Duomenų apdorojimo priedas

Šis Shoprocket Duomenų Apdorojimo Papildinys („Papildinys“) keičia Shoprocket Sąlygas ir Nuostatas („Susitarimas“) tarp jūsų („Jūs“) ir Shoprocket LTD (įmonės nr. 12656598, registruota Anglijoje ir Velse, 20-22 Wenlock Road, London, NG 17U). Jei turite atskirą SLA su Shoprocket, nuorodos į Susitarimą reiškia šį SLA. Šis Papildinys yra nepriklausomas ir įtrauktas į Susitarimą. Bet kuris didžiąja raide parašytas terminas, kuris čia nenurodytas, turi reikšmę, nurodytą Susitarime.

---

Apibrėžimai

• Account Settings (Paskyros nustatymai): Jūsų Shoprocket Paskyros nustatymai (įskaitant saugumo aspektus), leidžiantys tvarkyti, kaip Shoprocket apdoroja Asmens Duomenis.

• Business Purposes (Verslo tikslai): Paslaugos, apibrėžtos Susitarime.

• Client Account Data (Kliento paskyros duomenys): Asmens Duomenys apie jūsų santykius su Shoprocket (pvz., įgalioti kontaktai, apmokėjimo duomenys), taip pat informacija, kurią Shoprocket renka paskyros valdymui, tapatybės patikroms ar teisiniams reikalavimams.

• Client Usage Data (Kliento naudojimosi duomenys): Naudojimosi duomenys, kuriuos Shoprocket apdoroja jūsų naudojimosi Paslaugomis kontekste (pvz., žurnalai, našumo matavimai, piktnaudžiavimo prevencijos duomenys).

• Data Protection Legislation (Duomenų apsaugos teisės aktai): Apima CCPA, ES GDPR, Šveicarijos Federalinį duomenų apsaugos įstatymą, JK GDPR, DPA 2018 ir PECR 2003, kiekvieną iš jų atnaujintą. Terminai (pvz., „Duomenų kontrolierius“, „Duomenų tvarkytojas“) laikosi ES GDPR nuostatų.

• EEA (Europos ekonominė erdvė): Europos ekonominė erdvė.

• EU SCCs (ES standartinės sutarties sąlygos): Standartinės sutartinės sąlygos pagal Komisijos sprendimą 2021/914.

• Ex-EEA Transfer (Eks-EEA perdavimas): Asmens Duomenų perdavimas (pagal ES GDPR) už EEE ribų be tinkamumo sprendimo pagal 45 straipsnį ES GDPR.

• Ex-UK Transfer (Eks-JK perdavimas): Asmens Duomenų perdavimas (pagal JK GDPR) už JK ribų be tinkamumo sprendimo, kurį priėmė JK valstybės sekretorius.

• Service Provider (Paslaugų teikėjas): Kaip apibrėžta CCPA.

• Services (Paslaugos): Shoprocket įrankiai, skirti kurti/valdyti internetines parduotuves („Shoprocket Parduotuvė“), tvarkyti produktus, atsiskaitymus, pristatymą, rinkodarą ir bet kokį įrankį ar paslaugą, kurią gali pasiūlyti Shoprocket.

• Shoprocket Account (Shoprocket paskyra): Jūsų paskyra, suteikianti prieigą prie Paslaugų, įskaitant Paskyros nustatymus, adresu https://www.shoprocket.io.

• Shoprocket Privacy Policy (Shoprocket privatumo politika): Pranešimas adresu https://shoprocket.io/privacy, kaip atnaujinta.

• Shoprocket Store (Shoprocket parduotuvė): Jūsų elektroninės prekybos svetainė, hostinta arba palaikoma Shoprocket.

• Special Category Data (Specialių kategorijų duomenys): Kaip apibrėžta ES/JK GDPR 4(13), 4(14), 4(15) ir 9 straipsniuose (kaip taikytina).

• Standard Contractual Clauses (SCCs) (Standartinės sutartinės sąlygos): ES SCCs ir JK SCCs, kaip aktualu.

• UK SCCs (JK SCCs): ES SCCs, kurias pakeitė JK ICO IDTA Papildinys.

• We/Us/Our (Mes/Mūsų): Shoprocket LTD (įskaitant „Shoprocket“ ir „Shoprocket.io“).

• You/Your (Jūs/Jūsų): Sutartinė šalis, paminėta Susitarime.

---

Kliento nurodymai

Šis Papildinys ir Susitarimas (įskaitant nurodymus jūsų Paskyros nustatymuose) sudaro Dokumentuotus Nurodymus, kaip Shoprocket apdoroja Asmens Duomenis. Shoprocket apdoros Asmens Duomenis tik pagal nurodymus. Papildomi nurodymai už šių sąlygų ribų reikalauja išankstinio raštiško sutikimo (ir gali sukelti papildomų mokesčių).

