Hvordan påvirker GDPR dig?

Persondataforordningen GDPR (General Data Protection Regulation) påvirker enhver Shopify-shopejer, der er baseret i Europa eller betjener europæiske kunder. Shopify arbejder hårdt for at sikre, at både vi selv og vores shopejere overholder GDPR pr. 25. maj 2018, men det er vigtigt at bemærke, at GDPR også kræver, at du selv tager foretager de nødvendige ændringer, uafhængigt af Shopify-platformen.

Shopify vil hjælpe med at sætte shopejere i den bedst mulige position til at overholde loven. Denne artikel indeholder en række spørgsmål, du bør stille dig selv for at vurdere dine forpligtelser, så du kan sikre dig, at du har oprettet din butik på en måde, der overholder loven.

Når det er sagt, skal det ikke tages som juridisk rådgivning. GDPR er en kompliceret lov, og den vil gælde forskelligt for forskellige shopejere. Du bør søge råd hos en advokat for at finde ud af, hvad du specifikt skal gøre.

Du kan få oplysninger om behandling af dataanmodninger Behandling af GDPR-dataanmodninger.

Hvorfor kan Shopify ikke håndtere GDPR-overholdelse for shopejere?

GDPR pålægger dataansvarlige og databehandlere forskellige forpligtelser. Som databehandler opfylder Shopify sine egne lovmæssige forpligtelser i henhold til GDPR. Men derudover har shopejere (som dataansvarlige" ogs deres egne særskilte forpligtelser, som de må tage i betragtning.

Shopify giver shopejere en platform, som kan konfigureres til at overholde GDPR, men du skal selv overveje, hvordan du vil drive din virksomhed.

Som yderligere vejledning har følgende lovgivende myndigheder inden for EU lavet specifik vejledning om GDPR:

Indsamling af personlige data

GDPR beskytter personers grundliggende rettigheder i den Europæiske Union i forhold til behandlingen af personlige data.

Eksempler på personlige data:

  • Navn
  • Adresse
  • E-mailadresse
  • Konto til sociale medier
  • Digitalt id, såsom en IP-adresse eller et cookie-id

Reflekter over følgende spørgsmål:

  • Indsamler du personlige data fra kunder i Europa? Det fleste websites er tilgængelige for personer bosiddende i Europa og vil være omfattet af GDPR.
  • Hvis din butik bruger apps eller temaer fra tredjeparter, indsamler og behandler disse da dataene i overensstemmelse med GDPR? For at forenkle denne proces kræver Shopify, at alle apps viser en politik om beskyttelse af persondata med deres praksis for håndtering af data, så du kan vurdere, om du er tryg ved denne apps datapraksis. Apps udviklet af Shopify er omfattet af Tillæg vedrørende databehandling, og Shopify har ansvar for at overholde dette.
  • Indsamler de kanaler eller betalingsgateways, du bruger, data i overensstemmelse med GDPR? Du bør undersøge det for at være sikker.
  • Har du en liste over alle de typer personlige data, du indsamler fra dine kunder, og alle de måder, hvorpå du bruger disse data? Artikel 30 i GDPR kræver, at du opretholder en oversigt over din datapraksis.

Meddelelse om beskyttelse af personlige oplysninger

GDPR (og særligt Artikel 12-14) kræver, at du giver specifikke oplysninger til enkeltpersoner, hvis data du behandler, i form af en meddelelse eller en politik om beskyttelse af personlige oplysninger.

Du kan bruge Shopifys politik om beskyttelse af persondata-generator til at komme i gang. Du kan finde den i dine indstillinger under Betaling eller online.

