Adendo de Processamento de Dados da Shopify

Este Adendo de Processamento de Dados da Shopify (“Adendo”) altera os Termos de Serviço da Shopify e quaisquer outros termos que incorporem por referência este Adendo (conjuntamente, o “Contrato”) entre você e a Shopify Inc., uma corporação canadense com sede em 151 O’Connor Street, Ground floor, Ottawa, ON, K2P 2L8, em nome próprio e de sua afiliada de Singapura, Shopify Commerce Singapura Pte. Ltd., e de sua afiliada irlandesa, Shopify International Ltd. (coletivamente “Shopify”).

1. Definições

(a) “Leis Europeias de Proteção de Dados” significa o Regulamento da União Europeia 2016/679 (o “Regulamento Geral de Proteção de Dados”), a Lei de Proteção de Dados do Reino Unido de 2018 (“DPA”), o Regulamento Geral de Proteção de Dados do Reino Unido, conforme definido pela DPA e alterado pelo Regulamento de Proteção de Dados, Privacidade e Comunicações Eletrônicas (conforme aditamentos, etc.) (saída da UE) de 2019 (juntamente com a DPA, o “GDPR do Reino Unido”) e qualquer lei, estatuto, regulamento, regra ou outro instrumento vinculativo relevante que implemente o supramencionado ou que esteja, de outra forma, relacionado à proteção de dados, privacidade, segurança de dados ou ao processamento de Dados Pessoais em qualquer estado-membro europeu ou no Reino Unido, conforme aplicável e em vigor, em cada caso, e conforme periodicamente alterado, consolidado, repromulgado ou substituído.

(b) “Dados Pessoais” devem ser interpretados de acordo com as Leis de Proteção de Dados da Europa e as Leis de Proteção de Dados dos EUA, conforme aplicável, em relação a um indivíduo identificável ou identificado que visite ou se envolva em transações por meio de sua loja (um “Cliente”), que a Shopify processe como um Processador de Dados ou Prestador de Serviços (conforme definido por tais leis) ao fornecer a você, como um Controlador de Dados ou Empresa (conforme definido por tais leis), os Serviços. O termo “Dados Pessoais” também deve incluir “Informações Pessoais”, conforme definido pelas Leis de Proteção de Dados dos EUA. Não obstante a afirmação anterior, os Dados Pessoais não incluem informações processadas pela Shopify no contexto dos serviços que ela fornecer diretamente a um consumidor, como por meio de seus apps voltados ao consumidor (por exemplo, o Shop e o Shop Pay).

(c) “Leis de Proteção de Dados do EUA” significa a Lei de Privacidade do Consumidor da Califórnia, conforme alterada pela Lei de Direitos de Privacidade da Califórnia (“CCPA”), a Lei de Proteção de Dados do Consumidor da Virgínia (“VCDPA”), a Lei de Privacidade do Colorado (“CPA”), a Lei de Privacidade do Consumidor de Utah (“UCPA”), a Lei de Connecticut sobre Privacidade de Dados Pessoais e Monitoramento Online (“CTDPA”) e outras leis de privacidade estaduais, abrangentes e semelhantes, que imponham obrigações a uma Empresa ou a um Controlador em relação a Dados Pessoais (conforme definido nessas leis), e qualquer regulamento, regra ou outro instrumento vinculativo relevante que implemente tais leis, conforme aplicável e em vigor, em cada caso, e conforme periodicamente alterado, consolidado, repromulgado ou substituído.

(d) “Consumidor dos EUA” significa um indivíduo que seja um “consumidor”, conforme definido pelas Leis de Proteção de Dados dos EUA.

(e) Todos os outros termos em letra maiúscula neste Adendo terão a mesma definição que no Contrato.

2. Detalhes do processamento

2.1. As partes concordam que o Apêndice 1 deste Adendo descreve o assunto e os detalhes do processamento de Dados Pessoais. A Shopify pode agregar, anonimizar ou desidentificar Dados Pessoais e processar tais dados para os fins estabelecidos no Apêndice 1 ou conforme permitido pela lei aplicável. Quando a Shopify receber de você Dados Pessoais que foram desidentificados (conforme definido na Seção 5.1 deste Adendo), ela manterá e usará os dados apenas de forma desidentificada.

3. União Europeia e Reino Unido

3.1. Esta seção será aplicável somente quando o Processamento de Dados Pessoais da Shopify estiver sujeito às Leis Europeias de Proteção de Dados. Nesta seção, “Processador de Dados”, “Controlador de Dados”, “Titular dos Dados”, “Processamento”, “Subprocessador” e “Autoridade Supervisora” devem ser interpretados de acordo com as Leis Europeias de Proteção de Dados.

