Hvordan påvirker personvernforordningen deg?

Personvernforordningen påvirker alle Shopify-kjøpmenn som befinner seg i Europa eller som betjener europeiske kunder. Selv om Shopify jobber hardt for å sørge for å overholde, og la kjøpmennene sine overholde, personvernforordningen per 25. mai 2018, er det viktig å huske at personvernforordningen også krever at du iverksetter tiltak uavhengig av Shopify-plattformen.

Shopify vil hjelpe kjøpmenn med å komme i en best mulig posisjon til å kunne overholde loven. Denne artikkelen inkluderer spørsmål du bør vurdere når du vurderer pliktene dine for å sørge for at du har konfigurert butikken din på en måte som overholder loven.

Dette er imidlertid ikke juridiske råd. Personvernforordningen er en komplisert forskrift, og den gjelder på forskjellige måter for forskjellige kjøpmenn. Du bør rådføre deg med en advokat for å finne ut spesifikt hva du må gjøre.

For å få informasjon om behandling av dataforespørsler kan du lese behandling av dataforespørsler i henhold til personvernforordningen.

Hvorfor kan ikke Shopify håndtere overholdelse av personvernforordningen for kjøpmenn?

Personvernforordningen pålegger forskjellige plikter for behandlingsansvarlige og databehandlere. Som en databehandler overholder Shopify sine egne juridiske pikter i henhold til personvernforordningen. Forhandlere (som behandlingsansvarlige) har imidlertid sine egne atskilte plikter de må ta hensyn til.

Shopify gir kjøpmenn en plattform som kan konfigureres til å være i samsvar med personvernforordningen, men du må selv vurdere hvordan du vil drive forretningen din.

Du kan få mer veiledning fra de følgende kontrollmyndighetene, som har spesifikk veiledning om personvernforordningen:

Innsamling av personopplysninger

Personvernforordningen beskytter de grunnleggende rettighetene til enkeltpersoner i EU i forbindelse med behandling av personopplysninger.

Eksempler på personopplysninger inkluderer:

  • Navn
  • Adresse
  • E-postadresse
  • Kontoer på sosiale medier
  • Digitale identifikatorer, for eksempel en IP-adresse eller informasjonskapsel-ID

Ta stilling til disse spørsmålene:

  • Samler du inn personopplysninger fra kunder i Europa? De fleste nettsteder er tilgjengelige for innbyggere i Europa og faller inn under personvernforordningen.
  • Hvis butikken din bruker tredjepartsapper eller -temaer, samler de inn og behandler data i henhold til personvernforordningen? For å forenkle denne prosessen krever Shopify at alle apper legger ut en personvernerklæring som forklarer hvordan de håndterer data, slik at du kan vurdere hvorvidt du er komfortabel med all datapraksis i appen. Apper som er utviklet av Shopify, faller inn under tillegget om databehandling, og Shopify er ansvarlig for at de er i samsvar.
  • Samler inn og behandler kanalene eller betalingsgatewayene du bruker, data i henhold til personvernforordningen? Du bør følge opp med dem for å være sikker.
  • Har du en liste over alle typene personopplysninger som du samler inn fra kundene dine, og alle måtene du bruker disse dataene på? Artikkel 30 av personvernforordningen krever at du opprettholder et gjeldende kart over datapraksisen din.

Personvernmerknad

Personvernforordningen (og spesielt artikkel 12 til 14) krever at du oppgir spesifikk informasjon til enkeltpersoner hvis data du behandler, generelt sett i form av en personvernmerknad eller personvernerklæring.

Du kan bruke Shopifys generator for personvernerklæring for å komme i gang. Du finner den i innstillingene, under Gå til kassen eller på nett.