Overvej følgende spørgsmål:

  • Har du en politik om beskyttelse af persondata på dit website, som indeholder alle de oplysninger, du skal levere i henhold til forordningen? Omfatter den som minimum, hvordan kunder kan komme i kontakt med dig i forbindelse med spørgsmål om databeskyttelse, og beskriver den, hvordan kunderne kan håndhæve deres rettigheder, f.eks. retten til fjernelse (sletning) eller rettelse (ændring eller korrektion) af deres data samt retten til at få adgang til disse data?
  • Beskriver din politik om beskyttelse af persondata, hvordan Shopify kan bruge dine kunders personlige data til automatiseret klassificering af risiko og svindel? GDPR kræver, at du offentliggør, når du (eller dine tjenesteudbydere) bruger deres information i forbindelse med automatiseret beslutningstagning. Shopify bruger dine kunders personlige oplysninger til at blokere visse transaktioner, der ser ud til at være svigagtige, gennem automatiseret beslutningstagning. Shopifys Politik om beskyttelse af persondata-generator indeholder disse oplysninger. Du kan finde mere information om dette system i Automatiseret beslutningstagning.

Udnævnelse af en databeskyttelsesrådgiver

En databeskyttelsesofficer (DPO – Data Protection Officer) overvåger, hvordan din organisation indsamler og behandler personlige data. Hvis din virksomheds kerneaktiviteter omfatter onlinesporing i stor skala, kræver GDPR, at du udpeger en DPO og giver kontaktoplysninger til DPO'en i din Politik om beskyttelse af persondata.

GDPR indeholder specifikke opgaver, som en DPO skal udføre, såsom databeskyttelsesvurderinger, når din organisation ændrer, hvordan den indsamler og behandler personlige data. DPO'en kan være en intern person, der har ekspertise i GDPR og databeskyttelseskrav, men du kan også overveje at arbejde med en konsulent eller et firma, som kan fungere som en ekstern DPO.

Reflekter over følgende spørgsmål:

  • Hvor mange mennesker er påvirket af sporingsteknologier i dit butikslayout? Disse kan omfatte adfærdsbestemte annonceringsapps eller endda apps med retargeting. Hvorvidt antallet af berørte personer kan kaldes "stor skala" er en juridisk beslutning, og du bør konsultere en advokat, afhængigt af dine forhold.
  • Bør du udpege en DPO frivilligt? Hvis din tilstedeværelse i Europa er stor nok, bør du overveje at udpege en DPO frivilligt, selvom du ikke er juridisk forpligtet til at gøre det, da det kan sikre, at du beskytter dine kunders data tilstrækkeligt.

Aftale om databehandling

Som dataansvarlig kræver Artikel 28 i GDPR, at når du indgår aftale med en databehandler (såsom Shopify) om behandling af dine kunders data, pålægger du databehandleren strenge kontraktmæssige krav til, hvordan de kan anvende og behandle disse data. Dette gøres typisk gennem et Tillæg vedrørende databehandling, eller DPA (Data Processing Addendum).

Shopify har automatisk indarbejdet en databehandlingsaftale (https://www.shopify.com/legal/dpa) i sine servicevilkår, som er designet til at imødekomme kravene i artikel 28.

Shopify Plus-shopejeres forhandlede kontrakter regulerer deres forhold til Shopify. Plus-shopejere kan underskrive et Tillæg vedrørende databehandling for at imødekomme deres behov. Shopify Plus-shopejere, der ikke underskriver et Tillæg vedrørende databehandling, reguleres af Shopifys online Tillæg vedrørende databehandling.

Reflekter over følgende spørgsmål:

  • Er andre databehandlere, som du arbejder med uden for Shopify, kontraktmæssigt forpligtet til at beskytte dine kunders data? Mange tredjepartsapps, kanaler, betalingsgateways eller andre databehandlere vil også automatisk indarbejde en Databehandlingsaftale i deres vilkår. Har du konsulteret hver af disse tredjeparter?

  • Er du en Shopify Plus-shopejer med en forhandlet kontrakt? Kontakt Shopify Plus-support, hvis du vil underskrive et Tillæg vedrørende databehandling (DPA). De kan give dig Shopifys skabelon-DPA, som du kan underskrive.

Kundens samtykke

I henhold til GDPR skal du muligvis indhente tilladelse til at behandle dine kunders personlige data eller ændre, hvordan du i øjeblikket opnår dette samtykke.

For eksempel skal du muligvis få samtykke fra dine kunder, hvis du sender markedsføringsbeskeder til dem, eller hvis du bruger onlineannoncering eller retargeting-apps.

