Jaki wpływ RODO ma na Ciebie?

Rozporządzenie o ochronie danych osobowych (RODO) dotyczy wszystkich sprzedawców Shopify mających siedzibę w Europie lub obsługujących klientów europejskich. Firma Shopify dokłada wszelkich starań, aby zapewnić sobie zgodność z RODO i umożliwić swoim sprzedawcom dostosowanie się do wymagań RODO od 25 maja 2018 roku. Należy również pamiętać, że RODO będzie wymagać od Ciebie podjęcia działań niezależnie od platformy Shopify.

Shopify chce zapewnić sprzedawcom najlepsze możliwości dostosowania się do prawa. Ten artykuł zawiera pytania, które mają za zadanie pomóc Ci ocenić swoje zobowiązania i upewnić się, że Twój sklep został skonfigurowany w sposób spełniający wymogi prawne.

Nie jest to jednak porada prawna. RODO to skomplikowana regulacja, która będzie stosowana w różny sposób dla różnych sprzedawców. Aby dowiedzieć się, co konkretnie musisz zrobić, skonsultuj się z prawnikiem.

Aby uzyskać informacje na temat przetwarzania żądań danych, zapoznaj się z informacjami zawartymi w sekcji Przetwarzanie żądań danych RODO.

Dlaczego Shopify nie obsługuje zgodności RODO dla sprzedawców?

RODO nakłada różne obowiązki na administratorów danych i podmioty przetwarzające dane. Jako podmiot przetwarzający dane, Shopify wypełnia swoje zobowiązania prawne wynikające z RODO. Jednak sprzedawcy (jako administratorzy) mają również własne, odrębne obowiązki, które muszą wziąć pod uwagę.

Shopify zapewnia sprzedawcom platformę, którą można skonfigurować w taki sposób, aby była zgodna z RODO, ale sprzedawca musi sam podjąć decyzję, w jaki sposób chce prowadzić firmę.

W celu uzyskania dalszych wskazówek należy się zapoznać ze szczegółowymi wytycznymi dotyczącymi RODO następujących organów regulacyjnych Unii Europejskiej:

Gromadzenie danych osobowych

RODO chroni podstawowe prawa osób fizycznych w Unii Europejskiej w zakresie przetwarzania danych osobowych.

Przykłady danych osobowych obejmują:

  • Nazwa
  • Adres
  • Adres e-mail
  • Konto mediów społecznościowych
  • Identyfikator cyfrowy, taki jak adres IP lub ID pliku cookie.

Rozważ następujące pytania:

  • Czy gromadzisz dane osobowe klientów z Europy? Większość stron internetowych jest dostępna dla mieszkańców Europy i będzie podlegać RODO.
  • Jeśli Twój sklep korzysta z aplikacji lub szablonów firm zewnętrznych, to czy one gromadzą i przetwarzają dane zgodnie z RODO? Aby uprościć ten proces, Shopify wymaga od wszystkich aplikacji opublikowania polityki prywatności opisującej szczegółowo zasady postępowania z danymi, aby użytkownik mógł ocenić, czy może zaakceptować te zasady podstępowania z danymi aplikacji. Aplikacje opracowane przez Shopify są objęte Aneksem dot. przetwarzania danych, a firma Shopify jest odpowiedzialna za ich zgodność.
  • Czy używane kanały lub bramki płatnicze gromadzą i przetwarzają dane zgodnie z RODO? Aby się upewnić, należy to sprawdzić.
  • Czy masz listę wszystkich rodzajów danych osobowych swoich klientów, które gromadzisz, oraz wszystkich sposobów, w jakie korzystasz z tych danych? Artykuł 30 RODO wymaga opracowania aktualnej mapy zasad przetwarzania danych.

Informacja o ochronie prywatności

RODO (a zwłaszcza art. 12-14) wymaga zapewnienia konkretnych informacji osobom, których dane przetwarzasz, zazwyczaj w formie informacji o ochronie prywatności lub polityki prywatności.

Możesz skorzystać z generatora polityki prywatności Shopify, aby rozpocząć pracę. Znajduje się on w ustawieniach, w opcji Realizacja zakupu lub online.

