处理GDPR数据请求

GDPR扩展了个人访问和控制个人数据的权利。该页面包括:

• 这些权利的分类。
• 如何使用Shopify的平台来处理每个权利的请求。
• 如果你收到了每个权利的请求，你可能需要独立于Shopify做什么。

理解主题访问和可移植性请求

GDPR赋予个人权利，在某些情况下，要求公司提供他们正在处理的个人数据的副本。

因此，GDPR要求您能够以以下格式向客户提供其个人数据的副本:

• 常见的
• 简单易读的
• 可移植的

这允许客户在不同的服务提供商中使用他们的数据。Shopify允许您以CSV或Excel格式从您的管理员导出大多数数据(例如，订单、付款、产品和客户信息)。

一般来说，你应该在30天内回复请求。如果请求特别难以满足，则允许延期。

处理主题访问和可移植性请求

如果您收到一个访问或可移植性请求，那么您首先需要验证请求者的身份(这样您就不会无意中向其他人提供您的客户的私人个人信息)。

步骤:

1. 从你的Shopify管理，点击客户．

2. 单击要为其请求日志的客户的名称。

3. 点击请求客户数据．

顾客的信息通过电子邮件发送给店主。刷新页面后，还可以在客户的个人资料页面上使用它。然后，商店所有者可以将信息提供给提出请求的客户。

GDPR第15条还要求您提供关于您如何使用所提供数据的附加上下文，包括:

• 处理客户数据的目的。
• 接收该数据的第三方。
• 任何相关的留存期。
• 信息是从哪里收集来的(如果不是直接从客户那里)。
• 这些数据是否被用作任何自动化决策的一部分。

此外，你需要能够确保:

• 客户要求更正或删除信息的权利。
• 客户有权反对其信息的处理方式。
• 客户有权向监管机构投诉。

思考以下问题:

• 如果客户需要，您是否能够提供关于客户数据的所有所需上下文?试着通过维护你(或你使用的服务提供商，如Shopify)储存的关于客户的所有个人数据的地图来提前计划一个请求。
• 您是否考虑过您可能使用的其他可能访问您客户个人数据的服务提供商?这些可能包括第三方应用程序、渠道和支付网关。
• 您是否有可能存储客户个人数据的所有第三方服务的联系方式?

处理消除请求

GDPR赋予个人权利，在某些情况下，要求删除他们的个人数据，或要求公司限制处理他们的个人数据。

“个人资料”指可用于识别个人身分的任何资料，包括:

• 的名字
• 地址
• 电子邮件
• IP地址
• 信用卡号码。

个人资料不包括纯粹与个人无关的财务资料，例如:

• 一个特定的产品销售了多少次
• 你的商店已经创造了多少收益

如果您收到删除(有时称为编校或删除)的请求，那么您应该首先验证客户的身份。您还应该确保没有必要保留客户的数据(例如，如果客户也是雇员)。

步骤:

1. 从你的Shopify管理，点击客户．

2. 单击要请求删除的客户的名称。

3. 点击删除个人资料．

在您通过管理员请求删除后，Shopify将把您的删除请求发送到您发出请求时已安装的所有可能访问该客户数据的应用程序。

一旦你在你的管理范围内请求删除，10天缓冲期将开始，在此期间，你可以取消请求，以防你不小心提出了请求。若要取消挂起的删除请求，请联系Shopify支持，并包括您的商店信息和相关客户ID。

当你要求删除时，Shopify只会编辑个人信息(如姓名和地址)。您的匿名订单信息将保持完整，以备您需要用于会计目的。一旦相关个人资料被删除，我们将向您发送确认邮件。

默认情况下，如果客户在过去6个月内(180天)下过订单，Shopify将不会删除个人数据，以防发生退款。如果在这段时间内提交了删除请求，那么它将被搁置，一旦适当的时间过去，Shopify将处理它。您不需要提交另一个请求。

如果您想覆盖此时间延迟(不管退款风险)，请联系Shopify支持。

思考以下问题:

• 你是否在自己的个人电脑或硬拷贝中存储任何客户数据?
• 是否有其他第三方，如渠道或支付网关，您可能需要联系他们以要求删除客户的个人信息?
• 是否有任何当地的要求，例如税法，可能要求您保留客户的个人信息，即使他们要求删除?考虑咨询当地熟悉数据保留要求的律师，以帮助回答这个问题。