Ofte stillede spørgsmål om GDPR

Få mere at vide om ofte stillede spørgsmål i forbindelse med GDPR. Disse forklaringer er kun til orientering og udgør ikke professionel juridisk rådgivning. Du bør få uafhængig juridisk rådgivning vedrørende oplysninger, der specifikt er relateret til dit land og dine forhold.

Hvorfor har Shopify ikke et afkrydsningsfelt med "Acceptér vilkår og betingelser og politik om beskyttelse af persondata" ved betaling?

Shopify har overvejet GDPR nøje, og vi har designet vores platform, så den giver vores shopejere en handelsoplevelse, som er bedst i sin klasse, og som kan overholde lovgivning om databeskyttelse som GDPR.

At indhente udtrykkeligt, bekræftende tilsagn fra kunder til at behandle deres data kan, når det implementeres korrekt, være en nyttig måde at skabe gennemsigtighed for og opnå kundens tillid. Men hvis det ikke implementeres korrekt, kan afkrydsningsfelter være forvirrende for kunden, det kan skabe urealistiske forventninger, og det kan endda skabe juridiske problemer for shopejere i henhold til GDPR. På grund af disse overvejelser har vi har valgt at undlade at ændre vores betalingsworkflow, så det indeholder afkrydsningsfeltet "Acceptér vilkår og betingelser og politik om beskyttelse af persondata" ved betaling.

GDPR gør det i særdeleshed klart, at shopejere kan indsamle personlige data af mange grunde, herunder hvis kunden har givet sit informerede samtykke. Men GDPR erkender, at der kan være mange omstændigheder, hvor personlige data måske skal behandles separat og adskilt fra kundens samtykke, såsom:

Shopejere vil sandsynligvis være afhængige af mange af disse retsgrundlag i forbindelse med de forskellige måder, hvorpå de kan behandle deres kunders data. For eksempel skal en shopejer måske bruge en kundes leveringsadresse til at behandle ordren og gennemføre shopejerens kontrakt med kunden. Tilsvarende kan en shopejer være lovligt forpligtet til at behandle personlige data for at kunne reagere på en stævning eller i forbindelse med en skatterevision. Og en shopejer kan behandle personlige data i forbindelse med alle mulige andre legitime formål.

Samtidig har de europæiske tilsynsmyndigheder gjort det klart, at samtykke er den vigtigste af disse forskellige begrundelser. Særligt har tilsynsmyndighederne antydet, at når en shopejer beder om samtykke til at behandle data til et bestemt formål, kan vedkommende måske ikke længere bruge de ovenstående retsgrundlag (såsom kontrakter eller legitime interesser). Derudover har tilsynsmyndighederne advaret om, at samtykke ikke kan gives på betingelse af modtagelse af varer eller tjenesteydelser.

Hvorfor er alt dette vigtigt? Lad os tænke over, hvad der ville ske, hvis en shopejer tilføjede afkrydsningsfeltet "Acceptér vilkår og betingelser og politik om beskyttelse af persondata" ved betalingsprocessen. Hvis kunden ikke vælger at give samtykke (eller hvis kunden accepterer og derefter trækker sit samtykke tilbage – hvilket privatpersoner har ret til i henhold til GDPR), kan en shopejer måske ikke længere bruge de øvrige begrundelser, der er anført ovenfor. Shopejeren kan altså ende i en position, hvor vedkommende i henhold til GDPR ikke på lovlig vis kan behandle kundens personlige data til at gennemgå eller behandle en ordre. Hvis shopejeren samtidig ændrede betalingsprocessen, så dette afkrydsningsfelt var obligatorisk for at fuldføre transaktionen, ville samtykke blive en forudsætning for at modtage varerne eller tjenesteydelserne, og processen ville muligvis ikke være gyldig i henhold til GDPR.

Denne kompleksitet har ført til, at en række tilsynsmyndigheder er forsigtige med at bede om eller forlade sig på samtykke, hvor det måske ikke er hensigtsmæssigt. UK Information Commissioner's Office har f.eks. givet følgende råd:

"Samtykke er hensigtsmæssigt, hvis du kan tilbyde folk reelle valgmuligheder og kontrol over, hvordan du bruger deres data, og ønsker at opbygge deres tillid og engagement. Men hvis du ikke kan tilbyde et ægte valg, er samtykke ikke hensigtsmæssigt. Hvis du stadig vil behandle de personlige data uden samtykke, er det vildledende og uretfærdigt at bede om samtykke.

Hvis du gør samtykke til en forudsætning for en tjeneste, er dette formentlig ikke det mest hensigtsmæssige lovlige grundlag.

Offentlige myndigheder, arbejdsgivere og andre organisationer med magt over enkeltpersoner bør undgå at forlade sig på samtykke, medmindre de er sikre på, at de kan bevise, at det er frit givet."

Vi vil gøre vores bedste for at støtte vores shopejere og hjælpe dem med at undgå problematiske juridiske konsekvenser. Men samtidig forstår vi, at shopejere i sidste ende skal føle, at de har deres kunders tillid. Derfor har vi sørget for, at shopejerne kan føje et "Accepterer vilkår og betingelser"-afkrydsningsfelt til siden Indkøbskurv (ikke siden Betaling). Du kan få flere oplysninger om, hvordan du gør dette, i vores hjælpedokumenter.

