GDPR对你有什么影响?

此页印于2022年10月12日。有关当前版本,请访问https://help.shopify.com/en/manual/your-account/privacy/GDPR/GDPR-merchants。

通用数据保护条例(GDPR)影响到任何位于欧洲或为欧洲客户提供服务的Shopify商家。虽然Shopify正在努力确保其遵守,并允许其商家遵守2018年5月25日的GDPR,但重要的是要注意,GDPR还要求您独立于Shopify平台采取行动。

Shopify希望帮助商家尽可能地处于遵守法律的最佳位置。这篇文章包括你应该考虑的问题,以帮助你评估你的义务,以确保你已经建立了一个符合法律的方式你的商店。

也就是说,这不是法律建议。GDPR是一项复杂的法规,它适用于不同的商家。你应该咨询一下律师,弄清楚你具体需要做什么。

有关处理数据请求的信息,请参见处理GDPR数据请求

为什么Shopify不能为商家处理GDPR合规问题?

GDPR对数据控制者和处理者规定了不同的义务。作为数据处理者,Shopify在GDPR下履行自己的法律义务。然而,商家(作为控制者)也有他们自己必须考虑的独立义务。

Shopify为商家提供了一个可以配置为符合GDPR的平台,但你必须考虑自己想要如何经营你的业务。

作为进一步的指导,以下欧盟监管机构已就GDPR提供了具体指导:

收集个人资料

GDPR保护欧盟内个人在处理个人数据方面的基本权利。

个人资料的例子包括:

  • 名字
  • 地址
  • 电子邮件地址
  • 社交媒体账号
  • 数字标识符,如IP地址或cookie ID。

思考以下问题:

  • 你是否在收集欧洲客户的个人数据?大多数网站对欧洲居民开放,并将受到GDPR的约束。
  • 如果您的商店使用第三方应用程序或主题,那么他们是否根据GDPR收集和处理数据?为了简化这一过程,Shopify要求所有应用程序发布隐私政策,详细说明其数据处理实践,以便您可以评估您是否对该应用程序的数据实践感到满意。Shopify开发的应用程序属于数据处理附录,Shopify负责其合规性。
  • 您使用的渠道或支付网关是否按照GDPR收集和处理数据?你应该继续跟他们确认一下。
  • 你是否有一份清单,列出你从客户那里收集的所有类型的个人数据,以及你使用这些数据的所有方式?GDPR第30条要求您维护您的数据实践的当前地图。

隐私通知

GDPR(特别是第12至14条)要求您以隐私通知或隐私政策的形式向您正在处理其数据的个人提供特定信息。

你可以使用Shopify的隐私政策生成器来开始。OB欧宝娱乐APP您可以在Checkout或下的设置中找到它在线

想想下面这个问题:

  • 你是否在你的网站上有隐私政策,包括你在规定下需要提供的所有信息?至少,它是否包括客户如何就隐私问题与你们联系,以及客户如何行使他们的权利,例如擦除(删除)或纠正(修改或更正)他们的数据的权利和访问它的权利?
  • 您的隐私政策是否包括Shopify如何使用您客户的个人数据进行自动风险和欺诈评分?GDPR要求您披露您(或您的服务提供商)何时将其信息用于自动决策。Shopify使用客户的个人信息,通过自动决策来阻止某些看似欺诈的交易。Shopify的隐私政策生成器包含此信息。有关此系统的更多信息,请参见自动化决策

委任一名保障资料主任

数据保护官(DPO)负责监督您的组织如何收集和处理个人数据。如果您的业务核心活动包括大规模在线跟踪,则GDPR要求您指定DPO并在您的隐私政策中提供DPO的联系信息。

GDPR包括DPO需要完成的特定任务,例如,当您的组织改变收集和处理个人数据的方式时,进行数据保护影响评估。DPO可以是在GDPR和数据保护要求方面具有专业知识的内部人员,但您也可以考虑与顾问或公司合作担任外部DPO。

思考以下问题:

  • 有多少人受到了店面追踪技术的影响?这些应用包括行为广告应用,甚至是重定向应用。受影响的人数是否“大规模”是一个法律决定,你应该根据你的情况咨询律师。
  • 你是否应该自愿任命一名DPO?即使法律上没有要求您指定DPO,如果您在欧洲的业务足够大,您可能希望自愿这样做,以确保您充分保护客户的数据。

数据处理协议

作为GDPR下的数据控制者,第28条要求,当您聘请数据处理者(如Shopify)处理您的客户数据时,您必须对他们如何使用和处理该数据施加严格的合同要求。这通常是通过数据处理附录(DPA)完成的。

Shopify已自动将数据处理协议(//www.theturtleeffect.com/legal/dpa)纳入其服务条款,该协议旨在满足第28条的要求。

对于Shopify Plus商家来说,他们的谈判合同将决定他们与Shopify的关系。此外,商家可以签署数据处理附录来满足他们的需求。未签署数据处理附录的Shopify Plus商家将受Shopify在线数据处理附录的约束。

思考以下问题:

  • 在Shopify之外与您合作的其他数据处理商是否承诺保护您的客户数据?许多第三方应用程序、渠道、支付网关或其他数据处理程序也将自动将数据处理协议纳入其条款中。你和这些第三方都咨询过了吗?

