Vanlige spørsmål om GDPR

Finn ut mer om vanlige spørsmål knyttet til GDPR. Disse forklaringene er kun for informasjonsformål og utgjør ikke profesjonell, juridisk rådgivning. Rådfør deg med uavhengige, juridiske rådgivere for informasjon som er aktuell for landet ditt og spesifikke omstendigheter.

Hvorfor har ikke Shopify en avmerkingsboks av typen «godta vilkår og betingelser og personvernerklæring» i kassen?

Shopify har gått grundig gjennom GDPR og vi har utformet plattformen slik at den gir kjøpmennene våre en førsteklasses kommersiell brukeropplevelse som overholder personverns- og databeskyttelseslover som GDPR.

Oppnåelse av uttrykkelig, bekreftende samtykke fra kunder til å behandle dataene deres, når det innlemmes på riktig måte, kan være en nyttig måte å skape åpenhet for å oppnå kundenes tillit. Men når det ikke innlemmes på riktig måte, kan avmerkingsboksene være forvirrende for kunden, skape delte oppfatninger og kan til og med skape juridiske problemer for kjøpmenn i henhold til GDPR. På grunn av dette har vi valgt å ikke endre arbeidsflyten i kassen ved å inkludere en avmerkingsboks av typen «godta vilkår og betingelser og personvernerklæring» i kassen.

Nærmere bestemt gjør GDPR det klart at forhandlere kan innhente og behandle kundenes personopplysninger av mange grunner, inkludert dersom kunden har gitt samtykke på forhånd. Men GDPR anerkjenner at det kan være omstendigheter der personopplysninger kan måtte behandles separat og atskilt fra kundens samtykke, for eksempel:

Kjøpmenn er ofte avhengige av mange av disse juridiske grunnlagene med tanke på de ulike måtene de kan behandle kundenes data på. Som eksempel må kanskje en kjøpmann bruke leveringsadressen til en kunde for å faktisk utføre bestillingen og kjøpmannens kontrakt med kunden. På lignende måte kan en kjøpmann være juridisk forpliktet til å behandle personopplysninger for å besvare en stevning eller i forbindelse med en skatterevisjon. Og en kjøpmann kan ha tilgang til personopplysninger for en rekke legitime interesser.

Samtidig har regulerende, europeiske myndigheter gjort det klart at samtykke er det viktigste av disse ulike berettigelsene. Nærmere bestemt har regulerende myndigheter foreslått at når kjøpmenn ber om samtykke for å behandle data til et bestemt formål, kan de ikke lenger henvise til de juridiske grunnlagene over (som for eksempel kontrakter eller legitime interesser). I tillegg har regulerende myndigheter varslet at samtykke ikke kan gjøres til en betingelse for å motta varer eller tjenester.

Hvorfor er alt dette viktig? Tenk på hva som hadde skjedd hvis en kjøpmann faktisk la til en avmerkingsboks av typen «godta vilkår og betingelser og personvernerklæring» i kassen. Hvis kunden ikke velger å samtykke (eller hvis kundens samtykker og deretter trekker samtykket, som er en rett enkeltpersoner har i henhold til GDPR), kan ikke en kjøpmann lenger ha tiltro til berettigelsene oppført ovenfor. Så kjøpmannen kan være i en posisjon der vedkommende i henhold til GDPR ikke ikke kan behandle kundenes personopplysninger på lovlig vis for å behandle eller utføre en bestilling. Samtidig, hvis kjøpmannen endrer kassen slik at denne avmerkingsboksen er obligatorisk for å fullføre transaksjonen, blir samtykke til en forutsetning for å motta varer og tjenester og kan dermed være ugyldig i henhold til GDPR i utgangspunktet.

Denne kompleksiteten har ført til at en rekke regulerende myndigheter ber folk om å utøve forsiktighet med tanke på å be om eller ha tiltro til samtykke der det kanskje ikke er hensiktsmessig. Som eksempel har kontoret til den britiske informasjonskommisæren gitt følgende råd:

«Samtykke er hensiktsmessig hvis du kan gi folk et faktisk valg og kontroll over hvordan du bruker dataene deres, og du vil bygge tillit og skape engasjement. Men hvis du ikke kan tilby et genuint valg, er ikke samtykke hensiktsmessig. Hvis du fremdeles vil behandle personopplysninger uten samtykke, er det villedende å be om samtykke, og det er i seg selv urettferdig.

Hvis du vil gjøre samtykke til en forutsetning for en tjeneste, er det sannsynligvis ikke det mest hensiktsmessige juridiske grunnlaget.

Offentlige myndigheter, arbeidsgivere og andre organisasjoner med makt over andre enkeltpersoner bør unngå å ha tiltro til samtykke, med mindre de er sikre på at de kan demonstrere at det gis på fritt grunnlag.»