Shoprocket gali nutraukti šį Papildinį ir Susitarimą, jei jūsų nurodymai pažeidžia Duomenų apsaugos teisės aktus arba nukrypsta nuo sutartų nurodymų. Atsižvelgiant į apdorojimo pobūdį, Shoprocket paprastai negali nustatyti, ar jūsų nurodymai pažeidžia įstatymą; jei ji sudaro tokią nuomonę, ji informuos jus, ir jūs galite keisti arba atšaukti nurodymus.

---

Duomenų apdorojimas

1. Shoprocket apdorojimas

   • Duomenų tvarkytojas/Paslaugų teikėjas: Išskyrus Kliento paskyros duomenis ir Kliento naudojimosi duomenis, Shoprocket jūsų vardu apdoroja Asmens Duomenis (pagal ES/JK GDPR) arba asmeninę informaciją (pagal CCPA).

   • Nepriklausomas duomenų kontrolierius: Shoprocket yra Duomenų kontrolierius dėl Asmens Duomenų, surinktų tiesiogiai iš Parduotuvės klientų, ir Kliento paskyros duomenų ar Kliento naudojimosi duomenų.

2. Saugojimas

   • Asmens Duomenys saugomi:

     1. AWS serveriuose Airijoje (ar kitose EEE regionuose),

     2. Hetzner serveriuose Nurnberge/Falkenšteine (Vokietija).

3. Apimtis ir tikslas

   • Shoprocket apdoroja Asmens Duomenis tik tiek, kiek tai būtina Verslo tikslams, kuriuos nurodote (atitinkančius įsigytas Paslaugas) ir laikydamasi Duomenų apsaugos teisės aktų.

   • Jei pagal įstatymus reikia apdoroti kitaip, Shoprocket jus informuos, nebent tai būtų draudžiama pagal įstatymą.

   • Shoprocket greitai vykdo jūsų raštiškus nurodymus pakeisti, perkelti arba ištrinti Asmens Duomenis arba sustabdyti neleidžiamą apdorojimą.

   • Shoprocket Laiko Asmens Duomenis konfidencialiais, nebent atskleidimas būtų leidžiamas arba teisės aktuose reikalaujamas.

   • Shoprocket padeda jums laikytis jūsų prievolių (pvz., duomenų subjekto prašymai, DPIA) be papildomų mokesčių.

   • Shoprocket informuoja jus apie teisinius pokyčius, kurie gali paveikti Susitarimą arba šį Papildinį.

4. Shoprocket kaip Nepriklausomas Duomenų Kontrolierius

   • Kliento paskyros duomenims ir Kliento naudojimosi duomenims Shoprocket nėra bendras kontrolierius, tačiau apdoroja šiuos duomenis valdydama savo santykius su jumis, užkertant kelią sukčiavimui/saugumo incidentams, vykdydama teisinius reikalavimus ir kt., laikydamasi Shoprocket Privatumo politikos.

5. CCPA

   • Išskyrus Kliento paskyros duomenis ir Kliento naudojimosi duomenis, Shoprocket yra jūsų Paslaugų teikėjas pagal CCPA; ji „neparduoda“ tokios asmeninės informacijos ir naudoja ją tik Paslaugoms atlikti arba kaip kitaip leidžia įstatymas.

6. Priedai

   • Galite integruoti trečiųjų šalių priedus („Add-Ons“) pagal atskirus EULAs su kiekvienu leidėju. Shoprocket perduoda būtiną Asmens Duomenį priedų leidėjui, tačiau nėra atsakinga už jų apdorojimą. Dabartiniai Shoprocket reklamuojami priedai apima:

     • Amazon, eBay, Facebook Marketplace, Google Shopping, Instagram Shopping: Multi-kanalų įvykdymas ir sinchronizavimas.

     • Affirm, Afterpay, Alipay, Apple Pay, Click to Pay, GrabPay, GooglePay, iDEAL, Klarna, Microsoft Pay, PayPal, P24, Sofort, Stripe, WeChat Pay: Mokėjimų integracijos, palaikančios įvairius metodus/valiutas.

     • Zapier: Automatizuoja duomenų perdavimus/wyklas tarp Shoprocket ir kitų programų.

   • Jei Shoprocket ir jūs turite SCCs, jūsų nurodymas integruoti priedus yra sutikimas perduoti Asmens Duomenis šiems priedų leidėjams, jei to reikalauja SCCs.

7. Jūsų Atsakomybės

   • Jūs esate Duomenų Kontrolierius dėl bet kurių Asmens Duomenų, surinktų ar apdorotų Shoprocket jūsų vardu.

   • Jūs esate atsakingas už tai, kad atitiktumėte pranešimų/sutikimų reikalavimus ir užtikrintumėte atitiktį Duomenų apsaugos teisės aktams.

---

Asmens Duomenų Tipai ir Apdorojimo Tikslai

• Subject Matter (Tema): Asmens Duomenys, kuriuos įkeliate į Paslaugas, įskaitant jūsų Shoprocket Paskyrą ar Parduotuvę.

• Duration (Trukmė): Nustatyta jūsų (kol sustabdysite/arba nutrauksite savo Shoprocket prenumeratą ar atitinkamas integracijas).