3.2. Você reconhece que a Shopify atua como um Controlador de Dados independente em relação aos dados pessoais que ela coleta dos consumidores em relação aos apps e serviços voltados para o consumidor, como o Shop e o Shop Pay.

3.3. Quando um Titular dos Dados estiver localizado no Espaço Econômico Europeu ou no Reino Unido, os Dados Pessoais do Titular dos Dados serão processados pela afiliada irlandesa da Shopify, a Shopify International Ltd (“Shopify EU”). Como parte do fornecimento dos Serviços, esses Dados Pessoais podem ser transferidos para outras regiões, como o Canadá e os Estados Unidos, entre outras. Essas transferências serão realizadas em conformidade com a respectiva Lei de Proteção de Dados.

3.4. Quando a Shopify UE processar Dados Pessoais durante o fornecimento dos serviços, a Shopify irá:

  • 3.4.1. Processar os Dados Pessoais como um Processador de Dados e/ou Prestador de Serviços, apenas com a finalidade de fornecer os Serviços, de acordo com as instruções documentadas por você (desde que essas instruções sejam proporcionais às funcionalidades dos Serviços) e conforme posteriormente acordado por você. Se a Shopify UE tiver a obrigatoriedade legal de processar os Dados Pessoais para qualquer outro fim, ela fornecerá a você um aviso prévio sobre tal exigência, a menos que seja proibida por lei de fornecer esse aviso.

  • 3.4.2. Notificar você caso, na opinião da Shopify UE, suas instruções para o Processamento de Dados Pessoais violem as Leis Europeias de Proteção de Dados aplicáveis.

  • 3.4.3. Notificar você imediatamente, conforme permitido por lei, ao receber uma consulta ou reivindicação de uma Autoridade de Supervisão relacionada ao Processamento de Dados Pessoais pela Shopify UE.

  • 3.4.4. Implementar medidas técnicas e organizacionais apropriadas que permitam que você execute solicitações relacionadas aos Dados Pessoais do Cliente que você tenha obrigação de atender.

  • 3.4.5. Implementar e manter medidas técnicas e organizacionais apropriadas para proteger os Dados Pessoais contra processamento não autorizado ou ilegal e contra perda acidental, destruição, dano, roubo, alteração ou divulgação. Essas medidas devem ser apropriadas aos danos que possam resultar de qualquer processamento não autorizado ou ilegal, perda acidental, destruição, dano ou roubo de Dados Pessoais e à natureza dos Dados Pessoais que devem ser protegidos.

  • 3.4.6. Mediante solicitação, fornecer informações apropriadas para ajudar você a concluir suas avaliações de impacto de proteção de dados e consultas prévias junto a autoridades reguladoras.

  • 3.4.7. Mediante solicitação, fornecer atestados, relatórios ou extratos atualizados, sempre que disponíveis, de uma fonte encarregada de auditar as práticas de proteção de dados da Shopify UE (por exemplo, auditores externos, auditoria interna, auditores de proteção de dados) ou certificações adequadas, para permitir que você avalie a conformidade com os termos deste Adendo.

  • 3.4.8. Notificar você, sem demora injustificada, ao tomar conhecimento e confirmar qualquer acesso ou processamento acidentais, não autorizados ou ilegais dos Dados Pessoais.

  • 3.4.9. Garantir que os funcionários que acessem os Dados Pessoais estejam sujeitos a obrigações de confidencialidade.

  • 3.4.10. Após o encerramento do Contrato, a Shopify UE iniciará imediatamente seu processo de eliminação para excluir ou anonimizar os Dados Pessoais. Você também poderá solicitar, no prazo de 60 dias após o encerramento, que a Shopify devolva tais Dados Pessoais.

3.5. No decorrer da prestação dos Serviços, você reconhece e, por meio deste, concede à Shopify UE autorização geral por escrito para usar os Subprocessadores divulgados online em: https://help.shopify.com/pt-BR//manual/privacy-and-security/privacy/subprocessors (“Lista de Subprocessadores”), para processarem os Dados Pessoais. O uso pela Shopify UE de qualquer Subprocessador específico para processar os Dados Pessoais deverá estar em conformidade com as Leis Europeias de Proteção de Dados e deve ser regido por um contrato entre a Shopify UE e o Subprocessador que estabeleça proteções comparáveis às deste Adendo de Processamento de Dados. Se a Shopify UE nomear um novo subprocessador ou tiver a intenção de fazer alterações relacionadas à adição ou substituição de subprocessadores, tais alterações serão feitas em nossa Lista de Subprocessadores. Você terá 7 (sete) dias a partir da data de atualização da nossa Lista de Subprocessadores para contestar a alteração. Se você não aceitar a nomeação de um Subprocessador, poderá rescindir este contrato, conforme estabelecido no Contrato e no seu Contrato do Shopify Plus, se aplicável.

