Veelgestelde vragen over AVG

Lees veelgestelde vragen met betrekking tot de AVG. Deze uitleg is alleen bedoeld voor informatieve doeleinden en moet niet worden beschouwd als professioneel juridisch advies. Raadpleeg een onafhankelijk juridisch adviseur voor specifieke informatie over uw land en omstandigheden.

Waarom biedt Shopify op de betaalpagina geen selectievakje om akkoord te gaan met de algemene voorwaarden en het privacybeleid?

Shopify heeft zeer zorgvuldig over de AVG nagedacht, en we hebben ons platform zodanig ontworpen dat we onze merchants een eersteklas commerce-ervaring bieden die voldoet aan privacy- en gegevensbeschermingswetten zoals de AVG.

Het verkrijgen van uitdrukkelijke, bevestigende toestemming van klanten om hun gegevens te verwerken, kan een nuttige manier zijn om transparantie te bieden aan en het vertrouwen te winnen van de klant, mits deze toestemmingsprocedure correct wordt geïmplementeerd. Wanneer deze niet correct wordt geïmplementeerd, kunnen selectievakjes verwarrend zijn voor de klant, verkeerde verwachtingen wekken en zelfs juridische problemen veroorzaken voor merchants onder de AVG. We hebben er daarom voor gekozen onze betaalworkflow niet aan te passen en op de betaalpagina geen selectievakje te bieden om akkoord te gaan met de algemene voorwaarden en het privacybeleid.

In het bijzonder maakt de AVG duidelijk dat merchants om vele redenen persoonlijke gegevens van klanten kunnen verzamelen en verwerken, inclusief als de klant zijn geïnformeerde toestemming heeft gegeven. De AVG erkent echter dat er vele omstandigheden kunnen zijn waarin persoonlijke gegevens afzonderlijk en zonder toestemming van de klant moeten worden verwerkt, zoals:

Merchants zullen waarschijnlijk op vele van deze rechtsgrondslagen vertrouwen met betrekking tot de verschillende manieren waarop ze de gegevens van hun klanten kunnen verwerken. Een merchant moet bijvoorbeeld het verzendadres van een klant gebruiken om de bestelling daadwerkelijk te vervullen en zijn contract met de klant na te komen. Ook kan een merchant wettelijk verplicht zijn persoonlijke gegevens te verwerken om te reageren op een dagvaarding of in de context van een belastingcontrole. Een merchant kan persoonlijke gegevens ook verwerken voor een aantal andere legitieme belangen.

Tegelijkertijd hebben Europese regelgevende instanties duidelijk gemaakt dat toestemming de belangrijkste van deze verschillende rechtvaardigingen is. Regelgevende instanties hebben met name gesuggereerd dat, zodra een merchant om toestemming vraagt om gegevens voor een bepaald doel te verwerken, zij mogelijk niet langer kunnen vertrouwen op de bovenstaande rechtsgrondslagen (zoals contracten of legitieme belangen). Daarnaast hebben regelgevende instanties gewaarschuwd dat toestemming geen voorwaarde kan zijn voor het ontvangen van goederen of services.

Waarom is dit allemaal belangrijk? Laten we even nadenken over wat er zou gebeuren als een merchant op de betaalpagina wél een selectievakje zou bieden om akkoord te gaan met de algemene voorwaarden en het privacybeleid. Als de klant geen toestemming geeft (of wel toestemming geeft maar zijn toestemming vervolgens intrekt – een recht dat aan individuen wordt verleend krachtens de AVG), kan een merchant mogelijk niet langer vertrouwen op de andere bovengenoemde rechtvaardigingen. De merchant kan zich dus in een positie bevinden waarin hij onder de AVG de persoonlijke gegevens van de klant niet wettelijk kan verwerken om een bestelling te verwerken of vervullen. En als de merchant de betaalpagina zodanig zou aanpassen dat dit selectievakje moet worden ingeschakeld om de transactie te kunnen voltooien, zou toestemming een voorwaarde zijn voor het ontvangen van de goederen of services en zou dit dus mogelijk sowieso niet geldig zijn onder de AVG.

Deze complexiteit heeft ertoe geleid dat een aantal regelgevende instanties heeft gewaarschuwd tegen het vragen om of vertrouwen op toestemming waar dit misschien niet gepast is. Het Britse Information Commissioner's Office heeft bijvoorbeeld geadviseerd:

"Toestemming is gepast als u mensen een echte keuze en controle over hoe u hun gegevens gebruikt kunt bieden en hun vertrouwen en betrokkenheid wilt vergroten. Als u echter geen echte keuze kunt bieden, is toestemming niet gepast. Als u de persoonlijke gegevens toch zonder toestemming zou verwerken, is het vragen om toestemming misleidend en inherent oneerlijk.

Als u toestemming een voorwaarde voor een service maakt, is dit waarschijnlijk niet de meest gepaste rechtsgrondslag.

Overheidsinstanties, werkgevers en andere organisaties met een machtspositie moeten niet op toestemming vertrouwen, tenzij ze er zeker van zijn dat ze kunnen aantonen dat die vrijelijk wordt gegeven."