Når du skal have samtykke, står der i GDPR, at det skal være:

  • Givet frivilligt: Samtykket skal være helt frivilligt, og må ikke være i forbindelse med andre varer eller tjenesteydelser.
  • Specifikt: Det skal være bundet til klart definerede brugsscenarier.
  • Informeret: Det kan kun gives, hvis dataemnet får tilstrækkelig information om de personlige oplysninger, der vil blive indsamlet og brugt.
  • Utvetydigt: Det skal gives via en bekræftende handling fra en shopejer (det vil sige ikke blot ved at fortsætte med at bruge tjenesterne).

Det betyder, at kunden skal gives detaljerede oplysninger om det specifikke brugsscenarie, og forbrugeren skal foretage en bekræftende handling for at vise sit samtykke.

Hvis du tilbyder dine kunder mulighed for at give samtykke, kræver GDPR også, at dine kunder har mulighed for at trække samtykket tilbage. Dette kan ofte klares med en afmeldingsfunktion. Hvis du har spørgsmål om, hvornår og hvordan du skal skaffe samtykke til indsamling af personlige data, eller i hvilket omfang dine kunder skal kunne trække deres samtykke tilbage, skal du tale med en advokat, der er bekendt med databeskyttelseslovgivningen.

Samtykke er dog kun et af mange retsgrundlag i GDPR, der kan retfærdiggøre behandling af personlige data. Du kan også behandle personlige data for at opfylde kontraktmæssige krav, eller hvis du i henhold til loven skal behandle data.

Nogle europæiske reguleringsmyndigheder har antydet, at hvis du i første omgang beder om samtykke, og din kunde nægter eller accepterer, men derefter trækker deres samtykke tilbage, kan du ikke længere bruge noget andet retsgrundlag til behandling af personlige data. Derfor bør du kun bruge samtykke, når du ikke har til hensigt (eller er nødt til) at bruge andet retsgrundlag til at behandle personlige data.

Bemærk: Du kan læse mere om de forskellige retsgrundlag for databehandling på den britiske Information Commissioners website.

Reflekter over følgende spørgsmål:

  • Hvad er retsgrundlaget for de forskellige måder, hvorpå du bruger eller behandler dine kunders data? Behandler du dem på grundlag af deres samtykke? Behandler du dem for at opfylde en kontraktmæssig forpligtelse over for kunden? Behandler du dem for at fremme dine legitime forretningsformål? Du bør registrere retsgrundlaget som en del af din oversigt over din datapraksis, som beskrevet i Indsamling af personlige oplysninger.
  • Når du er afhængig af samtykke, får du samtykket i forbindelse med varer eller tjenesteydelser, du tilbyder? For eksempel kan erklæringer som by purchasing these goods, you agree to our use of your personal information muligvis ikke længere være tilladt i henhold til GDPR.
  • Giver du nok oplysninger om, hvordan du bruger de pågældende personlige data, så kunden kan give et velinformeret samtykke?
  • Er kundens samtykke registreret og gemt et sted?
  • Kræver du samtykke til at sende markedsføringsmeddelelser til dine kunder? Selvom du ikke har brug for samtykke i henhold til GDPR, kan lokal lovgivning muligvis kræve, at du skaffer samtykke til at sende markedsføringsmeddelelser til dine kunder. Tal med en advokat om de specifikke krav, der kan gælde for din butik.
  • Hvis du mener, at du skal bruge samtykke til at sende markedsføringsmeddelelser, er afkrydsningsfeltet til markedsføringstilladelse for din butik ikke markeret som standard? Overvej at konfigurere dit butikslayout, så afkrydsningsfeltet til markedsføringstilladelse, som kunderne ser, ikke er markeret på forhånd. Dette sikrer, at kunderne skal foretage en bekræftende handling for at give samtykke.

Forældres samtykke

GDPR indeholder specifikke krav til forældres samtykke til behandling af personlige oplysninger for brugere, der er under 16 år gamle (selvom denne alder kan være lavere i visse lande).