• Purpose (Tikslas): Teikti Paslaugas pagal jūsų nurodymus (pvz., valdyti jūsų Shoprocket Parduotuvę/Paskyrą).

• Nature of Processing (Apdorojimo pobūdis): Shoprocket el. prekybos platforma (ir bet kurie Sub-processors/Priedų leidėjai) gali saugoti arba apdoroti Asmens Duomenis.

• Types of Personal Data (Asmens Duomenų tipai): Duomenys, kuriuos įkeliate (pvz., kontaktinė informacija, klientų duomenys, sandorių įrašai).

• Data Subjects (Duomenų subjektai): Jūs, jūsų klientai, darbuotojai, rangovai, agentai, tiekėjai arba pardavėjai.

---

Duomenų Apdorojimo Saugumas

Shoprocket palaikys tinkamas technines ir organizacines priemones, kad apsaugotų Asmens Duomenis nuo neleidžiamo ar neteisėto apdorojimo, atsitiktinio praradimo ar sunaikinimo, laikydamasi 32 straipsnio ES/JK GDPR. Priemonės apima (kai tinkama):

• Pseudonimizavimą/šifravimą;

• Užtikrindama sistemų konfidencialumą, integralumą, prieinamumą ir atsparumą;

• Duomenų atstatymą laiku po incidentų;

• Reguliariai tikrindama, vertindama ir įvertindama šias priemones.

Shoprocket darbuotojai

• Shoprocket užtikrina, kad darbuotojai, rangovai ir agentai, tvarkantys Asmens Duomenis, būtų apmokyti, prisiimtų konfidencialumo įsipareigojimus ir būtų visiškai informuoti apie savo duomenų apsaugos pareigas.

Saugumas (pakartotinis)

• Shoprocket nuolat atnaujina technines/organizacines apsaugos priemones, kad išvengtų neleidžiamo apdorojimo, įskaitant šifravimą, sistemų atsparumą, gebėjimą atstatyti ir efektyvumo testavimą.

---

Asmens Duomenų Pažeidimas

1. Pranešimas

   • Shoprocket praneša jums per 72 valandas (ir be nevykdyti vėlavimo), jei ji sužino apie:

     1. Asmens Duomenų praradimą/sugadinimą;

     2. Bet kokį atsitiktinį, neleidžiamą ar neteisėtą apdorojimą;

     3. Asmens Duomenų pažeidimą.

2. Informacija

   • Shoprocket suteikia incidento aprašymą, paveiktų duomenų kategorijas/skaičius ir priemones, imtasi arba siūlomos, siekiant sušvelninti poveikį.

3. Bendradarbiavimas

   • Shoprocket koordinuoja tyrimą su jumis ir neskelbia trečiosioms šalims be jūsų raštiško sutikimo, nebent tai reikalautų įstatymas.

4. Kainos

   • Shoprocket padengia protingus šių įsipareigojimų kaštus, nebent incidentas kyla dėl jūsų nurodymų, aplaidumo ar pažeidimo, atveju jūs padengiate Shoprocket protingus kaštus (įskaitant profesionalių patarėjų).

---

Sub-apdorotojai

Shoprocket šiuo metu naudoja šiuos Sub-apdorotojus duomenims talpinti/apdoroti, infrastruktūros/tinklo paslaugoms arba kitoms paslaugų funkcijoms:

Pavadinimas	Aprašymas	Vieta
200OK LLC (Profitwell)	Prenumeratos ataskaita/analitika.	MA, JAV
Amazon Web Services EMEA SARL	Debesų talpinimas, kompiuterija, saugykla.	Liuksemburgas, ES
Automattic, Inc. (Gravatar)	Leidžia vartotojams įkelti profilio nuotraukas į Shoprocket sąskaitas.	CA, JAV
Cloudflare, Inc.	Tinklo saugumas ir ryšys.	CA, JAV
Crisp IM SAS	Gyvas pokalbis ir klientų pranešimų programa vartotojų palaikymui.	Prancūzija, ES
Facebook Technologies Ireland	Facebook Pixels konversijoms, reklamos optimizavimui, auditorijos kūrimui.	Airija, ES
Google Ireland Limited	Google Analytics (elgesio analizė), Adwords (reklamos vieta/monetizacija).	Airija, ES
GmbH	Debesų talpinimas, kompiuterija ir saugykla.	Vokietija, ES
TPS Unlimited, Inc. (Taxjar)	Mokesčių automatizacija ES PVM ir JAV pardavimo mokesčiams Shoprocket parduotuvėse.	CA, JAV
Twilio, Inc. (Sendgrid)	Multi-kanalų pranešimai (el. paštas, SMS, WhatsApp).	Airija, ES
Twitter, Inc.	Twitter Pixel konversijų sekimui ir reklamos našumo metrikai.	CA, JAV

Jūs suteikiate Shoprocket leidimą naudoti aukščiau paminėtus Sub-apdorotojus ir suteikiate bendrą leidimą Shoprocket pridėti kitus („Įgalioti Sub-apdorotojai“). Shoprocket suteiks ne mažiau kaip 30 dienų pranešimą (per svetainę, el. paštu arba Paskyros pranešimu) prieš pradedant naudoti naują Sub-apdorotoją. Jūs galite prieštarauti per 10 dienų po pranešimo raštu, dėl pagrįstų duomenų apsaugos priežasčių. Jei įtraukta esminis Sub-apdorotojas ir neatsiranda alternatyvų per 90 dienų, galite nutraukti ar sustabdyti atitinkamas Paslaugas (vis tiek apmokėdami bet kokius priklausančius mokesčius).