Tenk på følgende spørsmål:

  • Har du en personvernerklæring på nettstedet ditt som inkluderer all informasjonen du må oppgi i henhold til forskriften? Som minimum, inkluderer den hvordan kunder kan kontakte deg med personvernspørsmål og hvordan kunder kan utøve rettighetene sine, for eksempel retten til sletting (fjerning) eller korrigering (modifisering eller retting) av dataene sine samt retten til tilgang til dem?
  • Inkluderer personvernerklæringen hvordan Shopify kan bruke kundenes personopplysninger for automatisert bedømming av risiko og svindel? Personvernforordningen krever at du oppgir når du (eller tjenesteleverandøren) bruker kundens informasjon i forbindelse med automatisert beslutningstaking. Shopify bruker kundenes personopplysninger til å blokkere visse transaksjoner som tilsynelatende er bedragersk, via automatisert beslutningstaking. Shopifys generator for personvernerklæring inkluderer denne informasjonen. For å få mer informasjon om dette systemet kan du lese Automatisert beslutningstaking.

Utpek en databeskyttelsesansvarlig

En databeskyttelsesansvarlig (DPO) har tilsyn med hvordan organisasjonen din samler inn og behandler personopplysninger. Hvis kjerneaktivitetene til forretningen din inkluderer sporing på nettet i stor skala, krever personvernforordningen at du utpeker en DPO og oppgir kontaktinformasjon for DPO-en i personvernerklæringen din.

Personvernforordningen inkluderer spesifikke oppgaver DPO-en skal utføre, for eksempel utførelse av vurdering av virkingen av databeskyttelse når organisasjonen din endrer hvordan den samler inn og behandler personopplysninger. DPO-en kan være en intern person som har ekspertise om kravene i personvernforordningen og databeskyttelse, men du kan også vurdere å jobbe med en konsulent eller et firma som kan fungere som en ekstern DPO.

Ta stilling til disse spørsmålene:

  • Hvor mange personer påvirkes av sporingsteknologien i butikkfronten din? Disse kan inkludere apper med atferdsbasert annonsering eller retargeting-apper. Hvorvidt antall personer som påvirkes, anses som «stor skala», er en juridisk avgjørelse, og du bør rådføre deg med en advokat avhengig av omstendighetene dine.
  • Bør du utpeke en DPO frivillig? Selv om du ikke er juridisk pålagt å utpeke en DPO, kan du ønske å gjøre det frivillig hvis tilstedeværelsen din i Europe er stor nok, slik at du sikrer at du gir kundenes data tilstrekkelig beskyttelse.

Avtaler om databehandling

Som behandlingsansvarlig i henhold til personvernforordningen krever artikkel 28 at – når du ansetter en databehandler (for eksempel Shopify) til å behandle kundenes data – du stiller strenge kontraktsfestede krav om hvordan de kan bruke og behandle dataene. Dette gjøres vanligvis med et tillegg om databehandling (DPA).

Shopify har automatisk innlemmet en databehandlingsavtale (https://www.shopify.com/legal/dpa) i vilkårene for bruk, som er utformet til å dekke kravene i artikkel 28.

For Shopify Plus-kjøpmenn styrer den forhandlede kontakten deres forholdet de har med Shopify. Plus-kjøpmenn kan signere et tillegg om databehandling for å dekke behovene de har. Shopify Plus-kjøpmenn som ikke signerer et tillegg om databehandling, blir styrt av Shopifys tillegg om databehandling på nett.

Ta stilling til disse spørsmålene:

  • Er andre databehandlere du jobber med utenfor Shopify, kontraktsmessig pålagt å beskytte dataene til kundene dine? Mange tredjepartsapper, kanaler, betalingsgatewayer eller andre databehandlere innlemmer også automatisk en databehandlingsavtale i vilkårene sine. Har du rådført deg med alle disse tredjepartene?

  • Er du Shopify Plus-forhandler med en forhandlet kontrakt? Hvis du vil signere et tillegg for databehandling, kan du kontakte Shopify Plus' brukerstøtte. De kan tilveiebringe Shopifys DPA-mal for signering.

Kundens samtykke

I henhold til personvernforordningen må du muligens få samtykke til å behandle personopplysningene til kundene dine eller endre hvordan du får samtykke nå.

