Behandling af GDPR-dataanmodninger

GDPR udvider den enkeltes ret til at få adgang til og kontrollere deres personlige data. Denne side indeholder:

  • En oversigt over disse rettigheder.
  • Hvordan du kan bruge Shopifys platform til at håndtere anmodninger om hver enkelt rettighed.
  • Hvad du muligvis skal gøre uafhængigt af Shopify, hvis du modtager en anmodning om hver enkelt rettighed.

Forstå anmodninger om adgang for enkeltpersoner og portabilitet

GDPR giver i nogle tilfælde den enkelte ret til at anmode om en kopi af deres personlige data, som bliver behandlet af en virksomhed.

GDPR kræver derfor, at du skal kunne give dine kunder en kopi af deres personlige data i et format, der er:

  • Almindelig
  • Let læseligt
  • Transportabelt

Dette giver kunderne mulighed for at bruge deres data sammen med en anden tjenesteudbyder. Shopify giver dig mulighed for at eksportere de fleste data i CSV.- eller Excel-formater direkte fra din administrator (f.eks.: ordrer, udbetalinger, produkter og kundeoplysninger).

Normalt bør du besvare en anmodning inden for 30 dage. Længere svartid er tilladt, hvis anmodningen usædvanligt vanskelig at efterkomme.

Håndter anmodninger om adgang for enkeltpersoner og portabilitet

Hvis du modtager en anmodning om adgang eller portabilitet, skal du først bekræfte identiteten på den, der anmoder (så du ikke ved en fejl giver din kundes personlige oplysninger til en anden).

Fremgangsmåde:

  1. Klik på Kunder fra din Shopify-administrator.

  2. Klik på navnet på den kunde, du vil anmode om en logfil for.

  3. Klik på Anmod om kundedata.

Bemærk! Det er kun butiksejeren, der kan indsende en anmodning om kundedata.

Kundens oplysninger vil blive sendt til butiksejeren via e-mail. Butiksejeren kan derefter videresende dem til den kunde, der anmoder om dem.

I henhold til artikel 15 i GDPR skal du også angive yderligere oplysninger om, hvordan du bruger de data, du videregiver, herunder:

  • Med hvilke formål kundens data blev behandlet.
  • De tredjeparter, som har modtaget disse data.
  • Eventuelle relevante fastholdelsesperioder.
  • Hvis oplysningerne er blevet indsamlet fra (hvis det ikke er direkte fra kunden).
  • Om dataene er blevet brugt som en del af beslutningstagning.

Desuden skal du kunne sikre følgende:

  • Kundens ret til at anmode om, at oplysninger ændres eller slettes.
  • Kundens ret til at fremsætte indsigelser mod den måde, kundens oplysninger er blevet behandlet på.
  • Kundens ret til at klage til en kontrolmyndighed.

Bemærk: Se dette indlæg fra UK Information Commissioner's Office for flere oplysninger om, hvordan du skal besvare anmodninger om adgang.

Reflekter over følgende spørgsmål:

  • Er du i stand til at levere alle de påkrævede oplysninger i forbindelse med en kundes data, hvis kunden beder om det? Prøv at forberede dig på eventuelle anmodninger ved at have en oversigt over alle de personlige data, som du (eller de tjenesteudbydere, du benytter, f.eks. Shopify) opbevarer om dine kunder.
  • Har du overvejet andre tjenesteudbydere, som du benytter, og som kan have adgang til dine kunders personlige data? Det kan omfatte tredjepartsapps, kanaler og betalings-gateways.
  • Har du kontaktoplysningerne til alle de tredjepartstjenester, du benytter, og som kan opbevare dine kunders personlige data?

Behandling af anmodninger om sletning

GDPR giver enkeltpersoner ret til under visse omstændigheder at bede om, at deres personlige oplysninger slettes, eller at en virksomhed begrænser behandlingen af deres personlige data.

"Personlige data" betyder alle data, der kan bruges til at identificere en enkeltperson, herunder:

  • Navn
  • Adresse
  • E-mail
  • IP-adresse
  • Kreditkortnummer

Personlige data inkluderer ikke oplysninger, der udelukkende er af finansiel karakter og som ikke kan knyttes til en enkeltperson, som f.eks.:

  • Hvor mange gange et bestemt produkt er blevet solgt
  • Hvor stor en omsætning din butik har haft

Bemærk: Du behøver ikke, at videregive eller slette oplysninger af ren finansiel karakter, når du modtager en anmodning under GDPR. Faktisk kan det være, at du ikke har lov til at gøre dette i visse retsområder, hvor du skal bevare fortegnelser over ordrer af hensyn til skat eller andre juridiske årsager.

Hvis du modtager en anmodning om sletning, skal du først bekræfte kundens identitet. Du skal også sørge for, at der ikke er nogen grund til at beholde kundens data (f.eks. hvis kunden også er medarbejder).

Fremgangsmåde:

  1. Klik på Kunder fra din Shopify-administrator.

  2. Klik på navnet på den kunde, som du vil anmode om sletning for.

  3. Klik på Slet personlige oplysninger.

Bemærk! Det er kun butiksejeren, der kan anmode om fjernelse af kundedata.

Når du har anmodet om en sletning via din administrator, sender Shopify din sletningsanmodning til alle apps, som du har installeret på det tidspunkt, hvor du foretager anmodningen, og som kan have adgang til den pågældende kundes personlige oplysninger.

Når du har anmodet om en sletning i din administrator, starter en bufferperiode på 10 dage. I denne periode kan du annullere anmodningen, hvis anmodningen er sket ved en fejl. Hvis du vil annullere en ventende sletningsanmodning, skal du sende en e-mail til Shopify på privacy@shopify.com og medsende dine butiksoplysninger og det relevante kunde-id.

Når du anmoder om en sletning, sletter Shopify kun personlige oplysninger (f.eks. navn og adresse). Dine anonymiserede ordreoplysninger forbliver intakte, så du kan få adgang til dem til regnskabsmæssige formål. Når de relevante personlige data er blevet slettet, sender vi dig en bekræftelsesmail.

Som standard sletter Shopify ikke personlige data, hvis kunden har foretaget et køb de seneste 6 måneder (180 dage), såfremt der sker en tilbagebetaling. Hvis der indsendes en anmodning om sletning inden for denne tidsramme, vil den stå som afventende. Shopify vil handle på den, når den relevante tidsramme er gået. Du behøver ikke at indsende en anden anmodning.

Hvis du vil tilsidesætte denne forsinkelse (på trods af risikoen for krav om tilbagebetaling), skal du sende en e-mail til Shopify på privacy@shopify.com.

Reflekter over følgende spørgsmål:

  • Opbevarer du kundeoplysninger på dine egne personlige computere eller som udskrift?
  • Er der andre tredjeparter, som f.eks. kanaler eller betalings-gateways, som du er nødt til at kontakte for at bede dem om at slette en kundes personlige oplysninger?
  • Er der nogen lokale krav, som f.eks. skattelovgivning, som kan kræve, at du opbevarer din kundes personlige oplysninger, selvom kunden anmoder om at få dem slettet? Overvej at rådføre dig med en lokal advokat, som er inde i kravene i forbindelse med opbevaring af data, og som kan hjælpe med at besvare dette spørgsmål.

Download Shopifys GDPR-hvidbog

Du kan finde mere information om, hvordan Shopify overholder GDPR, ved at downloade Shopifys GDPR-hvidbog (på engelsk), og du kan bruge den til at sikre, at du bruger Shopify i henhold til reglerne.

Er du klar til at begynde at sælge med Shopify?

Prøv det gratis