Jei neprieštaraujate per 10 dienų, naujas Sub-apdorotojas laikomas patvirtintu. Kur Shoprocket pasitelkia Sub-apdorotoją, ji:

• Apriboja prieigą tik prie to, kas būtina teikiant ar tobulinant Paslaugas;

• Taiko tas pačias duomenų apsaugos prievoles jiems;

• Išlieka atsakinga už jų atitiktį.

Jei taikomos SCCs, jūsų leidimas laikomas išankstiniu raštišku sutikimu pagal 9(c) punktą arba atitinkamus JK SCC punktus. Shoprocket gali redaguoti neesminius komercinius duomenis prieš dalinantis sub-apdorojimo sutartimis su jumis.

---

Asmens Duomenų Perdavimas

Shoprocket gali perduoti Asmens Duomenis už EEE, JK ar Šveicarijos ribų, kad teiktų Paslaugas (pvz., kai kurie Priedų leidėjai/Sub-apdorotojai JAV). Kur nėra tinkamumo sprendimo, Shoprocket užtikrins tinkamas apsaugos priemones pagal Duomenų apsaugos teisės aktus.

• Ex-EEA Transfers (Eks-EEA perdavimai): Apima ES SCCs (Pirmas modulis Shoprocket kaip Kontrolieriui, Antras modulis Shoprocket kaip Tvarkytojui). Tam tikros nuostatos (pvz., 7 punkto prijungimas) netaikomos; ginčai yra pagal Airijos įstatymus/teismus.

• Ex-UK Transfers (Eks-JK perdavimai): Apima IDTA Papildinį.

• Perdavimo iš Šveicarijos: Panašiai kaip ES SCCs, su pakeitimais, taikytinais Šveicarijos FADP.

• Papildomos Priemonės:

  • Įgyvendinimo metu nėra oficialių vyriausybių duomenų prieigos prašymų.

  • Jei priversta atskleisti jūsų duomenis, Shoprocket jus informuos (nebent tai būtų draudžiama) ir padės siekti apsauginių priemonių.

  • Shoprocket ir jūs reguliariai aptarsite, ar importuojančios šalies įstatymai teikia ekvivalentinę apsaugą ar reikalauja papildomų priemonių.

  • Jei bet kuris perdavimo mechanizmas nustoja būti galiojantis arba priežiūros institucija jį sustabdo, Shoprocket gali įgyvendinti alternatyvias nuostatas arba sustabdyti perdavimus.

Jei patvirtinate Sub-apdorotoją/Priedą už EEE ribų, taip pat leidžiate Shoprocket pasirašyti SCCs jūsų vardu.

---

Prašymai, Duomenų Subjektų Prašymai ir Trečiųjų Šalių Teisės

Shoprocket nedelsdama suteiks jums bet kokią informaciją ar pagalbą, kurios jums reikia:

1. Įvykdyti Duomenų Subjektų teises (prieiga, taisymas, ištrynimas, perkeliamumas, prieštaravimai ir kt.).

2. Spręsti arba laikytis informacijos/vertinimo pranešimų iš reguliatorių.

Shoprocket nedelsdama praneš apie bet kokius skundus ar pranešimus dėl apdorojimo, o per 14 dienų praneš, jei gaus Duomenų Subjekto prašymą. Shoprocket padės atsakyti ir neskelbs Asmens Duomenų trečiosioms šalims, nebent to reikalautų įstatymas arba jūsų nurodymai.

---

Trukmė ir Nutraukimas

Šis Papildinys lieka galioti tiek, kiek ir Susitarimas, arba Shoprocket išlaiko bet kokius su juo susijusius Asmens Duomenis. Nuostatos, kurios turi išlikti duomenų apsaugai, išlieka galioti. Bet koks esminis DPA pažeidimas yra esminis Susitarimo pažeidimas, suteikiantis jums teisę nutraukti nedelsiant be tolesnės atsakomybės.

Jei Duomenų apsaugos teisės aktų pokyčiai neleidžia šaliai vykdyti savo įpareigojimų, šalys gali sustabdyti apdorojimą, kol bus pasiekta atitiktis. Jei problema nebus išspręsta per 90 dienų, bet kuri šalis gali nutraukti nedelsdama pranešusi.

---

Duomenų Grąžinimas ir Naikinimas

• Prašius, Shoprocket suteikia jums (ar trečiajai šaliai, kurią paskyrėte raštu) kopijas arba prieigą prie Asmens Duomenų formatu, kurį nurodote (jei įmanoma).

