesteld of vervangen.

(b) "Persoonsgegevens" worden geïnterpreteerd in overeenstemming met de Europese wetgeving inzake gegevensbescherming en Amerikaanse wetgeving op het gebied van gegevensbescherming, voor zover van toepassing, en die betrekking hebben op een identificeerbare of geïdentificeerde persoon die je winkel bezoekt of via je winkel transacties verricht (een "Klant"), en die worden verwerkt door Shopify als Gegevensverwerker of Dienstverlener (zoals gedefinieerd onder dergelijke wetten) in het kader van het leveren van de Diensten aan jou, als Verwerkingsverantwoordelijke of als Bedrijf (zoals gedefinieerd onder dergelijke wetten. De term "Persoonsgegevens" omvat ook "Persoonlijke informatie" zoals gedefinieerd onder Amerikaanse wetten op het gebied van gegevensbescherming. Niettegenstaande de voorgaande zin omvatten Persoonsgegevens niet de gegevens die Shopify verwerkt in het kader van diensten die zij rechtstreeks aan een consument levert, zoals via haar consumentgerichte toepassingen als Shop en Shop Pay.

(c) "Amerikaanse wetgeving inzake gegevensbescherming" betekent de California Consumer Privacy Act zoals gewijzigd door de California Privacy Rights Act ("CCPA"), de Virginia Consumer Data Protection Act ("VCDPA"), de Colorado Privacy Act ("CPA"), de Utah Consumer Privacy Act ("UCPA"), de Connecticut Act Concerning Personal Data Privacy and Online Monitoring ("CTDPA") en andere vergelijkbare alomvattende staatsprivacywetten die verplichtingen leggen bij een Bedrijf of Verwerkingsverantwoordelijke met betrekking tot Persoonsgegevens (zoals gedefinieerd onder dergelijke wetten), en alle relevante verordeningen, regels of andere bindende instrumenten die dergelijke wetten ten uitvoer leggen, in elk geval zoals toepasselijk en van kracht, en zoals van tijd tot tijd gewijzigd, geconsolideerd, opnieuw vastgesteld of vervangen.

(d) "Amerikaanse consument" betekent een persoon die een “consument” is zoals gedefinieerd onder Amerikaanse wetgeving inzake gegevensbescherming.

(e) Alle andere woorden in dit Addendum die met een hoofdletter worden geschreven, hebben de betekenis die eraan wordt gegeven in de Overeenkomst.

2. Details van de verwerking

2.1. De partijen komen overeen dat Bijlage 1 van dit Addendum het onderwerp en de details van de verwerking van Persoonsgegevens beschrijft. Shopify mag Persoonsgegevens samenstellen, anonimiseren of de-identificeren en dergelijke gegevens verwerken voor de in Bijlage 1 genoemde doeleinden of zoals anderszins toegestaan door de toepasselijke wetgeving. Voor zover Shopify van jou Persoonsgegevens ontvangt die gede-identificeerd zijn (zoals gedefinieerd in paragraaf 5.1 van dit Addendum), zal Shopify de gegevens alleen op een gede-identificeerde manier bewaren en gebruiken.

3. Europese Unie en Verenigd Koninkrijk

3.1. Deze paragraaf is alleen van toepassing voor zover de Verwerking van Persoonsgegevens door Shopify onderworpen is aan de Europese wetgeving inzake gegevensbescherming. In dit artikel worden "Gegevensverwerker", "Verwerkingsverantwoordelijke", "Betrokkene", "Verwerking", "Subverwerker" en "Toezichthoudende autoriteit" geïnterpreteerd in overeenstemming met de Europese wetgeving inzake gegevensbescherming.

3.2. Je erkent dat Shopify wat de Persoonsgegevens van consumenten betreft die door Shopify direct van consumenten worden verzameld via consumentgerichte toepassingen en diensten zoals Shop en Shop Pay, optreedt als onafhankelijke Verwerkingsverantwoordelijke.