Bemærk! Disse ofte stillede spørgsmål handler om et afkrydsningsfelt til at få samtykke til at afslutte en betaling. Der kan også være andre årsager til, at du ønsker samtykke, for eksempel til markedsføring eller indsamling af særligt følsomme data.

Hvorfor kan jeg ikke underskrive en aftale om databehandling (Data Processing Agreement –DPA) med Shopify?

GDPR kræver, at databehandlere er bundet af en skriftlig kontrakt (som omfatter kontrakter i elektroniske formater) med hver dataansvarlig, for at de kan behandle personlige data. Disse kontrakter skal specificere, hvilke personlige data der behandles, og databehandleren og den dataansvarliges pligter og rettigheder. Disse kontrakter kaldes ofte aftaler om databehandling (DPA). En aftale om databehandling er en aftale om, at Shopify kun vil behandle de personlige data, som de får på den måde, som shopejeren specificerer, da shopejeren er den dataansvarlige.

For at overholde dette krav har Shopify tilføjet et Tillæg vedrørende databehandling i vores Servicevilkår. (Det kaldes et "Tillæg" og ikke en "Aftale", fordi det er føjet til servicevilkårene, og det ikke er en selvstændig aftale).

Som shopejer accepterer du servicevilkårene og, som en udvidelse, Tillægget vedrørende databehandling, når du tilmelder dig Shopifys tjenester, og du accepterer eventuelle opdateringer af servicevilkårene (f.eks. vores opdatering, hvor Tillæg vedrørende databehandling blev tilføjet) ved at fortsætte med at bruge tjenesterne.

Det er vigtigt at bemærke, at servicevilkårene er underlagt lovgivningen i Ontario og ikke lovgivningen i den jurisdiktion, som du befinder dig i. Det betyder, at mens andre regionale love, som f.eks. GDPR, helt bestemt kan omfatte din virksomhed og den måde, du behandler data på, og kan kræve, at du har en bindende kontrakt med dine tjenesteudbydere (f.eks. Shopify), bestemme disse øvrige regionale love ikke nødvendigvis, om en kontrakt er bindende eller ej. I forbindelse med din kontrakt med os afgøres spørgsmålet om, hvorvidt databehandlingsaftalen er en bindende kontrakt, i henhold til lovgivningen i Ontario.

Det betyder, at selvom din jurisdiktion kræver, at der underskrives en kontrakt (som f.eks. databehandlingsaftalen), har det muligvis ingen betydning i forhold til din databehandlingsaftale. I henhold til lovgivningen i Ontario mener vi, at ved at fortsætte med at bruge vores tjeneste, når vores vilkår er blevet opdateret, er både Shopify og du bundet af de nye, ændrede Servicevilkår. Når du fortsætter med at bruge Shopify, mener vi, at du har indgået en bindende kontrakt med os, som omfatter vores Tillæg vedrørende databehandling, som det kræves i henhold til GDPR.

Bemærk: Hvis du er Shopify Plus-shopejer og har underskrevet en forhandlet databehandlingsaftale (DPA), erstatter denne DPA vores online-DPA.

Hvad skal jeg gøre, hvis jeg har flere spørgsmål om GDPR eller mine lokale love vedrørende beskyttelse af personlige oplysninger?

Kontakt en lokal advokat, som har specialiseret sig i lovgivning vedrørende beskyttelse af personlige oplysninger eller databeskyttelse.

Hvem kan jeg kontakte for at få flere oplysninger om Shopifys praksis på området?

Kontakt privacy@shopify.com for at få flere oplysninger om Shopifys praksis.

Hvis jeg bruger Shopify til at hoste min butik, overholder min virksomhed så GDPR?

Ikke automatisk. Shopifys aktiviteter overholder GDPR, og Shopify vil levere værktøjer, som hjælper deres shopejere med at overholde GDPR, men det er de enkelte shopejeres ansvar at sikre, at deres virksomhed overholder lovene i den jurisdiktion, de har aktiviteter i.

Brug af Shopifys platform garanterer ikke i sig selv, at et firma overholder GDPR.

Vil Shopify underskrive kontraktmæssige standardklausuler?

Nej. Som beskrevet i afsnittet Dataoverførsler i vores hvidbog (på engelsk), har Shopify struktureret sine datastrømme på en sådan måde, at shopejere overfører data til Shopifys irske affiliate i Europa. Det betyder, at kontraktmæssige standardklausuler ikke er relevante, da de er godkendt for overførsler mellem en europæisk part og en ikke-europæisk part.

Desuden vil Shopify i forbindelse med overførsler direkte til Shopify Inc. henholde sig til Europa-Kommissionens tilstrækkelighedsbeslutning vedrørende Canadas lov om beskyttelse af personlige oplysninger, som gælder for Shopify Inc. som en canadisk virksomhed.

Er du klar til at begynde at sælge med Shopify?

Prøv det gratis