• Nutraukus, Shoprocket grąžina arba ištrina Asmens Duomenis, nebent tolesnis saugojimas būtų teisiškai reikalaujamas. Jei ištrynimas yra neįmanomas ar neteisėtas, Shoprocket blokuoja tolesnį apdorojimą ir toliau apsaugo duomenis.

• SCC sertifikacijos: Jei SCCs taikomos, Shoprocket patvirtins ištrynimą pagal 8.1(d) punktą ES SCCs (arba JK SCCs) pagal jūsų raštišką prašymą.

• Jei bet kuris įstatymas/nuostata reikalauja Shoprocket išlaikyti tam tikrus duomenis, ji praneš jums apie pagrindą, laikotarpį ir tada ištrins, kai to nebereikės.

• Shoprocket patvirtins ištrynimą per 30 dienų po jo užbaigimo.

---

Įrašai

Shoprocket saugo detalius, tikslius ir atnaujintus visų Asmens Duomenų apdorojimo įrašus (pvz., saugumo priemones, sub-apdorotojus, apdorojimo tikslus, bet kokius tarptautinius perdavimus). Šie įrašai turi leisti jums patikrinti Shoprocket atitiktį. Kopijos teikiamos prašant.

---

Garantuojamos sąlygos

Shoprocket garantuoja, kad:

1. Jos darbuotojai, subrangovai ar agentai, turintys prieigą prie Asmens Duomenų, yra patikimi, patikimi ir tinkamai apmokyti.

2. Ji apdoros Asmens Duomenis visiškai laikydamasi Duomenų apsaugos teisės aktų ir susijusių įstatymų.

3. Ji neturi pagrindo manyti, kad įstatymas neleidžia teikti sutartų Paslaugų.

4. Atsižvelgiant į technologijas ir kaštus, ji imsis atitinkamų priemonių, kad užkirstų kelią neleidžiamam apdorojimui ar atsitiktiniam pažeidimui/praradimui, užtikrindama saugumą, proporcingą rizikai ir duomenų jautrumui.

---

Įgyvendinimas ir Modifikacijos

Pateikdami Susitarimą, sutinkate ir esate įpareigoti šiuo Papildiniu. Shoprocket gali atnaujinti šį Papildinį 30 dienų raštišku pranešimu, jei to reikia dėl teisinių ar reguliavimo priežasčių. Jei prieštarausite ir nebus pasiektas abipusis sprendimas, galite nutraukti paveiktas Paslaugas raštišku pranešimu per šį laikotarpį (sumokėdami bet kokius atsiskaitymo mokesčius). Iš šios nutraukimo nekyla jokių tolesnių reikalavimų.

Priedas A

Shoprocket Saugumo Standartai

(Didžiosios raidės, neapibrėžtos čia, turi reikšmes, nustatytas Papildinyje.)

Šis priedas apibrėžia Shoprocket technines ir organizacines priemones, skirtas:

1. Apsaugoti Asmens Duomenis nuo atsitiktinio ar neteisėto praradimo, prieigos ar atskleidimo;

2. Identifikuoti numatomas saugumo rizikas ir užkirsti kelią neleidžiamai prieigai prie Paslaugų (įskaitant jūsų Shoprocket paskyrą);

3. Mažinti saugumo rizikas per rizikos vertinimą ir testavimą.

Shoprocket paskiria vieną ar daugiau darbuotojų, kurie prižiūri šias informacijos saugumo praktikas ir reaguoja į susijusius užklausimus.

---

1. Bendroji atsakomybė

Shoprocket yra debesų pagrindu veikianti SaaS programa, kuriai talpinti naudojamasi:

• Amazon Web Services (AWS) eu-west-1 regione (Airijoje)

• Hetzner Online Falkenšteine, Vokietijoje

AWS valdo pagrindinę Shoprocket platformą, infrastruktūrą ir duomenų talpinimą. Hetzner Online teikia papildomą dedikuotų serverių erdvę paveikslėliams, skaitmeniniams atsisiuntimams, žurnalams ir sąskaitoms. Pagal šį modelį:

• Shoprocket tvarko programinės įrangos lygio saugumą (pvz., vartotojo prieigą, programinės įrangos pataisas).

• AWS / Hetzner tvarko fizinį saugumą ir pagrindinę debesų aplinką.

Daugiau informacijos apie AWS ir Hetzner saugumą rasite jų atitinkamuose dokumentuose.

---

2. AWS ir Hetzner Online serveriai

AWS

Shoprocket pasirinko AWS po išsamaus peržiūros pagal 28(3)(c) ir 32 straipsnius JK GDPR. AWS yra sertifikuota pagal daugybę standartų (pvz., SOC 1/2/3, ISO 27001/27017/27018, PCI DSS, FedRAMP, HITRUST) ir teikia išsamius atitikties dokumentus. Shoprocket konfigūruoja AWS, kad Asmens Duomenys būtų saugomi tik ES/EEE.