3.3. De Persoonsgegevens van Betrokkenen die zijn gevestigd in de Europese Economische Ruimte of het Verenigd Koninkrijk, worden verwerkt door de Ierse affiliate van Shopify, Shopify International Ltd ("Shopify EU"). Deze Persoonsgegevens kunnen in het kader van het leveren van de diensten worden doorgegeven naar andere regio's, waaronder Canada en de Verenigde Staten. Dergelijke doorgifte vindt plaats overeenkomstig de betreffende wetgeving inzake gegevensbescherming.

3.4. Wanneer Shopify EU Persoonsgegevens verwerkt in het kader van het leveren van Diensten, zal Shopify:

  • 3.4.1. De Persoonsgegevens verwerken als Gegevensverwerker en/of Dienstverlener, enkel met als doel het leveren van de Diensten volgens schriftelijke instructies die jij hebt verstrekt (voor zover deze instructies passen bij de functies van de Diensten) en waar je vervolgens akkoord mee bent gegaan. Indien Shopify EU er wettelijk toe verplicht is de Persoonsgegevens voor andere doeleinden te Verwerken, zal Shopify EU je vooraf in kennis stellen van deze verplichting, tenzij wetgeving dit verbiedt;

  • 3.4.2 In het kader van het leveren van de Diensten geeft Shopify EU volgens jouw instructies Persoonsgegevens door aan MaxMind, een fraudeopsporingsdienst die Persoonsgegevens verwerkt om je risicoscores te verstrekken die je helpen frauduleuze transacties te vermijden. In dit kader treedt MaxMind op als onafhankelijke Verwerkingsverantwoordelijke voor Persoonsgegevens van Klanten die door deze dienst mogelijk worden verwerkt, en zijn wij niet verantwoordelijk voor de manier waarop dergelijke gegevens worden verwerkt. Meer informatie over het privacybeleid van MaxMind vind je op www.maxmind.com/en/privacy-policy;

  • 3.4.3. je ervan op de hoogte brengen als jouw instructies voor de Verwerking van Persoonsgegevens volgens Shopify EU ingaan tegen de toepasselijke Europese wetten inzake gegevensbescherming;

  • 3.4.4. je in de mate waarin dit wettelijk is toegestaan onmiddellijk op de hoogte brengen van vragen of klachten van een Toezichthoudende autoriteit over de Verwerking van de Persoonsgegevens door Shopify EU;

  • 3.4.5. redelijke technische en organisatorische maatregelen nemen zodat je je verplichtingen met betrekking tot de Persoonsgegevens van je Klanten kunt nakomen;

  • 3.4.6. passende technische en organisatorische maatregelen nemen en in stand houden om de Persoonsgegevens te beschermen tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging, schade, diefstal, wijziging of verstrekking. Deze maatregelen zullen zijn afgestemd op het nadeel dat kan ontstaan als gevolg van ongeoorloofde of onrechtmatige verwerking, onopzettelijk verlies, vernietiging, schade of diefstal van de Persoonsgegevens, en op de aard van de te beschermen Persoonsgegevens;

  • 3.4.7. op verzoek redelijke informatie verstrekken om je te helpen je effectbeoordelingen voor gegevensbescherming en voorafgaand overleg met regelgevende instanties te voltooien;

  • 3.4.8. je op verzoek en voor zover deze beschikbaar zijn passende certificaten of bijgewerkte attesten, rapporten of uittreksels verstrekken, afkomstig van iemand die belast is met de audit van de praktijken inzake gegevensbescherming van Shopify EU (bijvoorbeeld externe auditors, interne audits, auditors voor gegevensbescherming), waarmee je de naleving van dit Addendum kunt beoordelen;

  • 3.4.9. je informeren over elke onbedoelde, ongeoorloofde of onrechtmatige toegang tot of verwerking of verstrekking van de Persoonsgegevens, zonder onredelijke vertraging nadat Shopify er kennis van heeft genomen en de gebeurtenis heeft bevestigd;

  • 3.4.10. ervoor zorgen dat het personeel dat toegang heeft tot de Persoonsgegevens, onderworpen is aan geheimhoudingsverplichtingen; en

  • 3.4.11. na beëindiging van de Overeenkomst zal Shopify EU onmiddellijk het opschoningsproces starten om de Persoonsgegevens te verwijderen of te anonimiseren. Je kunt ook binnen 60 dagen na beëindiging Shopify verzoeken deze Persoonsgegevens te retourneren.