Vi ønsker å gjøre vårt beste for å støtte kjøpmennene våre og hjelpe dem med å unngå problematiske juridiske konsekvenser. Men samtidig forstår vi at kjøpmenn har et behov for føle seg trygg på at de har tillit blant kundene. Som et resultat av dette har vi sørget for at kjøpmenn kan legge til en avmerkingsboks av typen «godta vilkår og betingelser» i handlekurven (ikke på betalingssiden). Du finner mer informasjon om hvordan du gjør dette i hjelpedokumentene.

Hvorfor kan jeg ikke signere en databehandleravtale (DPA) med Shopify?

GDPR krever at databehandlere skal være bundet av en skriftlig kontrakt (som inkluderer kontrakter i elektronisk format) for hver behandlingsansvarlig ved behandling av personopplysninger. Disse kontraktene skal spesifisere hvilke personopplysninger som behandles, samt forpliktelsene og rettighetene til databehandleren og den behandlingsansvarlige. Disse kontraktene kalles ofte databehandleravtaler (DPA). Kort sagt er DPA en avtale om at Shopify kun behandler personopplysningene de får oppgitt på den måten som er spesifisert av hver enkelt kjøpmann, ettersom kjøpmannen er behandlingsansvarlig.

For å utføre dette kravet har Shopify lagt til en tilføyelse for databehandling i vilkårene for bruk. (Det kalles en «tilføyelse» og ikke en «avtale» fordi den er lagt til som et vedlegg til vilkårene for bruk og ikke er en egen avtale.)

Som kjøpmann godtar du vilkårene for bruk og, ved utvidelse, tilføyelsen for databehandling når du registrerer deg for Shopifys tjenester, og du godtar eventuelle oppdateringer i vilkårene for bruk (for eksempel oppdateringen vår som la til tilføyelsen om databehandling) ved å fortsette å bruke tjenestene.

Det er viktig å merke seg at vilkårene for bruk reguleres av loven i Ontario og ikke loven i jurisdiksjonen du befinner deg i. Så mens andre regionale lover, som for eksempel GDPR, godt kan dekke forretningen din og måten du behandler data på, og som kan kreve at du har en bindende kontrakt med tjenesteleverandørene (for eksempel Shopify), fastslår ikke nødvendigvis de andre regionale lovene om en kontrakt er bindende eller ikke. Med tanke på kontrakten din med oss avgjøres spørsmålet om hvorvidt DPA-en er en bindende kontrakt av loven i Ontario.

Som et resultat av dette, selv om jurisdiksjonen din krever at en kontrakt (for eksempel DPA) skal signeres, spiller det kanskje ingen rolle med tanke på DPA-en din. I henhold til loven i Ontario er vi av den oppfatning at ved å fortsette å bruke tjenesten etter at vilkårene har blitt oppdatert, er både du og Shopify bundet av de nye, endrede vilkårene for bruk. Når du fortsetter å bruke Shopify, mener vi at du har inngått en bindende kontrakt med oss som inkluderer tilføyelsen om databehandling slik det kreves av GDPR.

Hva må jeg gjøre hvis jeg har flere spørsmål om GDPR eller mine lokale personvernlover?

Kontakt en lokal advokat som spesialiserer seg på lover om personvern eller databeskyttelse.

Hvem kan jeg kontakte for å få mer informasjon om Shopifys praksis?

Kontakt privacy@shopify.com hvis du vil ha mer informasjon om Shopify praksis.

Hvis jeg bruker Shopify som vert for butikken, overholder da forretningen GDPR?

Ikke automatisk. Til tross for at Shopifys drift overholder GDPR, og Shopify gir kjøpmennene verktøy for å hjelpe dem med overholdelse, står hver enkelt kjøpmann ansvarlig for å sørge for at forretningen overholder lovene til jurisdiksjonen den opererer i.

Bruk av Shopifys plattform garanterer ikke alene at en bedrift overholder GDPR.

Signerer Shopify standard kontraktsvilkår?

Nei. Som beskrevet i dataoverføringsdelen i hvitboken (på engelsk) har Shopify konstruert dataflyten slik at forhandlere overfører data til Shopifys irske samarbeidspartner i Europa. Av den grunn er ikke standard kontraktsvilkår egnet, da de er godkjent for overføringer mellom en europeisk og en ikke-europeisk part.

I tillegg, med tanke på direkte overføringer til Shopify Inc., er Shopify i slike tilfeller avhengig av Europakommisjonens avgjørelse om tilstrekkelighet i henhold til Canadas personvernlov, som gjelder for Shopify Inc. som et kanadisk firma.

Er du klar til å begynne å selge med Shopify?

Prøv det gratis