Hetzner Online

Hetzner Online, sertifikuota pagal DIN ISO/IEC 27001, teikia dedikuotą serverių erdvę tam tikroms duomenų atsarginėms kopijoms ir žurnalams. Hetzner Online duomenų centrai Nurnberge ir Falkenšteine yra tikrinami ir sertifikuojami trečiųjų šalių, diegdami Informacijos Saugumo Valdymo Sistemą (ISMS).

---

3. Shoprocket programos dizainas, integralumas ir prieinamumas

• Architektūra: Sukurtas naudojant JavaScript framework, Shoprocket programa pasikliauja Amazon Relational Database Service (Amazon RDS) dėl MySQL.

• Aukštas efektyvumas ir atsparumas: AWS automatiškai tvarko apkrovos balanso, o Shoprocket tikrina kasdienes atsargines kopijas Amazon S3. Atsarginės kopijos saugomos skirtingose AWS regionuose dėl atsparumo. Be to, atsarginės kopijos saugomos Hetzner Online dedikuotuose serveriuose (su RAID-1 diskų sistemomis).

• Saugumas pagal dizainą: Shoprocket reguliariai tikrina, ar nėra žinomų interneto pažeidžiamumų (pvz., OWASP Top Ten) ir įgyvendina XSS apsaugą bei valymą. Trečiosios šalies specialistas kasmet tikrina kodą ir infrastruktūrą pažeidžiamumams, papildomai taikant trečiosios šalies pažeidžiamumo skenavimo paslaugą.

---

4. Šifravimas

• Poilsio metu: Asmens Duomenys AWS/Hetzner yra šifruojami naudojant AES-256 arba didesnį šifravimą.

• Raktų valdymas: AWS Raktų valdymo paslauga (KMS) užtikrina, kad niekas (įskaitant AWS darbuotojus) negalėtų pasiekti paprastųjų raktų; raktai kasmet keičiasi. Hetzner įgyvendina viso disko AES-256 šifravimą ir priverstinį autentifikavimą.

• Keliu: Visi išoriniai duomenų perdavimai naudoja TLS 1.2+. API ir interneto sąsajos reikalauja HTTPS (be neribotų ryšių).

---

5. Serverių vietų apribojimas iki EEE/ES

Shoprocket saugo duomenis tik EEE (AWS Airijoje, Hetzner Vokietijoje), mažindama rizikas, susijusias su ne-EEE duomenų perdavimais (pvz., laikymasis Schrems II sprendimo).

---

6. Prieinamumo zonos

Shoprocket priekinės/back-end sistemos yra redundantiškai paskirstytos per kelias prieinamumo zonas (tiek AWS, tiek Hetzner). Kiekviena zona turi kelis interneto paslaugų teikėjus, energijos šaltinius ir greitus ryšius, užtikrinančius didelį prieinamumą ir optimalią našumą.

---

7. Įsilaužimo aptikimas

Shoprocket naudoja įsilaužimo aptikimo sistemą (IDS), kad stebėtų:

• Žurnalo failus, kad būtų ieškoma neįprastų įrašų,

• Failų vientisumo pokyčius,

• Tinklo srautą (suplakimas, žinomi išnaudojimai, rootkitai),

• Prievadų pokyčius, ir

• AWS paskyros įvykius (pvz., konfigūracijos pokyčius).

Kritiniai anomalijos sukelia automatinį prevencinių priemonių taikymą. IDS taip pat atitinka PCI DSS 3.0 reikalavimus.

---

8. Žurnalo/įrašų takas

Shoprocket registruoja:

• Sistemos įvykius,

• Klaidas,

• Vartotojų veiklą,

• Duomenų bazės prisijungimus/prašymus,

• Kitus su saugumu susijusius įvykius.

Naudodama AWS CloudTrail, Shoprocket registruoja visus įvykius savo debesų aplinkose, užtikrindama skaidrumą ir forensiką.

---

9. Stebėjimas

Shoprocket naudoja kelis stebėjimo įrankius, kad užtikrintų prieinamumą ir veiksmingumą, stebėdama:

• Prieinamumą: Programos prieinamumą, atgalinio ryšio/sistemos būklę;

• Resursus: CPU, tinklo sąsajas, saugyklos naudojimą;

• Našumą: Programos/duomenų bazės atsako laiką;

• Saugumą: IDS būseną, sistemų atnaujinimus, klaidų/įgijimo žurnalus.

Shoprocket personalas taip pat stebi saugumo atnaujinimus, pažeidžiamumo ataskaitas ir susijusius saugumo blogus (pvz., OWASP).

---

10. Saugumo auditai ir įsilaužimo testai

Shoprocket periodiškai atlieka vidinius ir išorinius saugumo testus. Išoriniai teikėjai tikrina pažeidžiamumus, o vidiniai auditai vertina technines ir organizacines priemones dėl efektyvumo.

---

11. Pokyčių valdymas

Shoprocket palaiko versija kontroliuojamas atsargines kopijas kodo pokyčiams, su stendine aplinka, kuri atspindi gamybą. Pokyčiai testuojami prieš diegimą, užtikrinant laikomą turinio ir laiko sekimą.