3.5. Bij het verlenen van de Diensten erken je en geef je Shopify EU hierbij een algemene schriftelijke machtiging om gebruik te maken van Subverwerkers, online vermeld op: https://help.shopify.com/nl//manual/privacy-and-security/privacy/subprocessors (“Subverwerkerslijst”), voor Verwerking van de Persoonsgegevens. Het gebruik door Shopify EU van een specifieke Subverwerker om de Persoonsgegevens te verwerken moet in overeenstemming zijn met de Europese wetgeving inzake gegevensbescherming en moet worden geregeld in een contract tussen Shopify EU en de Subverwerker dat vergelijkbare bescherming vereist als dit Addendum over gegevensverwerking. Als Shopify EU een nieuwe Subverwerker aanstelt of wijzigingen wil aanbrengen betreffende de toevoeging of vervanging van subverwerkers, worden deze wijzigingen doorgevoerd in onze Subverwerkerslijst. Je hebt zeven (7) dagen vanaf de datum van de update van onze Subverwerkerslijst om bezwaar te maken tegen de wijziging. Als je bezwaar maakt tegen de benoeming van een Subverwerker, kun je deze overeenkomst beëindigen in overeenstemming met de Overeenkomst en je Shopify Plus-overeenkomst, voor zover van toepassing.

3.6. Je verklaart dat je hebt voldaan en blijft voldoen aan de Europese wetgeving inzake gegevensbescherming, in het bijzonder dat je alle noodzakelijke toestemmingen hebt verkregen of alle noodzakelijke kennisgevingen hebt gedaan en anderszins een rechtsgeldige reden hebt om gegevens aan Shopify EU bekend te maken en de verwerking van persoonsgegevens door Shopify EU mogelijk te maken zoals bepaald in deze Overeenkomst.

4. Amerikaanse consumenten

4.1. Deze paragraaf is alleen van toepassing voor zover je, voor de toepassing van de Amerikaanse wetgeving op het gebied van gegevensbescherming, een Bedrijf of Verwerkingsverantwoordelijke bent en Shopify in het kader van het leveren van de Diensten Persoonsgegevens over Amerikaanse consumenten verwerkt waarop de Amerikaanse wetgeving op het gebied van gegevensbescherming van toepassing is. In deze paragraaf hebben "Bedrijf", "Zakelijk doel", "Commercieel doel", "Verwerkingsverantwoordelijke", "Gede-identificeerd", "Verwerker", "Verkopen", "Verkoop" en "Dienstverlener" de betekenis die daaraan wordt toegekend in de Amerikaanse wetten op het gebied van gegevensbescherming en heeft "Uitwisselen" de betekenis die daaraan wordt toegekend in de CCPA, hierin opgenomen door verwijzing.

4.2. Wat deze Persoonsgegevens betreft en voor zover dit wordt vereist door toepasselijke Amerikaanse wetten op het gebied van gegevensbescherming, zal Shopify het volgende doen:

  • 4.2.1. Persoonsgegevens namens jou verwerken als Dienstverlener en/of Verwerker om de Diensten te verlenen, of zoals anderszins toegestaan door Amerikaanse wetten op het gebied van gegevensbescherming;

  • 4.2.2. geen Persoonsgegevens bewaren, gebruiken of bekendmaken buiten de directe zakelijke relatie met jou of voor enig ander doel dan het verlenen van de Diensten, inclusief het bewaren, gebruiken of bekendmaken van dergelijke Persoonsgegevens voor een ander Commercieel doel dan het uitvoeren van de in de Overeenkomst beschreven Zakelijke doelen, of zoals anderszins toegestaan door de Amerikaanse wetten op het gebied van gegevensbescherming;

  • 4.2.3. deze Persoonsgegevens niet Verkopen of Uitwisselen;

  • 4.2.3. geen Persoonsgegevens die zijn verzameld in verband met de uitvoering van de Diensten, combineren met Persoonsgegevens die van een andere bron zijn ontvangen of die zijn verzameld uit eigen interacties met de persoon, behalve om de Diensten uit te voeren, met toestemming of op aanwijzing, of zoals anderszins is toegestaan door de Amerikaanse wetten op het gebied van gegevensbescherming;

