[Shopify开店教程]GDPR如何影响您?

SHOPIFY帮助指南
GDPR如何影响

通用数据保护法规(GDPR)影响任何位于欧洲或为欧洲客户提供服务的Shopify商家。虽然Shopify正努力确保其符合并允许其商家在2018年5月25日之前遵守GDPR,但重要的是GDPR还要求您独立于Shopify平台也采取行动。

Shopify希望帮助商家尽可能地遵守法律。本文包含您应该考虑的问题,帮助您评估您的义务,以确保您以符合法律的方式设置您的商店。

也就是说,这不是法律建议。 GDPR是一个复杂的规则,它适用于不同的商家。您应咨询律师了解您特别需要做的事情。

有关处理数据请求的信息,请参阅处理GDPR数据请求


相关主题
  • 为什么Shopify不能为商家处理GDPR合规?
  • 收集个人数据
  • 隐私声明
  • 任命数据保护官
  • 数据处理协议
  • 客户同意
  • 家长同意
  • 自动决策
  • 数据泄露通知
  • 第三方应用
  • 国际数据传输

为什么Shopify不能为商家处理GDPR合规?

GDPR对控制器和数据处理器施加了不同的义务。 作为数据处理者,Shopify履行其在GDPR下的法律义务。 但是,商人(作为控制人)也有自己必须考虑的独立义务。

Shopify为商家提供了一个可以配置符合GDPR标准的平台,但您必须自己考虑如何运营您的业务。

为进一步提供指导,欧盟内的以下监管机构就GDPR提供了具体指导:


收集个人数据

GDPR保护欧盟内部个人在处理个人数据方面的基本权利。

个人数据的示例包括:

  • 名称
  • 地址
  • 电子邮件地址
  • 社交媒体账户
  • 数字标识符,例如IP地址或cookie ID

另外,您需要考虑以下问题:

  • 您是从欧洲客户那里收集个人数据吗?大多数网站都可供欧洲居民使用,并且属于GDPR。
  • 如果您的商店使用第三方应用或主题,那么他们是否按照GDPR的规定收集和处理数据?为了简化此过程,Shopify要求所有应用程序发布详细说明其数据处理实践的隐私政策,您可以评估您是否对该应用程序的数据实践感到满意。 Shopify开发的应用程序属于数据处理附录,Shopify负责其合规性。
  • 您使用的渠道或支付网关是否按照GDPR的规定收集和处理数据?您应该跟进他们进行确认。
  • 您是否列出了从客户处收集的所有类型的个人数据,以及您使用此数据的所有方式? GDPR第30条要求您维护数据实践的最新地图。

隐私声明

GDPR(特别是第12至14条)要求您向正在处理其数据的个人提供特定信息,通常采用隐私声明或隐私政策的形式。

您可以使用Shopify的隐私政策生成器来帮助您入门。您可以在Checkout或在线下的设置中找到它。

另外,您需要考虑以下问题:

  • 您的网站上是否有隐私政策,是否包含您需要根据法规提供的所有信息?是否包括客户如何与您联系有关隐私问题以及客户如何行使其权利? 例如其数据的删除(删除)或纠正(修改或更正)的权利以及访问权限的权利?
  • 您的隐私政策是否包括Shopify如何使用您客户的个人数据进行自动风险和欺诈评分? GDPR要求您披露您(或您的服务提供商)何时将其信息用于自动决策。 Shopify使用您客户的个人信息来阻止某些通过自动决策制作看似欺诈的交易。 Shopify的隐私政策生成器包含此信息。有关此系统的更多信息,请参阅自动决策。

任命数据保护官

数据保护官(DPO)负责监督您的组织如何收集和处理个人数据。如果您的企业的核心活动包括大规模在线跟踪,则GDPR要求您在隐私政策中指定DPO并为DPO提供联系信息。

GDPR包括DPO需要执行的特定任务,例如在您的组织更改其收集和处理个人数据的方式时进行数据保护影响评估。 DPO可以是具有GDPR和数据保护要求专业知识的内部人员,但您也可以考虑与顾问或公司合作,作为外部DPO。

另外,您需要考虑以下问题:

  • 您的店面跟踪技术会影响多少人?这些可能包括行为广告应用程序,甚至重定向应用程序。受影响的人数是否“大规模”是一项法律决定,您应该根据您的具体情况咨询律师。
  • 您必须任命一个DPO吗?即使您没有法律要求指定DPO,但是如果您在欧洲的存在足够大,您可能希望这样做来确保充分保护客户的数据。

数据处理协议

作为GDPR下的数据控制者,第28条要求当您使用数据处理器(如Shopify)处理客户数据时,您必须对如何使用和处理数据施加严格的合同要求。这通常通过数据处理附录或DPA完成。