---

12. Prieigos kontrolė

• Reikalingumo principas: Prieigą prie sistemos gauna tik tie darbuotojai, kurių pareigos reikalauja.

• IAM sistemos: Prieigos kontrolė naudoja AWS/Hetzner tapatybės valdymą.

• Saugumas: Užpakalinės sistemos pasiekiamos tik per saugius, autentifikuotus ryšius. Labai ribotas personnelas turi tiesioginę prieigą prie duomenų diagnostikos tikslais; tokia prieiga registruojama ir stebima.

Priedas B

Kryžminiai perdavimai

1 DALI - eks-EEA perdavimai

1. Priedas I.A Standartinėms sutartinėms sąlygoms (SCCs)

   • Duomenų eksportuotojas: Jūs (pagal Susitarimą).

     • Kontaktiniai duomenys: Kaip Susitarime.

     • Pareigos: Duomenų kontrolierius.

     • Pirmas modulis: Duomenų importuotojas yra Duomenų kontrolierius (dėl Kliento paskyros duomenų ir Kliento naudojimosi duomenų).

     • Antras modulis: Duomenų importuotojas yra Duomenų tvarkytojas (dėl kitų Asmens Duomenų).

     • Parašas/Data: Pasirašydamas Susitarimą & DPA, Duomenų eksportuotojas laikomas pasirašiusiu SCCs nuo Įsigaliojimo Datos.

   • Duomenų importuotojas: Shoprocket.

     • Kontaktiniai duomenys: Kaip Susitarime.

     • Parašas/Data: Pasirašydamas Susitarimą & DPA, Duomenų importuotojas laikomas pasirašiusiu SCCs nuo Įsigaliojimo Datos.

2. Priedas I.B SCCs

   • Duomenų subjektai: Apibūdinti Papildinio 4.6 punkte.

   • Asmens Duomenų kategorijos: Apibūdintos Papildinio 4.5 punkte.

   • Jokių Specialių kategorijų duomenų, skirtų perdavimui,

   • Dažnumas: Nuolatinis Susitarimo trukmės laikotarpis.

   • Pobūdis: Žr. Papildinio 4.4 punktą.

   • Taikslas: Žr. Papildinio 4.3 punktą.

   • Išlaikymas: Susitarimo trukmė, nebent kitaip nurodyta.

   • Sub-apdorotojų perdavimai: Tema, pobūdis ir trukmė pagal Papildinio 9 punktą.

3. Priedas I.C SCCs

   • Kompetentinga priežiūros institucija: Kaip Papildinio 10(e) punkte.

   • Shoprocket Saugumo Standartai (Priedas A) atitinka Priedo II SCC reikalavimus.

4. Konfliktas

   • Jei tarp SCCs ir DPA arba Susitarimo kyla bet koks konfliktas, SCCs dominuoja.

---

2 DALI - eks-JK perdavimai

1. IDTA papildinys taikomas eks-JK perdavimams, nuo 2022 m. kovo 21 d..

2. Terminai, kurie nėra apibrėžti Susitarime arba DPA, seka reikšmę 2 dalyje Priedo 2 (Privalomos sąlygos).

1 dalis: Lentelės

Lentelė 1 IDTA papildinyje

1. Lentelė 1

   • Duomenų eksportuotojas: Jūs (pagal Susitarimą).

     • Kontaktiniai duomenys: Kaip Susitarime.

     • Parašas/Data: Pasirašydamas Susitarimą & Papildinį, Eksportuotojas laikomas pasirašiusiu IDTA Papildinį nuo Įsigaliojimo Datos.

   • Duomenų importuotojas: Shoprocket.

     • Kontaktiniai duomenys: Kaip Susitarime.

     • Parašas/Data: Pasirašydamas Susitarimą & DPA, Importuotojas laikomas pasirašiusiu IDTA Papildinį nuo Įsigaliojimo Datos.

Lentelė 2 IDTA papildinyje

1. Lentelė 2

   • Patvirtintos ES SCCs: Klausimai/nuostatos iš patvirtintų ES SCCs, galiojančių šiam Papildiniui.

   • Naudojami moduliai/nuostatos:

     • Modulis 1 ir Modulis 2, 7 punktas, 11 punktas (pasirinktinai) netaikomi, 9a punktas yra Bendra autorizacija su 30 dienų pranešimo laikotarpiu (Papildinio 9.2 punktas).

     • Nėra asmeninių duomenų, importo ir eksportuotojo duomenų derinimo.

Lentelė 3 IDTA papildinyje

1. Priedas I.A

   • Duomenų eksportuotojas: Jūs (kontrolierius).

   • Duomenų importuotojas: Shoprocket (kontrolierius dėl Kliento paskyros/naudojimo duomenų; tvarkytojas dėl kitų Asmens Duomenų).

   • Parašas/Data: Laikoma pasirašius, kai pasirašomas Susitarimas & DPA.