  • 4.2.4. in verband met de verwerking van de Persoonsgegevens voldoen aan de bepalingen van de Amerikaanse wetten op het gebied van gegevensbescherming die van toepassing zijn op Dienstverleners of Verwerkers, inclusief het bieden van hetzelfde niveau van privacybescherming dat door de Amerikaanse wetten op het gebied van gegevensbescherming wordt vereist van Bedrijven of Verwerkingsverantwoordelijken, en je op de hoogte stellen als wordt vastgesteld dat niet langer aan deze verplichtingen kan worden voldaan. Je kunt na ontvangst van een dergelijke kennisgeving redelijke en passende stappen ondernemen om ongeoorloofd gebruik van Persoonsgegevens door Shopify te stoppen en te corrigeren;

  • 4.2.5. alleen onderaannemers inschakelen om namens Shopify Persoonsgegevens te verwerken op grond van een schriftelijk contract dat vergelijkbare bescherming vereist als dit Addendum over gegevensverwerking. Bij het verlenen van de Diensten erken je en geef je Shopify hierbij een algemene schriftelijke machtiging om onderaannemers, online vermeld op: https://help.shopify.com/nl//manual/privacy-and-security/privacy/subprocessors (“Subverwerkerslijst”) aan te stellen voor de Verwerking van de Persoonsgegevens. Het gebruik door Shopify van een specifieke Subverwerker om de Persoonsgegevens te verwerken moet in overeenstemming zijn met de Amerikaanse wetgeving op het gebied van gegevensbescherming en moet worden geregeld in een contract tussen Shopify en de onderaannemer dat vergelijkbare bescherming vereist als dit Addendum over gegevensverwerking. Als Shopify een nieuwe onderaannemer aanstelt of wijzigingen wil aanbrengen betreffende de toevoeging of vervanging van onderaannemers, worden deze wijzigingen doorgevoerd in onze Subverwerkerslijst. Je hebt zeven (7) dagen vanaf de datum van de update van onze Subverwerkerslijst om bezwaar te maken tegen de wijziging. Als we geen reactie van je krijgen, wordt de wijziging als geaccepteerd beschouwd. Als je bezwaar maakt tegen de benoeming van een onderaannemer, kun je deze overeenkomst beëindigen in overeenstemming met de Overeenkomst en je Shopify Plus-overeenkomst, voor zover van toepassing.

  • 4.2.6. ervoor zorgen dat het personeel dat de Persoonsgegevens verwerkt, onderworpen is aan geheimhoudingsverplichtingen met betrekking tot dergelijke gegevens;

  • 4.2.7. redelijke en passende stappen ondernemen, na een redelijke schriftelijke kennisgeving van jou en met inachtneming van de geheimhoudingsverplichtingen in de Overeenkomst, om jou te helpen bevestigen dat het gebruik van Persoonsgegevens door Shopify in overeenstemming is met jouw verplichtingen onder de Amerikaanse wetten op het gebied van gegevensbescherming;

  • 4.2.8. op verzoek een rapport verstrekken van een redelijke beoordeling van het beleid en de technische en organisatorische maatregelen van Shopify ter ondersteuning van haar verplichtingen onder de toepasselijke Amerikaanse wetten op het gebied van gegevensbescherming, met gebruikmaking van een passende en aanvaarde controlenorm of -kader en beoordelingsprocedure voor dergelijke beoordelingen; en

  • 4.2.9 na beëindiging van de Overeenkomst zal Shopify onmiddellijk het opschoningsproces starten om de Persoonsgegevens te verwijderen of te De-identificeren. Je kunt ook binnen 60 dagen na beëindiging Shopify verzoeken deze Persoonsgegevens te retourneren.