We willen ons best doen om onze merchants te ondersteunen en hen te helpen problematische juridische consequenties te vermijden. Tegelijkertijd begrijpen we echter dat merchants uiteindelijk het gevoel moeten hebben dat ze het vertrouwen van hun klanten hebben. We hebben er daarom voor gezorgd dat merchants op de winkelwagenpagina (niet de betaalpagina) een selectievakje kunnen toevoegen om akkoord te gaan met de algemene voorwaarden. Raadpleeg onze Help-documenten voor meer informatie over hoe u dit kunt doen.

Waarom kan ik geen gegevensverwerkingsovereenkomst (Data Processing Agreement, oftewel DPA) ondertekenen voor Shopify?

De AVG vereist dat gegevensverwerkers gebonden zijn door een schriftelijk contract (waaronder contracten in elektronische vorm) met elke gegevensbeheerder om persoonlijke gegevens te kunnen verwerken. Deze contracten moeten specificeren welke persoonlijke gegevens worden verwerkt en wat de verplichtingen en rechten van de verwerker en beheerder zijn. Deze contracten worden vaak gegevensverwerkingsovereenkomsten (Data Processing Agreements, oftewel DPA's) genoemd. Een DPA is in wezen een overeenkomst dat Shopify de persoonlijke gegevens die worden verstrekt alleen verwerkt op de manier die de merchant specificeert, omdat de merchant de beheerder van de gegevens is.

Om aan deze vereiste te voldoen, heeft Shopify een Addendum over gegevensverwerking aan zijn Servicevoorwaarden toegevoegd. (Dit is een 'Addendum' en geen 'Overeenkomst' omdat het aan de Servicevoorwaarden wordt toegevoegd en geen afzonderlijke overeenkomst is.)

Als merchant gaat u akkoord met de Servicevoorwaarden en, bij uitbreiding, het Addendum over gegevensverwerking wanneer u zich registreert voor de services van Shopify, en gaat u akkoord met eventuele updates van de Servicevoorwaarden (bijvoorbeeld onze update waarbij het Addendum over gegevensverwerking werd toegevoegd) door gebruik te blijven maken van de services.

Het is belangrijk op te merken dat de Servicevoorwaarden onder de wetgeving van Ontario vallen en niet onder de wetgeving van het rechtsgebied waarin u woont. Dus hoewel andere regionale wetten, zoals de AVG, zeker betrekking kunnen hebben op je bedrijf en hoe u gegevens verwerkt, en kunnen vereisen dat u een bindend contract met je serviceproviders (zoals Shopify) hebt, bepalen die andere regionale wetten niet noodzakelijkerwijs of een contract bindend is of niet. In het geval van je contract met ons wordt de vraag of de DPA een bindend contract is, bepaald door verwijzing naar de wetgeving van Ontario.

Dus zelfs als uw rechtsgebied vereist dat een contract (zoals de DPA) wordt ondertekend, maakt dat misschien niets uit met betrekking tot uw DPA. Volgens de wetgeving van Ontario zijn wij van mening dat door onze service te blijven gebruiken nadat onze voorwaarden zijn bijgewerkt, zowel Shopify als u gebonden is aan de nieuwe, gewijzigde Servicevoorwaarden. Wanneer u Shopify blijft gebruiken, zijn wij van mening dat u een bindend contract met ons bent aangegaan dat ons Addendum over gegevensverwerking bevat, zoals vereist door de AVG.

Wat moet ik doen als ik meer vragen heb over de AVG of mijn lokale privacywetgeving?

Neem contact op met een lokale advocaat die gespecialiseerd is in privacy- of gegevensbeschermingswetgeving.

Met wie kan ik contact opnemen voor meer informatie over de werkwijze van Shopify?

Stuur een e-mail naar privacy@shopify.com voor meer informatie over de werkwijze van Shopify.

Als ik Shopify gebruik om mijn winkel te hosten, voldoet mijn bedrijf dan aan de AVG?

Niet automatisch. Hoewel de activiteiten van Shopify aan de AVG voldoen en Shopify hulpmiddelen zal bieden om zijn merchants te helpen eraan te voldoen, is het de verantwoordelijkheid van elke merchant om ervoor te zorgen dat zijn bedrijf de wetten naleeft van het rechtsgebied waarin het bedrijf opereert.

Het gebruik van het platform van Shopify alleen garandeert niet dat een bedrijf aan de AVG voldoet.

Zal Shopify standaardcontractbepalingen ondertekenen?

Nee. Zoals beschreven in het gedeelte Gegevensoverdrachten van onze whitepaper (in het Engels), heeft Shopify zijn gegevensstromen zodanig gestructureerd dat merchants gegevens overdragen naar Shopify's Ierse dochteronderneming in Europa. Standaardcontractbepalingen zijn daarom niet geschikt, omdat ze worden goedgekeurd voor overdrachten tussen een Europese partij en een niet-Europese partij.

Met betrekking tot overdrachten rechtstreeks naar Shopify Inc. zou Shopify in dergelijke gevallen bovendien vertrouwen op de adequaatheidsbeslissing van de Europese Commissie betreffende de Canadese privacywetgeving, die zich uitstrekt tot Shopify Inc. als een Canadese onderneming.

Klaar om te beginnen met verkopen met Shopify?

Probeer het gratis