Veelgestelde vragen over AVG

Lees veelgestelde vragen met betrekking tot de AVG. Deze uitleg is alleen bedoeld voor informatieve doeleinden en moet niet worden beschouwd als professioneel juridisch advies. Raadpleeg een onafhankelijk juridisch adviseur voor specifieke informatie over je land en omstandigheden.

Waarom biedt Shopify op de checkoutpagina geen selectievakje om akkoord te gaan met de algemene voorwaarden en het privacybeleid?

Shopify heeft zeer zorgvuldig over de AVG nagedacht, en we hebben ons platform zodanig ontworpen dat we onze merchants een eersteklas commerce-ervaring bieden die voldoet aan privacy- en gegevensbeschermingswetten zoals de AVG.

Het verkrijgen van uitdrukkelijke, bevestigende toestemming van klanten om hun gegevens te verwerken, kan een nuttige manier zijn om transparantie te bieden aan en het vertrouwen te winnen van de klant, mits deze toestemmingsprocedure correct wordt geïmplementeerd. Wanneer deze niet correct wordt geïmplementeerd, kunnen selectievakjes verwarrend zijn voor de klant, verkeerde verwachtingen wekken en zelfs juridische problemen veroorzaken voor merchants onder de AVG. We hebben er daarom voor gekozen onze betaalworkflow niet aan te passen en op de betaalpagina geen selectievakje te bieden om akkoord te gaan met de algemene voorwaarden en het privacybeleid.

In het bijzonder maakt de AVG duidelijk dat merchants om vele redenen persoonlijke gegevens van klanten kunnen verzamelen en verwerken, inclusief als de klant zijn of haar geïnformeerde toestemming heeft gegeven. De AVG erkent echter dat er vele omstandigheden kunnen zijn waarin persoonlijke gegevens afzonderlijk en zonder toestemming van de klant moeten worden verwerkt, zoals:

Merchants zullen waarschijnlijk op vele van deze rechtsgrondslagen vertrouwen met betrekking tot de verschillende manieren waarop ze de gegevens van hun klanten kunnen verwerken. Een merchant moet bijvoorbeeld het bezorgadres van een klant gebruiken om de bestelling daadwerkelijk af te handelen en zijn contract met de klant na te komen. Ook kan een merchant wettelijk verplicht zijn persoonlijke gegevens te verwerken om te reageren op een dagvaarding of in de context van een belastingcontrole. Een merchant kan persoonlijke gegevens ook verwerken voor een aantal andere legitieme belangen.

Tegelijkertijd hebben Europese regelgevende instanties duidelijk gemaakt dat toestemming de belangrijkste van deze verschillende rechtvaardigingen is. Regelgevende instanties hebben met name gesuggereerd dat, zodra een merchant om toestemming vraagt om gegevens voor een bepaald doel te verwerken, zij mogelijk niet langer kunnen vertrouwen op de bovenstaande rechtsgrondslagen (zoals contracten of legitieme belangen). Daarnaast hebben regelgevende instanties gewaarschuwd dat toestemming geen voorwaarde kan zijn voor het ontvangen van goederen of services.

Waarom is dit allemaal belangrijk? Laten we even nadenken over wat er zou gebeuren als een merchant op de checkoutpagina wél een selectievakje zou bieden om akkoord te gaan met de algemene voorwaarden en het privacybeleid. Als de klant geen toestemming geeft (of wel toestemming geeft maar zijn toestemming vervolgens intrekt – een recht dat aan individuen wordt verleend krachtens de AVG), kan een merchant mogelijk niet langer vertrouwen op de andere bovengenoemde rechtvaardigingen. De merchant kan zich dus in een positie bevinden waarin hij onder de AVG de persoonlijke gegevens van de klant niet wettelijk kan verwerken om een bestelling te verwerken of vervullen. En als de merchant de checkoutpagina zodanig zou aanpassen dat dit selectievakje moet worden ingeschakeld om de transactie te kunnen voltooien, zou toestemming een voorwaarde zijn voor het ontvangen van de goederen of services en zou dit dus mogelijk sowieso niet geldig zijn onder de AVG.

Deze complexiteit heeft ertoe geleid dat een aantal regelgevende instanties heeft gewaarschuwd tegen het vragen om of vertrouwen op toestemming waar dit misschien niet gepast is. Het Britse Information Commissioner's Office heeft bijvoorbeeld geadviseerd:

"Toestemming is gepast als je mensen een echte keuze en controle over hoe je hun gegevens gebruikt kunt bieden en hun vertrouwen en betrokkenheid wilt vergroten. Als je echter geen echte keuze kunt bieden, is toestemming niet gepast. Als je de persoonlijke gegevens toch zonder toestemming zou verwerken, is het vragen om toestemming misleidend en inherent oneerlijk.

Als je toestemming een voorwaarde voor een service maakt, is dit waarschijnlijk niet de meest gepaste rechtsgrondslag.

Overheidsinstanties, werkgevers en andere organisaties met een machtspositie moeten niet op toestemming vertrouwen, tenzij ze er zeker van zijn dat ze kunnen aantonen dat die vrijelijk wordt gegeven."