4.3. Je verklaart en garandeert dat je:

  • 4.3.1. alle noodzakelijke toestemmingen, rechten en machtigingen hebt verkregen en alle noodzakelijke kennisgevingen aan personen hebt gegeven over jouw bekendmaking van Persoonsgegevens aan Shopify om de verwerking van Persoonsgegevens door Shopify mogelijk te maken om de Diensten te leveren, zoals vereist door de toepasselijke wetgeving;

  • 4.3.2. geen Persoonsgegevens met Shopify zult delen van personen die onder de Amerikaanse wetten op het gebied van gegevensbescherming vallen en die gebruik hebben gemaakt van een afmeldmogelijkheid die jij hebt toegezegd te zullen respecteren;

  • 4.3.3. geen gevoelige gegevens met Shopify zult uitwisselen van Amerikaanse consumenten die niet hebben ingestemd met de verwerking van hun gevoelige gegevens;

  • 4.3.4. Shopify op de hoogte stelt van eventuele rechtsverzoeken van personen aan jou op grond van de Amerikaanse wetten op het gebied van gegevensbescherming waaraan Shopify moet voldoen en de informatie verstrekt die Shopify nodig heeft om aan de verzoeken te voldoen; en

  • 4.3.5. als enige aansprakelijk bent voor de naleving van deze wetten.

4.4 Jij en Shopify komen overeen dat het bestaan van dit Addendum niet betekent dat het uitwisselen van Persoonsgegevens een Verkoop of een Uitwisseling inhoudt.

5. Algemeen

5.1. In geval van tegenstrijdigheid of onverenigbaarheid tussen de bepalingen van de Overeenkomst en de bepalingen van dit Addendum, hebben de bepalingen van dit Addendum voorrang, tenzij deze bepalingen in strijd zijn met een vereiste in de toepasselijke wetgeving, in welk geval dit vereiste voorrang heeft. Voor alle duidelijkheid en voor zover dit wettelijk is toegestaan, gelden voor dit Addendum dezelfde aansprakelijkheidsregels en -beperkingen als in de betreffende bepalingen van de Overeenkomst. Je gaat ermee akkoord dat Shopify dit Addendum periodiek kan wijzigen door het gewijzigde Addendum te publiceren op https://shopify.com/be/juridisch/gegevens op de website van Shopify, en dat dergelijke wijzigingen van het Addendum van kracht zijn vanaf de datum van publicatie. Als je de Diensten blijft gebruiken nadat het gewijzigde Addendum op de website van Shopify is gepubliceerd, betekent dit dat je akkoord gaat met het gewijzigde Addendum en dit aanvaardt. Als je niet akkoord gaat met de wijzigingen aan het Addendum, kun je de Dienst niet langer blijven gebruiken.

5.2. Alle in de Overeenkomst opgenomen bepalingen, voorwaarden en vereisten blijven volledig van kracht en zijn van toepassing op dit Addendum, tenzij dit Addendum er specifiek van afwijkt. Indien een bepaling van het Addendum in het kader van een juridische procedure als onrechtmatig of niet-afdwingbaar wordt beoordeeld, wordt deze bepaling afgescheiden en is deze niet langer geldig, en blijven de overige bepalingen van dit Addendum van kracht en bindend voor de partijen.

5.3. Dit Addendum wordt toegepast en uitgelegd overeenkomstig de daarop betrekking hebbende wetgeving van de Canadese provincie Ontario en van Canada, uitgezonderd de daarin opgenomen conflictregels. De partijen gaan er onherroepelijk en onvoorwaardelijk mee akkoord dat uitsluitend de rechtbanken van de Canadese provincie Ontario bevoegd zijn kennis te nemen van alle geschillen of vorderingen uit of in verband met dit Addendum.

Bijlage 1: Details van de Verwerking

Aard en doel van de verwerking: De diensten verlenen en verbeteren onder de Servicevoorwaarden van Shopify en alle andere voorwaarden waarin dit Addendum is opgenomen, alle aanverwante ondersteuning bieden aan de Klant, zoals anderszins toegestaan onder de Europese wetten inzake gegevensbescherming of de Amerikaanse wetten op het gebied van gegevensbescherming, voor zover van toepassing, of zoals van tijd tot tijd door jou geïnitieerd.

Onderwerp, soorten Persoonsgegevens en categorieën van Betrokkenen: Persoonsgegevens met betrekking tot Klanten.

Duur van de verwerking: De termijn van dit Addendum plus de periode vanaf het einde van de termijn tot de verwijdering van alle Persoonsgegevens van de Klant door Shopify in overeenstemming met haar verplichtingen op grond van dit Addendum.