Overvej følgende spørgsmål:

  • Har du brug for at ændre, hvordan du behandler kundedata, enten for at stoppe behandlingen af data fra brugere under 16 år eller for at få forældres samtykke? Det kan du gøre ved at forbyde brugere under 16 år at få adgang til dit website ved hjælp af en aldersgrænseapp fra Shopifys App Store eller ved at bede besøgende om at bekræfte, at de er over minimumsalderen.

Automatiseret beslutningstagning

GDPR kræver, at du informerer kunder, hvis du bruger deres personlige oplysninger til nogen form for automatiseret beslutningstagning.

Automatiseret beslutningstagning betyder at bruge automatiske algoritmer til at træffe beslutning om, hvorvidt en person er berettiget til bestemte tjenester eller tilbud, skal opkræves en bestemt pris eller sandsynligvis er interesseret i visse typer varer eller tjenesteydelser.

Hvis du bruger processer, der omfatter fuldt automatiseret beslutningstagning (det vil sige uden menneskelig indgriben), som vil have en væsentlig retsvirkning på kunden, skal du have kundens samtykke.

Krav til processer for automatiseret beslutningstagning
Behandl Krav
Automatiseret beslutningstagning Meddelelser
Fuldt automatiseret beslutningstagning med betydelig retsvirkning Samtykke

Shopify bruger generelt ikke fuldt automatiseret beslutningstagning med dine kunders personlige oplysninger.

Den eneste undtagelse er Shopifys risiko- og bedragerikontrol, hvor Shopify automatisk kan blokere et betalingskortnummer eller en IP-adresse efter et bestemt antal mislykkede betalingsforsøg. Shopify mener ikke, at dette har en væsentlig retsvirkning på kunderne, fordi den automatiske blokering varer kun i en kort periode.

Reflekter over følgende spørgsmål:

  • Står der i din privatlivspolitik, at Shopifys risiko- og svindelkontrol muligvis bruger kunders personlige oplysninger til automatiseret beslutningstagning? Du kan læse mere om Shopifys praksis for automatiseret beslutningstagning i afsnit 13 i Politikken om beskyttelse af persondata. Du bør også få en advokat til at bekræfte, at denne tjeneste ikke har en væsentlig retsvirkning på dine kunder under dine særlige omstændigheder.
  • Bruger du nogen tredjepartsapps, der måske er involveret i automatiseret beslutningstagning? Du bør være særlig opmærksom på at gennemgå eventuelle tredjeparts-risiko- eller svindeltjenester, du bruger i forbindelse med din butiksfacade, eller nogen form for markedsførings- eller annonceringsapps, der kan oprette profiler eller målrette mod nogle af dine kundesegmenter.
  • Hvis du bruger tredjepartsapps, der bruger automatiseret beslutningstagning, skal du så give besked til dine kunder eller skaffe samtykke til at bruge disse apps?

Meddelelse om brud på datasikkerheden

Hvis GDPR gælder for dig, og du oplever et brud på datasikkerheden, kan du blive bedt om at underrette påvirkede brugere eller specifikke tilsynsorganer.

GDPR kræver især varsel, hvis et brud på datasikkerheden medfører stor risiko for at skade individuelle personers rettigheder og friheder.

Dette vil sandsynligvis være tilfældet, hvis de afslørede oplysninger:

  • Indeholder betalingsoplysninger.
  • Kan bruges til at afsløre pinlige eller personlige oplysninger.
  • Kan bruges til at få adgang til en persons konti eller tjenester.

Du er forpligtet til at give besked inden for 72 timer efter, at du er blevet opmærksom på bruddet, hvor det er relevant.

Reflekter over følgende spørgsmål:

  • Har du talt med en advokat for at afgøre, hvilke dele af den information, du indsamler og behandler, kan kræve, at du giver besked, hvis der opstår et brud på din datasikkerhed?
  • Har du en nødplan for din virksomhed i tilfælde af brud på datasikkerheden, så du er forberedt på en sådan hændelse?
  • Indeholder betalingsoplysninger.
  • Kan bruges til at afsløre pinlige eller personlige oplysninger.
  • Kan bruges til at få adgang til en persons konti eller tjenester.