Du må for eksempel kanskje få samtykke fra kundene dine hvis du sender markedsføringsmeldinger til kundene eller hvis du bruker annonsering på nett eller retargeting-apper.

Når du må innhente samtykke, sier personvernforordningen at det må

  • bli gitt fritt: Det må være helt frivillig og skal ikke være knyttet til andre varer eller tjenester
  • være spesifikt: Det må være knyttet til tydelig forklarte bruksområder
  • være informert: Det kan bare bli gitt hvis dataemnet får nok informasjon om personopplysningene som blir samlet inn og brukt
  • være utvetydig: Det må demonstreres med en bekreftende handling av kjøpmannen (det vil si ikke bare ved å fortsette å bruke tjenestene)

Dette betyr at kunden må få detaljert informasjon om det spesifikke bruksområdet, og at en bekreftende handling må utføres av forbrukeren for å vise samtykke.

Hvis du tilbyr kundene dine mulighet til å gi samtykke, krever personvernforordningen i tillegg at kundene dine alltid har en måte å trekke samtykke på. Dette kan ofte oppnås med en funksjon for å avslutte abonnement. Hvis du har spørsmål om når og hvordan du bør få samtykke for innsamling av personopplysinger, eller i hvor stor grad kundene dine skal ha rett til å trekke samtykke, bør du snakke med en advokat som er kjent med databeskyttelseslover.

Samtykke er imidlertid bare ett av mange rettsgrunnlag i personvernforordningen som kan rettferdige behandling av personopplysninger. Du kan også behandle personopplysninger for å oppfylle kontraktskrav eller hvis du er lovpålagt å behandle data.

Noen europeiske kontrollmyndigheter har foreslått at når du først ber om samtykke og kunden avviser eller godtar, men deretter trekker samtykket sitt, kan du ikke lenger bruke andre rettsgrunnlag til å behandle personopplysninger. Derfor bør du kun benytte samtykke når du ikke har tenkt til (eller må) benytte et annet rettsgrunnlag til å behandle personopplysninger.

Ta stilling til disse spørsmålene:

  • For alle forskjellige måter du vil bruke eller behandle kundenes data på, hva er rettsgrunnlaget for å gjøre det? Behandler du basert på samtykket deres? Behandler du for å oppfylle en kontraktsplikt ovenfor kunden? Behandler du for å fremme legitime forretningsinteresser? Du bør registrere rettsgrunnlaget som en del av kartet ditt for datapraksis, som beskrives i Innsamling av personopplysninger.
  • Når du bruker samtykke, er samtykket du får, knyttet til varene eller tjenestene du tilbyr? Erklæringer som by purchasing these goods, you agree to our use of your personal information kan for eksempel ikke lenger være tillatt i henhold til personvernforordningen.
  • Gir du nok informasjon om hvordan du kommer til å bruke de aktuelle personopplysningene for å sørge for at kundens samtykke er informert?
  • Blir kundens samtykke registrert og lagret et sted?
  • Krever du samtykke for å sende markedsføringskommunikasjon til kundene dine? Selv om du ikke trenger samtykke i henhold til personvernforordningen, kan lokale lover kreve at du får samtykke til å sende markedsføringskommunikasjon til kundene dine. Snakk med en advokat om de spesifikke kravene som kan gjelde for butikken din.
  • Hvis du tror at du må ha samtykke til å sende markedsføringskommunikasjon, er avmerkingsboksen for samtykke til markedsføring ikke merket av som standard? Vurder å konfigurere butikkfronten din slik at avmerkingsboksen for samtykke til markedsføring ikke er avmerket som standard, for å sikre at kundene dine må utføre en bekreftende handling for å gi samtykke.

Foreldresamtykke

Personvernforordningen inkluderer spesifikke krav om foreldresamtykke for å behandling av personopplysningene til brukere under 16 (selv om denne alderen kan være lavere i visse land).