Rozważ następujące pytanie:

  • Czy zdefiniowałeś(-aś) politykę prywatności na swojej stronie, która zawiera wszystkie informacje wymagające podania zgodnie z przepisami? Czy obejmuje ona przynajmniej sposób, w jaki klienci mogą skontaktować się z Tobą w sprawie pytań dotyczących prywatności i korzystać ze swoich praw, na przykład prawa do usunięcia lub sprostowania (modyfikacji lub korekty) swoich danych oraz prawa dostępu do nich?
  • Czy Twoja polityka prywatności obejmuje sposób, w jaki Shopify może wykorzystywać dane osobowe Twoich klientów do zautomatyzowanej oceny ryzyka i oszustw? RODO wymaga ujawnienia ich wykorzystania przez Ciebie lub dostawcę usług w związku z procesem automatycznego podejmowania decyzji. Shopify wykorzystuje dane osobowe klientów do blokowania niektórych transakcji, które wydają się fałszywe, poprzez proces automatycznego podejmowania decyzji. Generator Polityki Prywatności Shopify zawiera te informacje. Aby uzyskać więcej informacji na temat tego systemu, zapoznaj się z informacjami zawartymi w sekcji Proces automatycznego podejmowania decyzji

Wyznaczenie inspektora ochrony danych

Inspektor ochrony danych (IOD) nadzoruje sposób, w jaki Twoja organizacja gromadzi i przetwarza dane osobowe. Jeśli podstawowa działalność firmy obejmuje śledzenie online na dużą skalę, RODO wymaga wyznaczenia IOD i podania informacji kontaktowych dla IOD w swojej Polityce Prywatności.

RODO obejmuje konkretne zadania, które IOD musi wykonać, takie jak przeprowadzanie oceny wpływu na ochronę danych zmian sposobu gromadzenia i przetwarzania danych przez organizację. IOD może być osobą wewnętrzną, która ma doświadczenie w zakresie wymogów RODO i ochrony danych, ale możesz również rozważyć współpracę z konsultantem lub firmą pełniącą funkcję zewnętrznego IOD.

Rozważ następujące pytania:

  • Na ile osób wpływa technologia śledzenia w Twojej witrynie sklepu? Przedmiotem analizy mogą być aplikacje do reklam behawioralnych, a nawet aplikacje do retargetingu. Ocena liczby osób, na które wpływa technologia śledzenia, jest decyzją prawną i należy się w jej sprawie skonsultować z prawnikiem zależnie od swojej sytuacji.
  • Czy należy dobrowolnie wyznaczyć IOD? Nawet jeśli nie jesteś prawnie zobowiązany(-a) do wyznaczenia IOD, jeśli Twoja działalność w Europie jest wystarczająco duża, możesz to zrobić dobrowolnie, aby upewnić się, że odpowiednio chronisz dane swoich klientów.

Umowy o przetwarzanie danych

Od administratora danych art. 28 RODO wymaga, aby w przypadku angażowania podmiotu przetwarzającego dane (takiego jak Shopify) do przetwarzania danych swoich klientów nakładał surowe wymagania umowne dotyczące sposobu, w jaki mogą oni wykorzystywać i przetwarzać te dane. Zwykle odbywa się to za pomocą Aneksu dot. przetwarzania danych lub DPA.

Shopify automatycznie włączył Umowę o przetwarzanie danych (https://www.shopify.com/legal/dpa) do warunków świadczenia usług, które mają na celu spełnienie wymogów art. 28.

W przypadku sprzedawców Shopify Plus ich wynegocjowane kontrakty będą regulować relacje z Shopify. Sprzedawcy Shopify Plus mogą podpisać Aneks dot. przetwarzania danych w celu zaspokojenia swoich potrzeb. Sprzedawcy Shopify Plus, którzy nie podpiszą Aneksu dot. przetwarzania danych, będą podlegać Aneksowi dot. przetwarzania danych online Shopify.

Rozważ następujące pytania:

  • Czy inne podmioty przetwarzające dane, z którymi współpracujesz poza Shopify, zobowiązują się umownie do ochrony danych klientów? Wiele zewnętrznych firm dostarczających aplikacje, kanały, bramki płatnicze lub innych podmiotów przetwarzających dane również automatycznie wprowadzi do swoich warunków Umowę o przetwarzanie danych. Czy konsultowałeś(-aś) się z każdą z tych firm zewnętrznych?

  • Czy jesteś sprzedawcą Shopify Plus z wynegocjowaną umową? Jeśli chcesz podpisać Aneks dot. przetwarzania danych, skorzystaj z pomocy technicznej Shopify Plus. Jej pracownicy mogą dostarczyć Ci szablon aneksu Shopify do podpisania.

Zgoda klienta

Zgodnie z RODO może być konieczne uzyskanie zgody na przetwarzanie danych osobowych klientów lub dokonanie zmiany sposobu uzyskiwania tej zgody.

Na przykład możesz potrzebować uzyskania zgody swoich klientów, jeśli wysyłasz im informacje marketingowe lub używasz reklam online lub aplikacji do retargetingu.