  • 你是Shopify Plus的商家吗?如果您想签署数据处理附录,请联系Shopify Plus支持。他们可以提供Shopify的模板DPA给你签字。

根据GDPR,您可能需要获得同意才能处理客户的个人数据或更改当前获取该同意的方式。

例如,如果你向你的客户发送营销信息,或者如果你使用在线广告或重定向应用程序,你可能需要获得客户的同意。ob欧宝娱乐app下载地址

在需要获得同意的情况下,GDPR规定必须:

  • 免费提供:必须是完全自愿的,不应与其他商品或服务捆绑在一起。
  • 具体的:它必须与清晰解释的用例联系在一起。
  • 知情:只有在向资料当事人提供了有关将被收集和使用的个人资料的足够信息时,才能给予。
  • 明确:它必须通过商家的肯定行为来证明(也就是说,不仅仅是通过继续使用服务)。

这意味着需要向客户提供关于特定用例的详细信息,并且消费者需要采取一些肯定的行动来表示同意。

最后,如果你为你的客户提供提供同意的机会,GDPR还要求你的客户有一种撤销同意的方式。这通常可以通过退订功能来实现。如果您对何时以及如何获得收集个人数据的同意有疑问,或者您的客户应该被允许在多大程度上撤回他们的同意,那么您应该与熟悉数据保护法的律师交谈。

然而,同意只是GDPR中可以证明处理个人数据合理性的众多法律依据之一。您也可能会处理个人数据以履行合同要求,或者法律要求您处理数据。

一些欧洲监管机构建议,如果你一开始征求同意,而你的客户拒绝或同意,但后来撤回了他们的同意,那么你可能不再能够依靠任何其他法律依据来处理个人数据。因此,只有在您不打算(或不需要)依赖其他法律依据来处理个人数据的情况下,您才应该依赖同意。

思考以下问题:

  • 对于您使用或处理客户数据的每种不同方式,这样做的法律依据是什么?你的处理是基于他们的同意吗?你是在履行对客户的合同义务吗?你是在为你的合法商业利益而加工吗?您应该记录法律依据,作为您的数据实践地图的一部分,如收集个人资料
  • 当你依赖于同意时,你获得的同意是否与你提供的商品或服务捆绑在一起?例如,像通过购买这些商品,您同意我们使用您的个人信息可能不再被GDPR允许。
  • 你是否提供了足够的细节,说明你将如何使用有关的个人资料,以确保获得客户的同意?
  • 客户的同意是否被记录下来并存储在某个地方?
  • 向客户发送营销信息是否需要获得同意?ob欧宝娱乐app下载地址即使您不需要根据GDPR,当地法律的同意是否需要你的同意向您的客户发送营ob欧宝娱乐app下载地址销信息。和律师谈谈可能适用于你的商店的具体要求。
  • 如果您认为发送营销通信需要获得同意,那么您的商店的营销同意复选框在默认情况下是否未选中ob欧宝娱乐app下载地址?考虑布置你的店面,这样ob欧宝娱乐app下载地址营销同意复选框默认情况下,呈现给客户的内容没有预先检查,以确保您的客户必须采取肯定的行动来提供同意。

GDPR包括处理16岁以下用户个人数据的具体父母同意要求(尽管在某些国家这个年龄可能更低)。

想想下面这个问题:

  • 您是否需要更改处理客户数据的方式,以停止处理16岁以下用户的数据,或者获得父母的同意?你可以禁止16岁以下的用户使用Shopify的app Store中的年龄限制应用程序访问你的网站,或者要求访问者确认他们已超过法定年龄。