We willen ons best doen om onze merchants te ondersteunen en hen te helpen problematische juridische gevolgen te voorkomen. Tegelijkertijd begrijpen we dat merchants zich toch ook op hun gemak moeten voelen dat ze het vertrouwen van hun klanten hebben. In dit geval kun je een Shopify Expert inhuren om je te helpen een selectievakje Accepteert de algemene voorwaarden toe te voegen op de winkelwagenpagina (niet op de checkoutpagina).

Waarom kan ik geen gegevensverwerkingsovereenkomst (Data Processing Agreement, oftewel DPA) ondertekenen voor Shopify?

De AVG vereist dat verwerkers gebonden zijn door een schriftelijk contract (waaronder contracten in elektronische vorm) met elke verwerkingsverantwoordelijke om persoonlijke gegevens te kunnen verwerken. Deze contracten moeten specificeren welke persoonlijke gegevens worden verwerkt en wat de verplichtingen en rechten van de verwerker en verwerkingsverantwoordelijke zijn. Deze contracten worden vaak gegevensverwerkingsovereenkomsten (Data Processing Agreements, oftewel DPA's) genoemd. Een DPA is in wezen een overeenkomst dat Shopify de persoonlijke gegevens die worden verstrekt alleen verwerkt op de manier die de merchant specificeert, omdat de merchant de verwerkingsverantwoordelijke van de gegevens is.

Om aan deze vereiste te voldoen, heeft Shopify een Addendum over gegevensverwerking aan zijn Servicevoorwaarden toegevoegd. (Dit is een 'Addendum' en geen 'Overeenkomst' omdat het aan de Servicevoorwaarden wordt toegevoegd en geen afzonderlijke overeenkomst is.)

Als merchant ga je akkoord met de Servicevoorwaarden en, bij uitbreiding, het Addendum over gegevensverwerking wanneer je je registreert voor de services van Shopify, en ga je akkoord met eventuele updates van de Servicevoorwaarden (bijvoorbeeld onze update waarbij het Addendum over gegevensverwerking werd toegevoegd) door gebruik te blijven maken van de services.

Het is belangrijk op te merken dat de Servicevoorwaarden onder de wetgeving van Ontario vallen en niet onder de wetgeving van het rechtsgebied waarin je woont. Dus hoewel andere regionale wetten, zoals de AVG, zeker betrekking kunnen hebben op je bedrijf en hoe je gegevens verwerkt, en kunnen vereisen dat je een bindend contract met je serviceproviders (zoals Shopify) hebt, bepalen die andere regionale wetten niet noodzakelijkerwijs of een contract bindend is of niet. In het geval van je contract met ons wordt de vraag of de DPA een bindend contract is, bepaald door verwijzing naar de wetgeving van Ontario.

Dus zelfs als je rechtsgebied vereist dat een contract (zoals de DPA) wordt ondertekend, maakt dat misschien niets uit met betrekking tot je DPA. Volgens de wetgeving van Ontario zijn wij van mening dat door onze service te blijven gebruiken nadat onze voorwaarden zijn bijgewerkt, zowel Shopify als je gebonden is aan de nieuwe, gewijzigde Servicevoorwaarden. Wanneer je Shopify blijft gebruiken, zijn wij van mening dat je een bindend contract met ons bent aangegaan dat ons Addendum over gegevensverwerking bevat, zoals vereist door de AVG.

Wat moet ik doen als ik meer vragen heb over de AVG of mijn lokale privacywetgeving?

Neem contact op met een lokale advocaat die gespecialiseerd is in privacy- of gegevensbeschermingswetgeving.

Met wie kan ik contact opnemen voor meer informatie over de werkwijze van Shopify?

Neem contact op met de Shopify-ondersteuning voor meer informatie over de praktijken van Shopify.

Als ik Shopify gebruik om mijn winkel te hosten, voldoet mijn bedrijf dan aan de AVG?

Niet automatisch. Hoewel de activiteiten van Shopify aan de AVG voldoen en Shopify tools zal bieden om zijn merchants te helpen eraan te voldoen, is het de verantwoordelijkheid van elke merchant om ervoor te zorgen dat zijn bedrijf de wetten naleeft van het rechtsgebied waarin het bedrijf opereert.

Het gebruik van het platform van Shopify alleen garandeert niet dat een bedrijf aan de AVG voldoet.

Zal Shopify modelcontractbepalingen ondertekenen?

Nee. Shopify heeft zijn gegevensstromen zo gestructureerd dat merchants gegevens overdragen aan de Ierse affiliate van Shopify binnen Europa. Modelcontractbepalingen zijn daarom niet geschikt, omdat ze worden goedgekeurd voor overdrachten tussen een Europese partij en een niet-Europese partij.

Met betrekking tot overdrachten rechtstreeks naar Shopify Inc. zou Shopify in dergelijke gevallen bovendien vertrouwen op de adequaatheidsbeslissing van de Europese Commissie betreffende de Canadese privacywetgeving, die zich uitstrekt tot Shopify Inc. als een Canadese onderneming.

Klaar om te beginnen met verkopen met Shopify?

Probeer het gratis