[Shopify开店教程]GDPR常见问题解答

SHOPIFY帮助指南
GDPR 常见问题解答

了解与GDPR相关的常见问题解答。这些解释仅供参考,不构成专业法律建议。有关您所在国家和地区的具体信息,请参阅独立的法律建议。

为什么Shopify在结账时不包含“同意条款条件和隐私政策”复选框?

Shopify非常仔细地考虑了GDPR后设计了我们的平台。 不仅为我们的商家提供一流的商务体验,还可以遵守GDPR等隐私和数据保护法律。

只有获得客户明确,肯定的同意后才处理他们的数据。正确实施才可以提供透明度并获得客户的信任。但是如果没有得到适当的实施,复选框可能会让客户感到困惑并产生不匹配的期望,甚至可能给GDPR下的商家带来法律问题。由于存在这些问题,我们决定不将“同意条款和条件以及隐私政策”复选框添加到我们的付款流程中。

特别是,GDPR明确表示商家可以出于多种原因(包括客户是否已提供其知情同意)来收集和处理客户个人数据。但是,GDPR认识到在某些情况下,个人数据可能需要单独处理并且不需要得到客户的同意,例如:

商家可能会依赖于这些法律依据,以及他们处理客户数据的不同方式。例如,商家可能需要使用客户的送货地址来完成订单并满足商家与客户的合同。类似地,商家可以合法地要求处理个人数据以响应传票或税务审计。商家也可以处理任何数量的其他合法利益的个人数据。

与此同时,欧洲监管机构已经明确表示,“同意”是这些不同理由中最重要的。特别是,一旦商家同意为特定目的处理数据,他们不再能够依赖上述法律依据(例如合同或合法利益)。此外,监管机构警告称,“同意”不能成为接收商品或服务的条件。

为什么这一切都很重要呢?让我们考虑一下,如果商家在结账时添加了“同意条款和条件和隐私政策”复选框会发生什么。客户不选择同意或者客户同意但随后撤回其同意(这是向GDPR下的个人提供的权利),那么商家无法再依赖上面列出的其他理由。因此,商家虽然符合了GDPR的规定,但是这时候商家不能合法地处理客户的个人数据来处理或履行订单。同时,如果商家修改结账强制客户同意复选框来完成交易,但是“同意”是接收商品或服务的先决条件,因此该交易可能在GDPR条款里是无效的。

这种复杂性促使许多监管机构警告客户不要要求或依赖“同意”。例如,英国信息专员办公室建议

“如果你可以为人们提供真正的选择和控制你如何使用他们的数据,并希望建立他们的信任和参与,那么同意是合适的。但如果你不能提供真正的选择,那么同意是不合适的。如果你在获得同意前擅自处理数据,那么要求同意的数据具有误导性,并且本身就是不公平的。

如果您将“同意”作为服务的先决条件,则不太可能是最合适的合法依据。

对个人有权力的公共当局,雇主和其他组织应该避免依赖“同意”,除非他们相信他们可以证明这是自由的。

我们希望尽最大努力支持我们的商家并帮助他们避免有问题的法律后果。 但与此同时,我们了解商家最终需要感到自己能够获得客户的信任。 因此,我们确保商家可以在“购物车”页面(而不是“结帐”页面)中添加“接受条款和条件”复选框。 有关如何执行此操作的详细信息,请参阅我们的帮助文档。

注意

此常见问题解答讨论了一个复选框如何获得完成结帐的同意。 您可能还希望出于其他原因收集同意,例如营销或收集特别敏感的数据。

为什么我不能使用Shopify签署数据处理协议(DPA)?

GDPR要求数据处理器受到书面合同(包括电子格式的合同)的约束,以便处理个人数据。这些合同应规定正在处理的个人数据,以及处理器和控制器的义务和权利。这些合同通常称为数据处理协议(DPA)。实质上,DPA是Shopify将仅以商家指定的方式处理提供给它的个人数据的协议,因为商家是数据的控制者。

为了满足这一要求,Shopify为我们的服务条款添加了数据处理附录。 (它被称为’附录’,而不是’协议’,因为它被添加到服务条款中,并且不是自己的协议。)

作为商家,当您注册Shopify的服务时,您同意服务条款和扩展的数据处理附录,并且您同意对服务条款的任何更新(例如,我们更新了添加数据的更新)处理附录)继续使用服务。

重要的是要注意,服务条款受安大略省法律管辖,而不是您居住的司法管辖区的法律。因此,虽然其他地区法律(如GDPR)可能肯定会涵盖您的业务以及您如何处理数据,并且可能要求您与服务提供商(如Shopify)签订具有约束力的合同,但其他地区法律并不一定要求合同是否合同是否具有约束力。如果您与我们签订合同,那么DPA是否具有约束力的合同的问题是通过参考安大略省法律来确定的。

因此,即使您的司法管辖区要求签署合同(如DPA),也可能与您的DPA无关。根据安大略省法律,我们认为,一旦我们的条款更新,继续使用我们的服务,Shopify和您都受新修改的服务条款的约束。当您继续使用Shopify时,我们相信您已与我们签订了具有约束力的合同,其中包括我们的数据处理附录,这是GDPR要求的。

注意

如果您是已签署协商DPA的Plus商家,则该DPA将取代我们的在线DPA。

如果我对GDPR或我的当地隐私法有更多疑问,该怎么办?

联系专门从事隐私或数据保护法的当地律师。

有关Shopify的实践的更多信息,我可以联系谁?

有关Shopify实践的更多信息,请联系privacy@shopify.com。

如果我使用Shopify来托管我的商店,我的公司是否符合GDPR标准?

不符合。虽然Shopify的运营将遵守GDPR,而Shopify将提供帮助其商家遵守的工具,但每个商家都有责任确保其业务符合其运营所在司法辖区的法律。

仅使用Shopify的平台并不能保证公司符合GDPR。

Shopify会签署标准合同条款吗?

不会。正如我们白皮书的数据传输部分所述,Shopify已经构建了数据流,以便商家将数据传输到Shopify在欧洲的爱尔兰子公司。因此,标准合同条款不合适,因为它们被批准用于欧洲方和非欧方之间的转移。

此外,关于直接转让给Shopify Inc.,Shopify将依赖欧盟委员会关于加拿大隐私法的充分性决定,该法律延伸至Shopify Inc.作为加拿大公司。

这篇文章有 2 个评论

  1. 那对于我们中小卖家来说,我们需要做什么来满足GDPR条款吗

    1. 暂时不用去做什么操作,shopify都解决了。

发表评论

关闭菜单