Shopify已自动将数据处理协议(https://www.shopify.com/legal/dpa)纳入其服务条款,旨在满足第28条的要求。

对于Shopify Plus商家,他们的谈判合同将决定他们与Shopify的关系。另外商家可以签署数据处理附录以满足他们的需求。未签署数据处理附录的Shopify Plus商家将受Shopify的在线数据处理附录的约束。

另外,您需要考虑以下问题:

  • 您在Shopify之外使用的其他数据处理器是否有合同承诺保护客户的数据?许多第三方应用,渠道,支付网关或其他数据处理器也会自动将数据处理协议纳入其条款。你有没有咨询过这些第三方?
  • 您是具有协商合同的Plus商家吗?如果您想签署数据处理附录,请与您的商家经理联系。他们可以为您提供Shopify的模板DPA来签名。

客户同意

根据GDPR规定,您可能需要获得处理客户个人数据的同意或更改您当前获得该同意的方式。

例如,如果您向客户发送营销消息,或者您正在使用在线广告或重新定位应用,则可能需要获得客户的同意。

如果您需要获得同意,GDPR表示必须遵循以下几点:

  • 自由给出:它必须完全是自愿的,不应与其他商品或服务捆绑在一起。
  • 具体:它必须与明确解释的用例绑定。
  • 知情:只有在数据主体提供了有关将要收集和使用的个人数据的足够信息时才能给出。
  • 明确:它必须有商家的肯定行为证明(即,不仅仅是通过继续使用服务)。

这意味着需要向客户提供有关特定用例的详细信息,并且消费者需要采取一些肯定行动以表示同意。

最后,如果您向客户提供同意的机会,GDPR还要求您的客户有办法撤销同意。这通常可以通过取消订阅功能来实现。如果您对何时以及如何获得收集个人数据的同意,或者您的客户应该被允许撤销其同意的程度有疑问,那么您应该与熟悉数据保护法律的律师交谈。

但是,同意只是GDPR中许多合法处理个人数据的法律依据之一。您还可以处理个人数据以满足合同要求,或者是法律要求您处理数据。

一些欧洲监管机构建议,如果您首先征求同意并且您的客户拒绝或同意但随后撤回其同意,那么您可能无法再依赖任何其他法律依据来处理其个人数据。因此,您只应依赖于您不打算(或需要)依赖的其他法律依据来处理个人数据的同意。

注意

您可以在英国信息专员网站上阅读有关支持数据处理的不同法律基础的更多信息。

另外,您需要考虑以下问题:

  • 对于您使用或处理客户数据的不同方式,这样做的法律依据是什么?您是否根据他们的同意处理?您是否正在处理履行对客户的合同义务?您是否正在处理促进您的合法商业利益?您应将法律依据记录为数据实践地图的一部分,如收集个人数据中所述。
  • 如果您依赖其他服务,您是否同意将您提供的商品或服务捆绑在一起?例如,购买这些商品的声明,您同意我们对您的个人信息的使用可能不在GDPR的允许下。
  • 您是否提供了有关如何使用相关个人数据以确保获得客户同意的详细信息?
  • 您是否已将客户的同意记录并存储在某处?
  • 您是否需要获得同意后向您的客户发送营销信息?即使您不需要GDPR的同意,当地法律可能同意也可能不同意向您的客户发送营销信息。与律师讨论可能适用于您商店的具体要求。
  • 如果您认为您需要获得同意来发送营销通讯,那么默认情况下您的商店的营销许可复选框是否未选中?考虑设置店面默认情况下不会预先检查向客户提供的营销许可复选框,请确保您的客户必须采取肯定行动才能提供同意。

家长同意

GDPR包括处理16岁以下用户个人数据的特定父母同意要求(尽管某些国家的年龄可能较低)。

另外,您需要考虑以下问题:

  • 您是否需要更改处理客户数据的方式,停止处理16岁以下用户的数据,或获得家长同意?您可以通过禁止16岁以下的用户使用Shopify App Store中的年龄门控应用访问您的网站,或者要求访问者确认他们超过了成年年龄。

自动决策

如果您使用其个人信息进行任何自动决策,GDPR要求您通知商家。

自动决策意味着使用自动算法来决定个人是否有资格获得某些服务或优惠,是否应按特定价格收费,或者个人是否对某些类型的商品或服务感兴趣。

如果您使用的任何流程包括完全自动化的决策(即没有任何人为干预),这将对客户产生重大法律效力,那么您需要得到客户的同意。

工艺要求
自动决策通知
具有重大法律效力的全自动决策同意

一般而言,Shopify不会与客户的个人数据进行全自动决策。

唯一的例外是Shopify的风险和欺诈筛选,Shopify可能会在一定数量的不成功付款尝试后自动阻止支付卡号或IP地址。 Shopify不相信这对客户有重大的法律效力,因为自动阻止只能持续很短的时间。

