GDPR - usein kysyttyä

Lisätietoja GDPR-asetukseen liittyvistä usein esitetyistä kysymyksistä. Nämä vastaukset annetaan vain tiedoksi, eivätkä ne ole ammattimaisia oikeudellisia neuvoja. Pyydä tarvittaessa riippumatonta oikeudellista neuvontaa, joka koskee omaa maatasi ja omia olosuhteitasi.

Miksi Shopify ei sisällä "Hyväksy käyttöehdot ja tietosuojakäytäntö" -valintaruutua kassalla?

Shopify on huomioinut GDPR-asetuksen erityisellä huolella, ja olemme suunnitelleet alustamme niin, että se tarjoaa kauppiaille parhaan mahdollisen kauppakokemuksen, mutta on kuitenkin yksityisyyttä ja tietosuojaa koskevan lainsäädännön kuten GDPR-asetuksen mukainen.

Asiakkaiden nimenomaisen suostumuksen pyytäminen heidän tietojensa käsittelyä varten voi asianmukaisesti toteutettuna olla kätevä tapa tarjota asiakkaille avoimuutta ja voittaa heidän luottamuksensa. Jos valintaruutuja ei ole toteutettu asianmukaisesti, ne voivat hämmentää asiakkaita, herättää perusteettomia odotuksia ja jopa aiheuttaa oikeudellisia ongelmia kauppiaille GDPR-asetuksen nojalla. Näiden huolenaiheiden takia olemme päättäneet, että kassatoimintoon ei maksuvaiheessa sisällytetä "Hyväksy käyttöehdot ja tietosuojakäytäntö" -valintaruutua.

GDPR-asetuksessa säädetään erityisesti, että kauppiaat voivat kerätä ja käsitellä asiakkaan henkilötietoja monista syistä, myös jos asiakas on antanut tietoisen suostumuksensa. GDPR-asetuksessa kuitenkin todetaan, että monissa eri tilanteissa henkilötietojen käsittely ilman asiakkaan erillistä suostumusta voi olla tarpeen, esimerkiksi kun tarkoituksena on jokin seuraavista:

Monet näistä oikeusperusteista ovat todennäköisesti päteviä perusteita, joiden nojalla kauppiaat käsittelevät asiakkaidensa tietoja eri tavoin. Kauppias voi esimerkiksi joutua käyttämään asiakkaan toimitusosoitetta, jotta se voi huolita tilauksen ja noudattaa kauppiaan ja asiakkaan välillä tehtyä sopimusta. Samoin kauppias saattaa olla lainsäädännön nojalla velvollinen käsittelemään henkilötietoja, jotta se voi vastata haasteeseen tai sille voidaan tehdä verotarkastus. Kauppias saattaa käsitellä henkilötietoja myös muiden oikeutettujen etujen perusteella.

Eurooppalaiset sääntelyviranomaiset ovat selventäneet, että suostumus on näistä perusteista tärkeimmässä asemassa. Sääntelyviranomaiset ovat erityisesti esittäneet, että jos kauppias on pyytänyt suostumusta tietojen käsittelyyn tiettyä tarkoitusta varten, kauppias ei ehkä enää voi vedota edellä mainittuihin oikeusperusteisiin (kuten sopimuksiin tai oikeutettuihin etuihin). Lisäksi sääntelyviranomaiset ovat varoittaneet, että suostumusta ei saa vaatia tavaroiden tai palvelujen vastaanottamisen ehtona.

Miksi tämä on tärkeää? Mieti, mitä tapahtuisi, jos kauppias lisäisi "Hyväksy käyttöehdot ja tietosuojakäytäntö" -valintaruudun kassalle. Jos asiakas ei halua antaa suostumusta (tai jos asiakas antaa suostumuksen ja sitten peruuttaa suostumuksensa - mihin jokaisella on oikeus GDPR-asetuksen nojalla), kauppias ei ehkä enää voi vedota muihin edellä mainittuihin perusteisiin. Näin kauppias saattaa päätyä tilanteeseen, jossa kauppias ei voi GDPR-asetuksen nojalla laillisesti käsitellä asiakkaan henkilötietoja tilauksen käsittelyä tai jakelua varten. Jos kauppias puolestaan muuttaa kassaa niin, että valintaruutu on pakko valita tapahtuman suorittamiseksi, suostumus on ennakkoedellytys tavaroiden tai palveluiden vastaanottamiselle, eikä suostumus lähtökohtaisesti ole pätevä GDPR-asetuksen nojalla.