3.6. Você garante que cumpriu e continua cumprindo as Leis Europeias de Proteção de Dados, em particular, e que obteve todos os consentimentos necessários ou forneceu todos os avisos necessários e que, de outra forma, tem fundamento legítimo para divulgar dados à Shopify UE e permitir o processamento de Dados Pessoais por ela, conforme estabelecido neste Contrato.

4. Consumidores dos EUA

4.1. Esta seção aplica-se somente quando, para fins das Leis de Proteção de Dados dos EUA, você for uma Empresa ou Controlador e, no decorrer da prestação dos Serviços, a Shopify processar Dados Pessoais sobre Consumidores dos EUA que estejam sujeitos às Leis de Proteção de Dados dos EUA. Nesta seção, “Empresa”, “Objeto Social”, “Objeto Comercial”, “Controlador”, “Desidentificação”, “Processador”, “Vender”, “Venda”, “Prestador de Serviços” terão os significados atribuídos a eles nas Leis de Proteção de Dados dos EUA, e “Compartilhamento” terá o significado atribuído na CCPA, aqui incorporados para referência.

4.2. Com relação a tais Dados Pessoais, e conforme exigido pelas Leis de Proteção de Dados dos EUA aplicáveis, a Shopify:

  • 4.2.1. processará os Dados Pessoais como um Prestador de Serviços e/ou Processador em seu nome para prestar os Serviços ou conforme permitido pelas Leis de Proteção de Dados dos EUA;

  • 4.2.2. não reterá, usará ou divulgará Dados Pessoais fora da relação comercial direta estabelecida com você nem para outra finalidade que não seja prestar os Serviços, incluindo reter, usar ou divulgar tais Dados Pessoais para um Objeto Comercial diferente da execução do Objeto Social descrito no Contrato ou conforme permitido pelas Leis de Proteção de Dados dos EUA;

  • 4.2.3. não venderá nem compartilhará tais Dados Pessoais;

  • 4.2.3. não associará os Dados Pessoais coletados em relação à execução dos Serviços com os Dados Pessoais recebidos de outra fonte ou coletados de suas próprias interações com alguém, exceto para prestar os Serviços, com consentimento ou orientação, ou conforme permitido pelas Leis de Proteção de Dados dos EUA;

  • 4.2.4. em relação ao processamento dos Dados Pessoais, cumprirá as disposições das Leis de Proteção de Dados dos EUA aplicáveis aos Prestadores de Serviços ou Processadores, incluindo fornecer o mesmo nível de proteção de privacidade exigido das Empresas ou dos Controladores pelas Leis de Proteção de Dados dos EUA, e notificará você caso fique determinado que ela não conseguirá mais cumprir essas obrigações. Você pode, ao receber tal notificação, adotar medidas razoáveis e apropriadas para interromper e remediar qualquer uso não autorizado de Dados Pessoais pela Shopify;

  • 4.2.5. somente contratará subcontratados para processar Dados Pessoais em seu nome, com base em um contrato estabelecido por escrito que exija proteções comparáveis às deste Adendo de Processamento de Dados. No decorrer da prestação dos Serviços, você reconhece e, por meio deste, concede à Shopify autorização geral por escrito para usar os Subprocessadores divulgados online em: https://help.shopify.com/pt-BR//manual/privacy-and-security/privacy/subprocessors (“Lista de Subprocessadores”), para Processar os Dados Pessoais. O uso pela Shopify de qualquer Subprocessador específico para processar os Dados Pessoais deverá estar em conformidade com as Leis de Proteção de Dados dos EUA e deverá ser regido por um contrato entre a Shopify e o Subprocessador que estabeleça proteções comparáveis às deste Adendo de Processamento de Dados. Se a Shopify nomear um novo subprocessador ou tiver a intenção de fazer alterações relacionadas à adição ou substituição de subprocessadores, tais alterações serão feitas em nossa Lista de Subprocessadores. Você terá 7 (sete) dias a partir da data de atualização da nossa Lista de Subprocessadores para contestar a alteração. Caso não recebamos uma resposta da sua parte, a alteração será considerada aceita. Se você não aceitar a nomeação de um Subprocessador, poderá rescindir este contrato, conforme estabelecido no Contrato e no seu Contrato do Shopify Plus, se aplicável.