Tenk på følgende spørsmål:

  • Må du endre hvordan du behandler kundedata til å enten slutte å behandle data for brukere som er under 16, eller få foreldresamtykke? Du kan gjøre dette ved å forby brukere under 16 fra å gå inn på nettstedet ditt med en app med aldersgrense fra Shopifys App Store eller ved å be under om å bekrefte at de er over minimumsalderen.

Automatisert beslutningstaking

Personvernforordningen krever at du varsler kunder hvis du bruker personopplysningene deres til automatisert beslutningstaking.

Automatisert beslutningstaking betyr å bruke automatiske algoritmer til å ta avgjørelser om hvorvidt en person er kvalifisert for visse tjenester eller tilbud, skal belastes en bestemt pris eller sannsynligvis er interessert i visse typer varer eller tjenester.

Hvis du bruker prosesser som inkluderer helt automatisert beslutningstaking (det vil si uten menneskelig innblanding) som har en betydelig juridisk effekt på kunden, trenger du kundens samtykke.

Krav for automatiske beslutningsprosesser
Behandling Krav
Automatisert beslutningstaking Varsel
Helt automatisert beslutningstaking med betydelig juridisk effekt Samtykke

Generelt sett deltar ikke Shopify i helt automatisert beslutningstaking med personopplysningene til kundene dine.

Det eneste unntaket er Shopifys risiko- og svindelscreening, der Shopify kan automatisk blokkere et betalingskortnummer eller en IP-adresse etter et visst antall mislykkede betalingsforsøk. Shopify mener ikke at dette har en betydelig juridisk effekt på kunder da den automatiserte blokkeringen bare varer en kort periode.

Ta stilling til disse spørsmålene:

  • Har du inkludert i personvernerklæringen din at Shopifys risiko- og svindelscreening kan bruke kunders personopplysninger til automatisert beslutningstaking? Du kan lese mer om Shopifys praksis for automatisert beslutningstaking i avsnitt 13 av personvernerklæringen. Du bør også bekrefte med en advokat basert på de spesifikke omstendighetene dine at denne tjenesten ikke har en betydelig juridisk effekt på kundene dine.
  • Bruker du tredjepartsapper som kan benytte automatisert beslutningstaking? Du bør være spesielt oppmerksom når du gjennomgår risiko- eller svindeltjenester fra tredjeparter du bruker i forbindelse med butikkfronten din, eller andre typer markedsførings- eller annonseringsapper som kan lage profiler eller målsegmenter med kundene dine.
  • Hvis du bruker tredjepartsapper som bruker automatisert beslutningstaking, må du varsle kundene dine eller be om samtykke for å bruke disse appene?

Varsel om datainnbrudd

Hvis personvernforordningen gjelder for deg og du opplever et datainnbrudd, er du muligens pålagt å varsle berørte brukere eller spesifikke tilsynsorgan.

Spesielt krever personvernforordningen varsel når det er sannsynlig at et datainnbrudd fører til en høy risiko for å berøre enkeltpersoners rettigheter og frihet.

Dette er sannsynlig hvis den berørte informasjonen

  • inkluderer betalingsinformasjon
  • kan brukes til å avsløre pinlig informasjon eller personopplysninger
  • kan brukes til å få tilgang til kontoene eller tjenestene til enkeltpersoner

Når det er aktuelt må du oppgi varsel så snart som 72 timer etter at du blir klar over innbruddet.

Ta stilling til disse spørsmålene:

  • Har du snakket med en advokat for å fastslå hvilken informasjon du samler inn og behandler, som kan kreve at du gir varsel hvis du opplever et datainnbrudd.
  • Har du en responsplan for datainnbrudd for forretningen din, slik at du er forberedt på slike hendelser?
  • inkluderer betalingsinformasjon
  • kan brukes til å avsløre pinlig informasjon eller personopplysninger
  • kan brukes til å få tilgang til kontoene eller tjenestene til enkeltpersoner

Personvernforordningen pålegger krav for alle bedrifter som bruker tredjepartsleverandører og -tjenesteleverandører til å behandle personopplysningene til brukerne.