Asian monimutkaisuuden takia monet sääntelyviranomaiset ovat varoittaneet, että suostumuksen pyytäminen tai siihen vetoaminen ei kaikissa tilanteissa ole välttämättä tarkoituksenmukaista. Esimerkiksi Ison-Britannian tietosuojavaltuutettu on ohjeistanut seuraavaa:

"Suostumus on tarkoituksenmukainen, jos voit tarjota ihmisille todellista valinnanvaraa ja mahdollisuuden valvoa, miten käytät heidän tietojaan, ja jos haluat lisätä heidän luottamustaan ja sitoutumistaan. Jos et voi tarjota aitoa valinnanvaraa, suostumus ei kuitenkaan ole tarkoituksenmukainen. Jos joka tapauksessa käsittelet henkilötietoja ilman suostumusta, suostumuksen pyytäminen on harhaanjohtavaa ja lähtökohtaisesti epäoikeudenmukaista.

Jos edellytät suostumusta palvelun ennakkoehtona, se ei todennäköisesti ole kaikkein tarkoituksenmukaisin oikeusperuste käsittelylle.

Julkiset viranomaiset, työnantajat ja muut organisaatiot, jotka ovat valta-asemassa yksityishenkilöihin nähden, eivät saisi vedota suostumukseen, elleivät ne voi varmasti osoittaa, että suostumus on annettu vapaasta tahdosta."

Haluamme parhaamme mukaan tukea kauppiaita ja auttaa heitä välttämään ongelmallisia oikeudellisia seurauksia. Samalla kuitenkin ymmärrämme, että kauppiaat haluavat pohjimmiltaan varmistaa, että heillä on asiakkaidensa luottamus. Tämän takia olemme varmistaneet, että kauppiaat voivat lisätä "Hyväksy ehdot" -valintaruudun Ostoskori-sivulle (ei Kassa-sivulle). Lisätietoja siitä, miten tämä onnistuu, on ohjeasiakirjoissamme.

Miksi en voi tehdä tietojen käsittelyä koskevaa sopimusta Shopifyn kanssa?

GDPR-asetuksessa vaaditaan, että henkilötietojen käsittelijät tekevät kunkin rekisterinpitäjän kanssa sitovan kirjallisen sopimuksen (mikä tarkoittaa myös sähköisessä muodossa tehtäviä sopimuksia) henkilötietojen käsittelyä varten. Näissä sopimuksissa täytyy määrittää, mitä henkilötietoja käsitellään, ja määrittää käsittelijän ja rekisterinpitäjän velvollisuudet ja oikeudet. Näitä sopimuksia kutsutaan usein tietojen käsittelyä koskeviksi sopimuksiksi. Tietojen käsittelyä koskeva sopimus on pohjimmiltaan sopimus siitä, että Shopify käsittelee sille annettuja henkilötietoja ainoastaan kauppiaan määrittelemällä tavalla, koska kauppias on kyseisten henkilötietojen rekisterinpitäjä.

Tämän vaatimuksen noudattamiseksi Shopify on lisännyt palveluehtoihin tietojen käsittelyä koskevan lisäyksen. (Sitä kutsutaan "lisäykseksi" eikä "sopimukseksi", koska se lisätään palveluehtoihin, eikä se sinällään ole erillinen sopimus.)