GDPR stiller krav til ethvert firma, der bruger tredjepartsleverandører og -tjenesteudbydere til at behandle brugernes personlige data.

Shopify bruger en række databehandlere til at behandle dine kunders data. Du kan finde mere information om Shopifys databehandlere i Shopifys databehandlere.

Overvej følgende spørgsmål:

  • Har du læst fremgangsmåderne til databeskyttelse for de leverandører, du benytter dig af, herunder Shopify, for at sikre, at du er tryg ved den måde, de beskytter dine kunders personlige data på?

Tredjepartsapp

GDPR kræver, at du gennemfører en række bekræftende trin med hensyn til din og dine udbydere af tredjepartstjenesters indsamling og brug af personlige data. Dette omfatter Shopify, men også tredjepartsapps, som du bruger i forbindelse med din Shopify-butik.

Shopify har sørget for at gøre det nemmere for dig at forstå, hvilke personlige data de apps, du installerer, har adgang til.

Fremgangsmåde:

  1. Klik på Apps i din Shopify-administrator.

  2. Klik på Se detaljer i den app, som du ønsker at gennemgå tilladelser for.

Du kan også gennemgå apptilladelser, inden du installerer en app. Dette gøres på installationssiden i appbutikken.

Derudover er der et afsnit i appbutikken, hvor hver app linker til en politik om beskyttelse af persondata, som indeholder en mere detaljeret forklaring af, hvilke data appudviklere indsamler, og hvordan de bruger dem.

Shopify ønsker at gøre det så nemt som muligt for dig at vurdere datafremgangsmåderne for de apps, du bruger, men det er op til dig at sikre, at du bruger tredjepartsapps på en måde, der er i overensstemmelse med GDPR.

Overvej følgende spørgsmål:

  • Baseret på din lokation, dine kunders lokationer, dine appudvikleres lokation og din implementering af hver enkelt app, bruger du så tredjepartsapps på en måde, som er i overensstemmelse med GDPR? Rådfør dig med en advokat, hvis du er i tvivl om, hvorvidt en bestemt apps datafremgangsmåder kan kræve yderligere overvejelser eller arbejde fra din side for at sikre overholdelse af GDPR.

Internationale dataoverførsler

GDPR forbyder eksport af personlige data for europæere til et sted uden for Europa, medmindre disse data beskyttes på passende vis.

Shopify beskytter personlige data i henhold til kravene i GDPR, når de overføres til og behandles i USA og Canada.

Shopify har konfigureret sine datastrømme, så disse krav overholdes for shopejere. Som beskrevet i afsnit 12 i Shopifys Politik om beskyttelse af personlige data modtages alle europæiske data indledningsvist fra shopejere og behandles i Irland af Shopifys irske affiliate Shopify International Ltd. Shopify overfører derefter disse data videre i overensstemmelse med GDPR:

GDPR internationale dataoverførsler

Du kan få mere at vide om, hvordan personlige data fra Det Europæiske Økonomiske Samarbejdsområde (EØS) og Storbritannien modtages og behandles af Shopify i henhold til GDPR-standarder og bedste fremgangsmåder for informationssikkerhed, i Shopifys GDPR-hvidbog (på engelsk).

Overvej følgende spørgsmål:

Har du sikret, at andre parter, som du overfører data til, overfører disse data på tværs af internationale grænser på en måde, som er i overensstemmelse med GDPR? Du kan gøre dette ved at kigge på politikken om beskyttelse af persondata for dine tredjepartsapps, kanaler, betalingsgateways eller andre leverandører og se, om de forklarer, hvordan de beskytter europæiske data.

Download Shopifys GDPR-hvidbog

Du kan finde mere information om, hvordan Shopify overholder GDPR, ved at downloade Shopifys GDPR-hvidbog (på engelsk), og du kan bruge den til at sikre, at du bruger Shopify i henhold til reglerne.

Er du klar til at begynde at sælge med Shopify?

Prøv det gratis