Shopify bruker en rekke underleverandører av databehandling for å behandle kundedataene dine. Hvis du vil ha mer informasjon om Shopifys underleverandører av databehandling, kan du se Shopifys underleverandører av databehandling.

Tenk på følgende spørsmål:

  • Har du gjennomgått personvernpraksisen til leverandørene og tjenesteleverandørene du bruker, inkludert Shopify, for å sørge for at du er komfortabel med hvordan de beskytter kundenes personopplysninger?

Tredjepartsapper

Personvernforordningen krever at du tar en rekke bekreftende steg i forbindelse med innsamling og bruk av personopplysninger fra deg og tjenesteleverandørene dine. Dette inkluderer Shopify, men også tredjepartsapper du kan bruke i forbindelse med Shopify-butikken din.

Shopify har iverksatt tiltak for å gjøre det enklere for deg å forstå hvilke personopplysninger appene du installerer, har tilgang til.

Trinn:

  1. Fra Shopify-administratoren klikker du på Apper.

  2. Klikk på Se detaljer i appen du vil gjennomgå tillatelser for.

Du kan også gjennomgå apptillatelser før du installerer en app på installeringsskjermen i appbutikken.

I tillegg finnes det en del av appbutikken der hver app kan koble til en personvernerklæring som forklarer mer detaljert nøyaktig hvilke data apputviklere samler inn, og hvordan de bruker dem.

Selv om Shopify vil gjøre det så enkelt som mulig for deg å få tilgang til datapraksisen til appene du velger å installere, er det opp til deg å sikre at du bruker tredjepartsapper på en måte som er i samsvar med personvernforordningen.

Tenk på følgende spørsmål:

  • Bruker du tredjepartsapper på en måte som er i samsvar med personvernforordningen, basert på posisjonen din, posisjonene til kundene dine, posisjonene til apputviklerne dine og implementeringen din av hver enkelt app? Rådfør deg med en advokat hvis du har spørsmål om hvorvidt datapraksisen til en bestemt app kan kreve ekstra hensyn eller arbeid fra din side for å sikre overholdelse av personvernforordningen.

Internasjonale dataoverføringer

Personvernforordningen forbyr eksport av personopplysninger til europeere utenfor Europa, med mindre informasjonen blir tilstrekkelig beskyttet.

Shopify beskytter personopplysninger i henhold til kravene i personvernforordningen når de overføres til og behandles i USA og Canada.

Shopify har konfigurert dataflytene sine til å passe på disse kravene for forhandlere. Som beskrevet i avsnitt 12 av Shopifys personvernerklæring, blir alle europeiske personopplysninger først mottatt fra kjøpmenn og behandlet i Irland av Shopifys irske samarbeidspartner, Shopify International Ltd. Shopify overfører deretter disse dataene videre i henhold til personvernforordningen:

Internasjonale dataoverføringer i henhold til personvernforordningen

Hvis du vil ha mer informasjon om hvordan personopplysninger fra EØS mottas og behandles av Shopify i henhold til standardene i personvernforordringen og beste praksis for IT-sikkerhet, kan du lese Shopifys hvitbok for personvernforordningen (på engelsk).

Tenk på følgende spørsmål:

Har du sikret at andre parter du overfører data til, kommer til å overføre dataene over internasjonale grenser på en måte som er i samsvar med personvernforordningen? Du kan gjøre dette ved å se på personvernerklæringene til tredjepartsapper, kanaler, betalingsgatewayer eller andre leverandører og se om de forklarer hvordan de beskytter europeiske data.

Last ned Shopifys hvitbok for personvernforordningen

For å få mer informasjon om hvordan Shopify er i samsvar med personvernforordningen, og for å sørge for at du er i en posisjon til å være i samsvar i forbindelse med bruken av Shopify, kan du laste ned dokumentet Shopifys hvitbok for personvernforordningen (på engelsk).

Er du klar til å begynne å selge med Shopify?

Prøv det gratis