W przypadku konieczności uzyskania zgody RODO stanowi, że musi ona być:

  • Udzielona dobrowolnie: Musi być całkowicie dobrowolna i nie może być łączona z innymi towarami lub usługami.
  • Odnosząca się do określonej informacji: Musi być związana z jasno opisanymi przypadkami użycia.
  • Świadoma: Może zostać udzielona tylko wtedy, gdy osoba, której dane dotyczą, otrzyma wystarczającą ilość informacji o danych osobowych, które będą gromadzone i wykorzystywane.
  • Jednoznaczna: Musi zostać przedstawiona przez sprzedawcę za pomocą potwierdzającej czynności (to znaczy, że nie wystarczy samo dalsze korzystanie z usług).

Oznacza to, że klient musi otrzymać szczegółowe informacje na temat konkretnego przypadku użycia, a konsument musi podjąć czynności potwierdzające, aby wyrazić zgodę.

Jeśli oferujesz swoim klientom możliwość wyrażenia zgody na przetwarzanie danych osobowych, RODO wymaga również, aby mieli oni również możliwość wycofania zgody. Można ją często zapewnić poprzez funkcję rezygnacji z subskrypcji. Jeśli masz pytania dotyczące tego, kiedy i w jaki sposób należy uzyskać zgodę na gromadzenie danych osobowych lub w jakim zakresie Twoi klienci powinni mieć możliwość wycofania zgody, wówczas powinieneś(-aś) skontaktować się z prawnikiem znającym przepisy o ochronie danych osobowych.

Zgoda jest jednak tylko jedną z wielu podstaw prawnych w RODO, które mogą uzasadniać przetwarzanie danych osobowych. Możesz również przetwarzać dane osobowe w celu spełnienia wymogów umownych lub jeśli prawo wymaga przetwarzania danych.

Niektóre europejskie organy regulacyjne zasugerowały, że jeśli najpierw poprosisz o zgodę, a Twój klient odmówi lub wyrazi zgodę, ale następnie ją wycofa, wówczas możesz nie być już w stanie korzystać z żadnej innej podstawy prawnej do przetwarzania danych osobowych. W związku z tym na zgodzie należy polegać tylko wtedy, gdy nie zamierzasz (lub nie musisz) polegać na innej podstawie prawnej przetwarzania danych osobowych.

Rozważ następujące pytania:

  • Jaka jest podstawa prawna dla każdego innego sposobu wykorzystywania lub przetwarzania danych klientów? Czy przetwarzanie odbywa się za ich zgodą? Czy przetwarzasz dane w celu wypełnienia zobowiązań umownych wobec klienta? Czy przetwarzasz dane w celu rozszerzenia swoich uzasadnionych interesów biznesowych? Należy zapisać podstawę prawną jako część swojej mapy praktyk w zakresie danych, opisanych w sekcji Gromadzenie danych osobowych
  • Jeżeli polegasz na zgodzie, czy zgoda, którą otrzymujesz, jest powiązana z oferowanymi towarami lub usługami? Na przykład stwierdzenia takie jak by purchasing these goods, you agree to our use of your personal information mogą nie być już dozwolone w ramach RODO.
  • Czy podajesz wystarczająco dużo informacji o tym, jak będziesz wykorzystywać dane osobowe, aby mieć pewność, że zgoda klienta jest świadoma?
  • Czy zgoda klienta jest zapisywana i przechowywana?
  • Czy potrzebujesz zgody na wysyłanie komunikatów marketingowych do swoich klientów? Nawet jeśli nie potrzebujesz zgody na mocy RODO, lokalne prawo może wymagać od ciebie uzyskania zgody na wysyłanie wiadomości marketingowych do swoich klientów. Skonsultuj się z prawnikiem w zakresie specyficznych wymagań, które mogą mieć zastosowanie w przypadku Twojego sklepu.
  • Jeśli uważasz, że potrzebujesz zgody na wysyłanie wiadomości marketingowych, to czy pole wyboru zgody marketingowej w Twoim sklepie jest domyślnie odznaczone? Rozważ ustawienie witryny sklepu w taki sposób, aby pole wyboru zgody marketingowej prezentowane klientom nie było wstępnie zaznaczone domyślnie, aby upewnić się, że klienci muszą wyrazić zgodę w drodze czynności potwierdzającej.

Zgoda rodziców

RODO zawiera szczególne wymagania dotyczące zgody rodziców na przetwarzanie danych osobowych użytkowników w wieku poniżej 16 lat (w niektórych krajach ten wiek może być niższy).

