跨境数据传输

Shoplazza 认真对待隐私和数据保护问题，我们通过合同向我们的商家承诺，我们将遵守数据保护法，例如《通用数据保护条例》（“GDPR”） (EU) 2016/679。为了做到这一点，我们的基础设施在设计过程中，严格遵守了 GDPR 跨境传输数据规定。特别是，我们对数据流进行了结构化，以便我们的加拿大实体作为最初接收和处理有关欧洲数据主体的所有个人数据。然后Shoplazza 将该数据继续传输到其他位置。本节会做更为详细的阐述。

GDPR 数据跨境传输要求

当欧洲居民的个人数据被转移出欧洲时，GDPR 要求数据在转移到第三国或国际组织后受到旨在保护个人数据的特定机制的保护，包括：

• 法律：“目的地”国家的隐私法足以确保数据受到保护（第 45 条）。欧盟委员会已确定，管辖 Shoplazza Inc. 如何处理数据的加拿大私营部门隐私法充分保护了这些数据。
• 条约：各国可能会签订国际条约以允许个人数据的跨境流动，例如欧盟-美国隐私保护条约。欧盟委员会可以决定任何此类条约足以确保数据受到保护（第 50 条）。然而，欧盟法院于 2020 年 7 月 16 日宣布欧盟-美国隐私保护条约无效。
• 合同：个人数据可以根据“标准合同条款”（“SCCs”）在欧洲实体和非欧洲实体之间传输。 SCCs 的措辞已通过欧盟委员会批准。
• 政策：个人数据可能会在公司集团内部传输（例如，如果公司有保护数据的内部政策或 DPA，则在 Shoplazza Inc. 和Shoplazza Hongkong Limited之间传输）。

数据基础设施

当您使用 Shoplazza 的服务时，您的合同包括了您与 Shoplazza 在不同司法管辖区提供服务的两个实体之间的数据处理附录：Shoplazza Inc.（位于加拿大）和 Shoplazza Hongkong Limited（位于香港）。

根据我们的数据处理附录第 2.1 节，当我们收到有关欧洲数据主体的数据时，该数据最初是由位于加拿大的 Shoplazza Inc. 从您和/或数据主体收到。 虽然我们无法就您在数据保护法下的义务向您提供建议，但我们认为这些个人数据是由您转移到 Shoplazza Inc. 。在 GDPR 适用于此传输的范围内，您（向欧盟数据主体提供服务或商品的控制者，受 GDPR第 3(2) 条 约束）向位于加拿大的数据处理者的传输根据 GDPR 第 45 条来进行的，该传输是在充分性决定基础上进行的数据传输。在这种情况下，数据传输到受加拿大个人信息保护和电子文件法（“PIPEDA”）约束的加拿大公司 Shoplazza Inc.。由于此传输是向受 PIPEDA 约束的公司进行的，因此它是根据欧盟委员会的充分性决定 2002/2/EC 进行的。

Shoplazza Inc. 可能会使用其他分支处理机构。这些分支处理机构位于世界各地，使用的特定分支处理机构将根据具体情况（例如您的店铺位置、店铺配置、您可能使用的特定 Shoplaaza 服务、您使用 Shoplazza 支持的程度等）而有所不同。目前，我们遵守加拿大隐私法的出口要求和/或合同承诺，例如 SCCs 或具有与 SCCs 实质相似条款的协议。