  • 4.2.6. garantirá que os funcionários que acessem os Dados Pessoais estejam sujeitos a obrigações de confidencialidade, no que se refere a essas informações;

  • 4.2.7. adotará medidas razoáveis e apropriadas, mediante notificação prévia por escrito enviada por você, sujeitas às obrigações de confidencialidade estabelecidas no Contrato, para ajudar a confirmar que o uso de Dados Pessoais pela Shopify está de acordo com suas obrigações em relação às Leis de Proteção de Dados dos EUA;

  • 4.2.8. mediante solicitação, fornecerá um relatório apropriado sobre as políticas e as medidas técnicas e organizacionais da Shopify para cumprir as obrigações referentes às Leis de Proteção de Dados dos EUA aplicáveis, usando um padrão ou uma estrutura de controle que sejam aceitos e apropriados, e um procedimento de avaliação para tais avaliações; e

  • 4.2.9. após o encerramento do Contrato, a Shopify iniciará imediatamente seu processo de eliminação para excluir ou desidentificar os Dados Pessoais. Você também poderá solicitar, no prazo de 60 dias após o encerramento, que a Shopify devolva tais Dados Pessoais.

4.3. Você declara e garante que:

  • 4.3.1. obteve todos os consentimentos, direitos e autorizações necessários e forneceu todos os avisos necessários aos indivíduos no que se refere à sua divulgação de Dados Pessoais à Shopify para possibilitar que ela processe os Dados Pessoais em relação à prestação dos Serviços, conforme exigido pela lei aplicável;

  • 4.3.2. não compartilhará com a Shopify quaisquer Dados Pessoais de qualquer indivíduo sujeito às Leis de Proteção de Dados dos EUA que tenha exercido uma opção de exclusão que você deva atender;

  • 4.3.3. não compartilhará com a Shopify dados sensíveis de qualquer consumidor dos EUA que não tenha consentido com o processamento de seus dados sensíveis;

  • 4.3.4. informará à Shopify sobre quaisquer solicitações de direitos que os indivíduos fizerem nos termos das Leis de Proteção de Dados dos EUA que a Shopify deva cumprir e fornecer as informações necessárias para que a Shopify cumpra essas solicitações; e

  • 4.3.5. será o único responsável por sua conformidade com tais leis.

4.4. Você e a Shopify concordam que a existência deste Adendo não constitui uma admissão de que o compartilhamento de Dados Pessoais constitua uma Venda ou um Compartilhamento.

5. General

5.1. No caso de qualquer conflito ou inconsistência entre as disposições do Contrato e as deste Adendo, as disposições deste Adendo prevalecerão, a não ser que tais disposições contradigam uma exigência da lei aplicável, caso em que tal exigência prevalecerá. Para evitar dúvidas e conforme permitido pela lei aplicável, toda e qualquer responsabilidade baseada nos termos deste Adendo, incluindo suas limitações, será regida pelas disposições relevantes do Contrato. Você reconhece e concorda que a Shopify pode alterar este Adendo de tempos em tempos, publicando o respectivo Adendo alterado e atualizado no site da Shopify, disponível em https://shopify.com/br/legal/apd, e tais alterações ao Adendo entrarão em vigor na data de sua publicação. Seu uso continuado dos Serviços após a publicação do Adendo alterado no site da Shopify constituirá seu acordo e aceitação do Adendo alterado. Se você não concordar com as alterações nos Termos de serviço, interrompa o uso do Serviço.

5.2. Salvo conforme especificamente modificado e aditado neste Adendo, todos os termos, disposições e requisitos contidos no Contrato permanecerão em pleno vigor e efeito e regerão este Adendo. Se qualquer disposição do Adendo for considerada ilegal ou inexequível em um processo judicial, ela será separada e considerada inválida, e o restante deste Adendo permanecerá válido e vinculativo para as partes.

5.3. Os termos deste Adendo serão regidos e interpretados de acordo com as leis aplicáveis da Província de Ontário e do Canadá, desconsiderando os princípios de conflitos de lei. As partes se submetem, de maneira irrevogável e incondicional, à jurisdição exclusiva dos tribunais da Província de Ontário no que se refere a qualquer disputa ou reivindicação decorrente ou relacionada a este Adendo.

Apêndice 1: Detalhes do Processamento

Natureza e finalidade do processamento: para prestar e melhorar os Serviços sob os Termos de Serviço da Shopify e quaisquer outros termos aos quais este Adendo esteja incorporado, fornecer qualquer suporte relacionado ao Cliente, conforme permitido pelas Leis Europeias de Proteção de Dados ou Leis de Proteção de Dados dos EUA, conforme aplicável ou conforme iniciado por você de tempos em tempos.

Objeto, tipos de dados pessoais e categorias de titulares dos dados: Dados Pessoais relativos a clientes.

Duração do processamento: a vigência deste Adendo mais o período desde o final do prazo até a exclusão de todos os Dados Pessoais do Cliente pela Shopify de acordo com suas obrigações sob este Adendo.