Rozważ następujące pytanie:

  • Czy musisz zmienić sposób przetwarzania danych klienta, aby przerwać przetwarzanie danych użytkowników poniżej 16 roku życia lub uzyskać zgodę rodziców? Możesz to zrobić, uniemożliwiając użytkownikom poniżej 16 roku życia dostęp do Twojej strony za pomocą aplikacji bramkowania ze względu na wiek z Shopify App Store lub prosząc odwiedzających o potwierdzenie, że są w wieku powyżej 16 lat.

Proces automatycznego podejmowania decyzji

RODO wymaga powiadamiania klientów w przypadku korzystania z ich danych osobowych w procesie automatycznego podejmowania decyzji.

Proces automatycznego podejmowania decyzji oznacza stosowanie automatycznych algorytmów do podejmowania decyzji na temat tego, czy dana osoba spełnia wymogi dotyczące określonych usług lub ofert, czy może zostać obciążona określoną ceną lub czy może być zainteresowana określonymi rodzajami towarów lub usług.

Jeśli korzystasz z jakichkolwiek procesów, które obejmują w pełni zautomatyzowane podejmowanie decyzji (tj. bez udziału człowieka) i które będą miały znaczący wpływ prawny na klienta, potrzebujesz zgody klienta.

Proces Wymaganie
Proces automatycznego podejmowania decyzji Powiadomienie
W pełni zautomatyzowany proces podejmowania decyzji ze znaczącym skutkiem prawnym Zgoda

Ogólnie Shopify nie angażuje się we w pełni zautomatyzowane podejmowanie decyzji z wykorzystaniem danych osobowych klientów.

Jedynym wyjątkiem jest sprawdzanie ryzyka i oszustw wykonywane przez Shopify, w przypadku którego Shopify może automatycznie zablokować numer karty płatniczej lub adres IP po określonej liczbie nieudanych prób płatności. Shopify uważa, że nie ma to znaczącego wpływu prawnego na klientów, ponieważ automatyczne blokowanie trwa tylko przez krótki czas.

Rozważ następujące pytania:

  • Czy uwzględniłeś(-aś) w swojej polityce prywatności to, że sprawdzanie ryzyka i oszustw realizowane przez Shopify może wykorzystywać dane osobowe klientów do automatycznego podejmowania decyzji? Więcej informacji na temat zautomatyzowanych procedur podejmowania decyzji Shopify można znaleźć w rozdziale 13 Polityki prywatności. Należy również uzyskać potwierdzenie od prawnika, że w Twojej specyficznej sytuacji usługa ta nie ma znaczącego wpływu prawnego na Twoich klientów.
  • Czy korzystasz z aplikacji firm zewnętrznych, które mogą być zaangażowane w proces automatycznego podejmowania decyzji? Należy zwracać szczególną uwagę na sprawdzanie usług firm zewnętrznych obarczonych ryzykiem, m.in. ryzykiem oszustwa, które są używane w związku z witryną sklepu lub wszelkiego rodzaju aplikacji marketingowych lub reklamowych, które mogą tworzyć profile lub ukierunkowywać się na segmenty klientów.
  • Czy używając aplikacji firm zewnętrznych korzystających z procesu automatycznego podejmowania decyzji, musisz powiadomić o tym swoich klientów lub uzyskać ich zgodę na korzystanie z tych aplikacji?

Powiadomienie o naruszeniu danych

Jeśli RODO ma zastosowanie do Ciebie i będzie miało miejsce naruszenie danych, możesz być zobowiązany(-a) do powiadomienia użytkowników, których dotyczy naruszenie danych lub określonych organów regulacyjnych.

W szczególności RODO wymaga powiadomienia, gdy naruszenie danych może spowodować wysokie ryzyko negatywnego wpływu na prawa i wolności osób fizycznych.

Może mieć to miejsce, jeśli informacje, które podlegały naruszeniu:

  • Obejmują dane płatności.
  • Mogły być użyte do ujawnienia wstydliwych lub osobistych informacji.
  • Mogły być użyte do uzyskania dostępu do kont lub usług danej osoby.

W stosownych przypadkach należy powiadomić o naruszeniu w ciągu 72 godzin od momentu powzięcia wiadomości o naruszeniu.

Rozważ następujące pytania:

  • Czy konsultowałeś(-aś) się z prawnikiem w celu ustalenia, które z informacji, które gromadzisz i przetwarzasz, mogą wymagać powiadomienia w przypadku naruszenia danych?
  • Czy masz opracowany plan reakcji na naruszenie danych dla swojej firmy i jesteś przygotowany(-a) na taką sytuację?
  • Obejmują dane płatności.
  • Mogły być użyte do ujawnienia wstydliwych lub osobistych informacji.
  • Mogły być użyte do uzyskania dostępu do kont lub usług danej osoby.