另外,您需要考虑以下问题:

  • 您是否在隐私政策中包含Shopify的风险和欺诈筛选来使用客户的个人信息进行自动决策?您可以在隐私政策的第13部分中阅读有关Shopify自动决策实践的更多信息。您还应根据您的具体情况向律师确认此服务对您的客户没有重大法律效力。
  • 您是否正在使用可能参与自动决策的任何第三方应用?您应特别注意审核您在店面中使用的任何第三方风险或欺诈服务,或任何可能构建个人资料或定位客户细分的营销或广告应用。
  • 如果您使用参与自动决策的第三方应用,那么您是否需要通知您的客户确定是否同意使用这些应用?

数据泄露通知

如果GDPR适用于您并且您遇到数据泄露,则可能需要通知受影响的用户或特定的监管机构。

特别是,GDPR要求通知数据泄露可能导致对个人权利和自由产生不利影响的高风险用户。

信息泄露有可能导致以下情况:

  • 付款明细泄露。
  • 个人信息泄露。
  • 个人的账户或服务被陌生人访问。

如果发现以上情况,您需要在尽快发现违规行为后72小时内上报。

另外,您需要考虑以下问题:

  • 您是否曾与律师联系以确定您收集的信息和流程可能要求您在遇到数据泄露时提供通知?
  • 您是否有针对您的企业的数据泄露响应计划,以便您为此类事件做好准备?
  • 付款明细泄露。
  • 个人信息泄露。
  • 个人的账户或服务被陌生人访问。

GDPR对使用第三方供应商和服务提供商处理其用户个人数据的任何公司提出了要求。

Shopify使用许多子处理器来处理客户的数据。 有关Shopify的子处理器的更多信息,请参阅Shopify的子处理器。

另外,您需要考虑以下问题:

您是否已查看过您使用的供应商和服务提供商(包括Shopify)的隐私惯例,确保您对如何保护客户的个人数据感到满意?


第三方应用

GDPR要求您采取与您和您的第三方服务提供商收集和使用个人数据相关的一些合法步骤。这包括Shopify,以及您可能与Shopify商店相关的任何第三方应用。

Shopify已采取措施保证您更轻松地了解您安装的应用可访问的个人数据。

要查看您的应用有权访问的个人数据,请完成以下步骤:

  1. 在Shopify管理员中,单击“应用”。
  2. 单击要查看其权限的应用程序的查看详细信息。

您还可以在应用商店的安装屏幕上安装应用之前查看应用权限。

此外,每个应用程序都有一个应用程序商店的部分链接到隐私策略,该隐私策略更准确地解释了数据应用程序开发人员正在收集的内容以及他们如何使用它。

虽然Shopify希望让您尽可能轻松地评估您选择安装的应用程序的数据实践,但您需要确保以符合GDPR的方式使用第三方应用程序。

另外,您需要考虑以下问题:

  • 根据您的位置,客户的位置,应用开发者的位置以及每个应用的实施情况,您是否以符合GDPR的方式使用第三方应用? 如果您对特定应用程序的数据实践需要额外考虑或您对您的工作是否符合GDPR有疑问,请咨询律师。

国际数据传输

除非信息得到充分保护,否则GDPR禁止将欧洲人的个人数据输出欧洲以外的国家/地区。

Shopify根据GDPR的要求保护个人数据,因此它在美国和加拿大被转移和处理。

Shopify已设置其数据流以满足商家的这些要求。 如Shopify隐私政策第12节所述,所有欧洲个人数据最初都是从商家处收到的,并由Shopify的爱尔兰子公司Shopify International Ltd.在爱尔兰处理。然后Shopify按照GDPR转发该数据:

有关Shopify根据GDPR标准和信息安全最佳实践接收和处理来自欧洲经济区(EEA)的个人数据的更多信息,请参阅Shopify的GDPR白皮书。

另外,您需要考虑以下问题:

您是否确保您传输数据的其他方以符合GDPR的方式跨国界传输数据? 您可以通过查看第三方应用,渠道,支付网关或其他供应商的隐私政策,并了解他们是否有解释如何保护欧洲数据。

下载Shopify的GDPR白皮书

下载Shopify的GDPR白皮书文档了解更多有关Shopify如何符合GDPR的信息,并确保您能够遵守Shopify的使用。

发表评论

关闭菜单