自动化决策

GDPR要求您在使用客户的个人信息进行任何自动决策时通知客户。

自动决策是指使用自动算法来决定个人是否有资格获得某些服务或优惠,是否应该收取特定价格,或者是否可能对某些类型的商品或服务感兴趣。

如果您使用的流程包括完全自动化的决策(即没有任何人为干预),这将对客户产生重大的法律影响,那么您需要客户的同意。

对自动决策过程的要求
过程 要求
自动化决策 通知
全自动化决策,具有显著的法律效力 同意

一般来说,Shopify不会对客户的个人数据进行全自动决策。

唯一的例外是Shopify的风险和欺诈筛查,在一定次数的失败支付尝试后,Shopify可能会自动阻止支付卡号或IP地址。Shopify认为这不会对客户产生重大的法律影响,因为自动屏蔽只会持续很短的时间。

思考以下问题:

  • 您是否在隐私政策中规定Shopify的风险和欺诈筛查可能会使用客户的个人信息进行自动决策?您可以阅读更多关于Shopify的自动决策实践在第13节隐私政策.您还应根据您的特殊情况与律师确认,此服务对您的客户没有重大的法律影响。
  • 你是否使用任何第三方应用程序来参与自动决策?您应该特别注意审查与您的店面相关的任何第三方风险或欺诈服务,或任何类型的营销或广告应用程序,这些应用程序可能会建立个人资料或目标客户群。ob欧宝娱乐app下载地址
  • 如果你使用第三方应用程序进行自动决策,那么你是否需要通知你的客户或征得他们的同意才能使用这些应用程序?

数据泄露通知

如果GDPR适用于您,并且您经历了数据泄露,那么您可能需要通知受影响的用户或特定的监管机构。

特别是,GDPR要求在数据泄露可能导致对个人权利和自由产生不利影响的高风险的情况下进行通知。

如果泄露的信息:

  • 包括付款细节。
  • 可以用来透露尴尬或个人信息。
  • 可以用来访问个人账户或服务。

在适用的情况下,您必须在发现违规行为后72小时内提供通知。

思考以下问题:

  • 您是否与律师讨论过,以确定如果您遇到数据泄露,您收集和处理的哪些信息可能需要您提供通知?
  • 您是否为您的业务制定了数据泄露响应计划,以便为此类事件做好准备?
  • 包括付款细节。
  • 可以用来透露尴尬或个人信息。
  • 可以用来访问个人账户或服务。

GDPR对任何使用第三方供应商和服务提供商处理其用户个人数据的公司都提出了要求。

Shopify使用许多子处理器来处理客户的数据。有关Shopify子处理器的详细信息,请参阅Shopify的个子处理器

想想下面这个问题:

  • 您是否审查了您使用的供应商和服务提供商(包括Shopify)的隐私惯例,以确保您对他们保护客户个人数据的方式感到满意?

第三方应用程序

GDPR要求您采取一些与您和您的第三方服务提供商收集和使用个人数据相关的积极步骤。这包括Shopify,但也包括任何第三方应用程序,你可能会使用连接到您的Shopify商店。

Shopify已经采取措施,让你更容易了解你安装的应用程序可以访问哪些个人数据。

步骤:

  1. 从您的Shopify管理,点击应用程序

  2. 点击查看详细信息在您想要审查权限的应用程序上。

你也可以在应用商店的安装界面上检查应用的权限。

此外,在应用商店中,每个应用都有一个链接到隐私政策的部分,该隐私政策更详细地解释了应用开发者正在收集哪些数据以及他们如何使用这些数据。

虽然Shopify希望您尽可能轻松地评估您选择安装的应用程序的数据实践,但您需要确保您以符合GDPR的方式使用第三方应用程序。

想想下面这个问题:

  • 基于你的位置,你的客户的位置,你的应用程序开发者的位置,以及你对每个应用程序的实现,你是否以符合GDPR的方式使用第三方应用程序?如果您对特定应用程序的数据实践是否需要额外考虑或您是否需要努力确保遵守GDPR有疑问,请咨询律师。

国际数据传输

《通用数据保护条例》禁止将欧洲人的个人数据输出到欧洲以外,除非这些信息得到充分保护。

Shopify根据GDPR的要求保护个人数据,因为这些数据被转移到美国和加拿大并在其进行处理。

Shopify已经建立了自己的数据流来满足商家的这些需求。如Shopify的隐私政策中所述,所有欧洲的个人数据最初由Shopify的爱尔兰附属公司Shopify International Ltd在爱尔兰接收并处理。然后Shopify根据GDPR继续传输这些数据。

想想下面这个问题:

您是否确保您传输数据的其他方将以符合GDPR的方式跨国界传输该数据?你可以通过查看第三方应用程序、渠道、支付网关或其他供应商的隐私政策来做到这一点,看看他们是否解释了他们如何保护欧洲数据。

准备好开始使用ShOB欧宝娱乐APPopify销售了吗?

免费试用