2. Priedas I.B

   • Duomenų subjektai, duomenų kategorijos, ypatingų kategorijų duomenų nebuvimas, nuolatiniai perdavimai, apdorojimo pobūdis/tikslas ir išlaikymas atitinka 4.4, 4.3, 4.5, 4.6 punktus Papildinyje.

   • Sub-apdorotojų informacija pagal Papildinio 9 punktą.

   • Priedas III (Sub-apdorotojų sąrašas) netaikomas, nes Shoprocket naudoja bendrą leidimą.

Lentelė 4 IDTA papildinyje

1. Importer gali baigti šį IDTA papildinį pagal 26 punktą šio IDTA papildinio.

2 dalis: Privalomos sąlygos

1. Kiekviena Šalis yra įpareigota šių IDTA papildinio sąlygų mainais už kitos Šalies sutikimą, suteikiant duomenų subjektams galimybę įgyvendinti teises, kaip nurodyta.

2. Įeinant į šį IDTA papildinį lygu patvirtintų ES SCCs pasirašymui (įskaitant bet kokį reikalaujamą parašą pagal Priedą 1A/7 punktą).

Interpretacija

1. Terminai iš patvirtintų ES SCCs čia turi tą pačią reikšmę; papildomi susiję terminai (pvz., „Papildinio ES SCCs“, „Patvirtintas pap・ildinys“, „JK Duomenų apsaugos įstatymai“) yra apibrėžti šiame IDTA papildinyje.

2. Šis IDTA papildinys turi būti aiškinamas nuosekliai su JK Duomenų apsaugos įstatymais ir turi atitikti „Tinkamas apsaugas“.

3. Bet kokia patvirtintų ES SCCs redakcija, kurios neleidžiama pagal jas ar Patvirtintą Papildinį, yra negaliojanti. Prieštaraujantys nuostatai grįžta prie nesikeičiančių SCC terminų.

4. Jei kyla konfliktas su JK Duomenų apsaugos įstatymais, taikomi pastarieji.

5. Bet koks neaiškumas sprendžiamas geriausiai derinant su JK Duomenų apsaugos įstatymais.

6. Nuorodos į teisės aktus apima bet kokias iš naujo peržiūrėtas ar suvienytas versijas.

Hierarchija

1. 5 punktas patvirtintų ES SCCs nurodo, kad jie dominuoja prieš kitas sutartis, tačiau apribotų perdavimų atveju galioja hierarchija 17 skyriuje žemiau.

2. Jei nesuderinamas arba prieštarauja patvirtintoms ES SCCs, patvirtintas papildinys panaikina, išskyrus atvejus, kai SCCs teikia didesnę apsaugą duomenų subjektams, tokiais atvejais SCC terminai dominuoja.

3. Niekas čia nepaveikia jokių SCCs, kuriuos šalys naudoja ES GDPR atitikties užtikrinimui.

Įtraukimas ir Pakitimai į ES SCCs

1. IDTA papildinys įtraukia patvirtintas ES SCCs su būtinomis modifikacijomis, kad jos veiktų JK susijusiems perdavimams, negalioja 5 punkto hierarchija ir užtikrina, kad joms būtų taikomas Anglijos įstatymas/teismai (išskyrus atvejus, kai kitaip pasirenkami Škotijai ar Šiaurės Airijai).

2. Jei nebuvo sutarta dėl jokio konkretaus alternatyvos, taikomas 22 skyrius.

3. Nėra jokių tolesnių papildymų patvirtintoms ES SCCs, leidžiamų tik to, kas būtina 19 skyriuje.

4. Papildymų Applindžio ES SCCs apima paaiškinimus dėl nuorodų į JK Duomenų apsaugos įstatymus, pakeičiant nuorodas į Reglamento (ES) 2016/679 nuorodą į „JK Duomenų apsaugos įstatymus“, pašalinant nuorodas į Reglamento (ES) 2018/1725, koreguojant 17/18 punktą į Anglijos įstatymus/teismus ir kt. Pėdsakai nesudaro IDTA dalies, išskyrus 8, 9, 10, 11 pėdsakus.

Papildymai šiam IDTA

1. Šalys gali pakeisti 17 ar 18 punktus, kad jie atitiktų Škotijos ar Šiaurės Airijos teismus.

2. Šalys gali taip pat pritaikyti lentelių formatą abipusiu raštišku sutarimu, užtikrinant, kad išliktų toks pats apsaugos lygis.

3. ICO gali išleisti atnaujintą patvirtintą papildinį laikui bėgant, kuris automatiškai pakeičia šį IDTA papildinį nuo jo įsigaliojimo datos, galbūt reikalaujantis šalių peržiūros.

4. Jei ICO pakeitimai žymiai ir dispropocionaliai padidina šalies kaštus ar riziką, o jokios to kaštų/risiko sumažinimo galimybės nėra, ta šalis gali nutraukti šį IDTA, raštu pranešusi kitai šaliai prieš įsigaliojant pakeistam papildiniui.

5. Nereikia trečiosios šalies sutikimo pokyčiams, tačiau pakeitimai turi atitikti šio IDTA papildinio sąlygas.