RODO nakłada na każdą firmę, która korzysta z dostawców i usługodawców zewnętrznych, wymagania dotyczące przetwarzania danych osobowych użytkowników.

Shopify wykorzystuje szereg podprocesorów do przetwarzania danych klientów. Więcej informacji na temat podprocesorów Shopify można znaleźć w sekcji Podprocesorzy Shopify.

Rozważ następujące pytanie:

  • Czy zapoznałeś(-aś) się z praktykami prywatności dostawców i usługodawców, z których korzystasz, w tym Shopify, aby upewnić się, że czujesz się pewnie w kwestii ochrony danych osobowych swoich klientów?

Aplikacje firm zewnętrznych

RODO wymaga podjęcia szeregu kroków potwierdzających dotyczących gromadzenia i wykorzystywania danych osobowych przez Twoich usługodawców i usługodawców firm zewnętrznych. Obejmuje to Shopify, ale także aplikacje firm zewnętrznych, z których możesz korzystać w związku ze sklepem Shopify.

Firma Shopify podjęła działania, które mają ułatwić Ci zrozumienie, do jakich danych osobowych mają dostęp aplikacje, które instalujesz.

Kroki:

  1. W panelu administracyjnym Shopify kliknij opcję Aplikacje.

  2. Kliknij opcję Wyświetl szczegóły w aplikacji, dla której chcesz sprawdzić uprawnienia.

Możesz także sprawdzić uprawnienia aplikacji przed zainstalowaniem aplikacji na ekranie instalacji w sklepie z aplikacjami.

Ponadto w sklepie z aplikacjami znajduje się sekcja, z której każda aplikacja może łączyć się z polityką prywatności wyjaśniającą dokładniej, jakie dane gromadzą programiści aplikacji i w jaki sposób ich używają.

Celem Shopify jest zapewnienie jak najłatwiejszej oceny praktyk związanych z danymi aplikacji, które zdecydujesz się zainstalować, ale to do Ciebie należy zapewnienie wykorzystania aplikacji firm zewnętrznych w sposób zgodny z RODO.

Rozważ następujące pytanie:

  • Czy zależnie od Twojej lokalizacji, lokalizacji klientów, lokalizacji programistów aplikacji i wdrożenia każdej aplikacji korzystasz z aplikacji firm zewnętrznych w sposób zgodny z RODO? Skonsultuj się z prawnikiem, jeśli masz pytania dotyczące tego, czy określone praktyki dotyczące danych aplikacji mogą wymagać dodatkowego uwzględnienia lub działań z Twojej strony, aby zapewnić zgodność z RODO.

Międzynarodowe przesyłanie danych

RODO zabrania eksportowania danych osobowych mieszkańców Europy poza Europę, chyba że informacje te będą odpowiednio chronione.

Shopify chroni dane osobowe zgodnie z wymogami RODO, ponieważ są one przesyłane i przetwarzane w Stanach Zjednoczonych i Kanadzie.

Firma Shopify skonfigurowała przepływy danych, aby zapewnić realizację tych wymagań dla sprzedawców. Jak opisano w sekcji 12 Polityki prywatności Shopify, wszystkie europejskie dane osobowe są początkowo otrzymywane od sprzedawców i przetwarzane w Irlandii przez irlandzki oddział Shopify International Ltd. Shopify następnie przesyła te dane dalej, zgodnie z RODO:

Międzynarodowe przesyłanie danych RODO

Więcej informacji na temat odbioru i przetwarzania danych osobowych z Europejskiego Obszaru Gospodarczego (EEA) przez Shopify zgodnie ze standardami RODO i najlepszymi praktykami w zakresie bezpieczeństwa informacji można znaleźć w broszurze RODO Shopify (w języku angielskim).

Rozważ następujące pytanie:

Czy upewniłeś(-aś) się, że inne strony, do których przesyłasz dane, będą przekazywać te dane do innych krajów w sposób zgodny z RODO? Możesz tego dokonać, zapoznając się z politykami prywatności zewnętrznych firm dostarczających aplikacje, kanały, bramki płatnicze lub innych dostawców i sprawdzając, czy wyjaśniają one, w jaki sposób chronią dane europejskie.

Pobranie broszury RODO Shopify

Aby uzyskać więcej informacji na temat zgodności Shopify z RODO oraz aby upewnić się, że będziesz w stanie spełnić wymagania RODO, korzystając z Shopify, pobierz broszurę RODO Shopify (w języku angielskim).

Gotowy(-a) do rozpoczęcia sprzedaży za pomocą Shopify?

Wypróbuj za darmo