Kauppiaana hyväksyt palveluehdot ja sen myötä tietojen käsittelyä koskevan lisäyksen, kun rekisteröidyt Shopifyn palveluihin. Jatkamalla palvelujen käyttöä hyväksyt kaikki palveluehtojen päivitykset (esimerkiksi päivityksen, jolla tietojen käsittelyä koskeva lisäys lisättiin ehtoihin).

Huomaathan, että palveluehtoihin sovelletaan Ontarion lainsäädäntöä eikä sen lainkäyttöalueen lainsäädäntöä, jolla oleskelet. Yritykseesi ja tietojen käsittelytapaan saatetaan soveltaa muita alueellisia säädöksiä, kuten GDPR-asetusta. Näissä säädöksissä saatetaan vaatia, että sinun on tehtävä sitova sopimus palveluntarjoajien (kuten Shopifyn) kanssa. Kyseisissä alueellisissa säädöksissä ei kuitenkaan välttämättä säädetä, mikä sopimus on sitova ja mikä ei. Kun teet kanssamme sopimuksen, kysymys siitä, onko tietojen käsittelyä koskeva lisäys sitova sopimus, ratkaistaan Ontarion lainsäädännön nojalla.

Tämän takia, vaikka omalla lainkäyttöalueellasi vaaditaan sopimuksen (kuten tietojen käsittelyä koskevan lisäyksen) tekemistä, vaatimuksella ei välttämättä ole merkitystä tietojen käsittelyä koskevan lisäyksen kannalta. Ontarion lainsäädännön nojalla katsomme, että kun jatkat palvelumme käyttöä ehtojen päivittämisen jälkeen, uudet muutetut palveluehdot ovat sitovia niin Shopifyn kannalta kuin sinun kannaltasi. Jos jatkat Shopifyn käyttöä, katsomme, että olet tehnyt kanssamme GDPR-asetuksessa vaaditun sitovan sopimuksen, johon kuuluu myös tietojen käsittelyä koskeva lisäys.

Mitä teen, jos minulla on kysyttävää GDPR-asetuksesta tai paikallisesta tietosuojalainsäädännöstä?

Ota yhteyttä paikalliseen asianajajaan, joka on erikoistunut tietosuojaan tai tietosuojalainsäädäntöön.

Keneen voin ottaa yhteyttä saadakseni lisätietoja Shopifyn käytännöistä?

Ota yhteyttä osoitteeseen privacy@shopify.com saadaksesi lisätietoja Shopifyn käytännöistä.

Jos Shopify on kauppani ylläpitäjä, onko liiketoimintani GDPR-asetuksen mukaista?

Ei automaattisesti. Vaikka Shopifyn toiminta on GDPR-asetuksen mukaista ja Shopify tarjoaa kauppiaille työkaluja, jotka auttavat vaatimusten noudattamisessa, jokaisen kauppiaan vastuulla on varmistaa, että kauppiaan liiketoiminta on sen lainkäyttöalueen lainsäädännön mukaista, jossa liiketoimintaa harjoitetaan.

Shopifyn alustan käyttö ei sinällään takaa, että yritys noudattaa GDPR-asetusta.

Käyttääkö Shopify vakiosopimusehtoja?

Ei. Kuten white paper -julkaisumme (englanniksi) Tietojen siirrot -osassa kerrotaan, Shopify on jäsentänyt tiedonkulun niin, että kauppiaat siirtävät Euroopassa tietoja Shopifyn irlantilaiselle kumppanille. Tämän takia vakiosopimusehdot eivät ole tarkoituksenmukaisia, sillä ne koskevat siirtoja eurooppalaisen osapuolen ja muun kuin eurooppalaisen osapuolen välillä.

Kun Shopify siirtää tietoja suoraan Shopify Inc.:lle, siirtojen perusteena on tietosuojan riittävyydestä tehty Euroopan komission päätös, joka koskee Kanadan tietosuojalainsäädäntöä. Koska Shopify Inc. on kanadalainen yritys, siihen sovelletaan kyseistä Kanadan lainsäädäntöä.

Oletko valmis aloittamaan myynnin Shopify-palvelussa?

Kokeile sitä ilmaiseksi