Często zadawane pytania dot. RODO

Zapoznaj się z często zadawanymi pytaniami związanymi z RODO. Niniejsze wyjaśnienia mają charakter wyłącznie informacyjny i nie stanowią profesjonalnej porady prawnej. Aby uzyskać informacje specyficzne dla Twojego kraju i okoliczności, zasięgnij niezależnej porady prawnej.

Dlaczego Shopify nie udostępnia pola wyboru „Zgadzam się na Zasady i warunki oraz politykę prywatności” podczas realizacji zakupu?

Firma Shopify bardzo uważnie zapoznała się z RODO i zaprojektowała swoją platformę tak, aby zapewnić naszym sprzedawcom najlepsze w swojej klasie warunki handlowe, które są zgodne z przepisami dotyczącymi prywatności i ochrony danych, takimi jak RODO.

Uzyskanie wyraźnej, potwierdzającej zgody klientów na przetwarzanie ich danych może, jeśli zostanie prawidłowo wdrożone, być pomocnym sposobem zapewnienia przejrzystości i zdobycia zaufania klienta. Ale jeśli te pola wyboru nie zostaną odpowiednio wdrożone, mogą być mylące dla klienta, generować nieodpowiednie oczekiwania, a nawet stwarzać problemy prawne dla sprzedawców w związku z RODO. W związku z tymi obawami zdecydowaliśmy się nie modyfikować naszego procesu realizacji zakupu tak, aby zawierał pole wyboru „Zgadzam się na zasady i warunki oraz politykę prywatności”.

W szczególności RODO wyjaśnia, że sprzedawcy mogą gromadzić i przetwarzać dane osobowe klientów z wielu powodów, w tym w przypadku świadomego wyrażenia zgody przez klienta. Jednak RODO uznaje, że może zaistnieć wiele okoliczności, w których dane osobowe będą musiały być przetwarzane oddzielnie i niezależnie od zgody klienta, np:

Sprzedawcy będą prawdopodobnie polegać na wielu z tych podstaw prawnych, zależnie od różnych sposobów przetwarzania danych swoich klientów. Na przykład, sprzedawca może potrzebować adresu wysyłki klienta, aby praktycznie zrealizować zamówienie i umowę z klientem. Podobnie, sprzedawca może być prawnie zobowiązany do przetwarzania danych osobowych w celu udzielenia odpowiedzi na wezwanie sądowe lub w kontekście kontroli podatkowej. Sprzedawca może także przetwarzać dane osobowe w związku z dowolną liczbą innych uzasadnionych interesów.

Jednocześnie europejskie organy regulacyjne wyraźnie stwierdziły, że zgoda jest najważniejszym z tych różnych uzasadnień. W szczególności organy regulacyjne zasugerowały, że gdy handlowiec zwróci się o wyrażenie zgody na przetwarzanie danych w określonym celu, może nie być już w stanie oprzeć się na powyższych podstawach prawnych (takich jak umowy lub uzasadnione interesy). Ponadto organy regulacyjne ostrzegają, że zgoda nie może być warunkiem otrzymania towarów lub usług.

Dlaczego to wszystko ma znaczenie? Zastanówmy się, co by się stało, gdyby sprzedawca dodał pole wyboru "Zgadzam się na zasady i warunki oraz politykę prywatności" podczas realizacji zakupu. Jeśli klient nie zdecyduje się wyrazić zgody (lub, jeśli klient wyrazi zgodę, a następnie ją wycofa - co jest prawem mu przysługującym na mocy RODO), wówczas sprzedawca może nie mieć możliwości odwołania się do innych wymienionych powyżej uzasadnień. Sprzedawca może więc znaleźć się w sytuacji, w której zgodnie z RODO nie może legalnie przetwarzać danych osobowych klienta w celu przetworzenia lub realizacji zamówienia. Jednocześnie, jeśli sprzedawca zmodyfikowałby proces realizacji zakupu, aby to pole wyboru było obowiązkowe do realizacji transakcji, zgoda byłaby warunkiem wstępnym otrzymania towarów lub usług, a zatem mogłaby nie być ważna przede wszystkim w ramach RODO.

Złożoność tego zagadnienia sprawiła, że szereg organów regulacyjnych zachowuje ostrożność, zwracając się do klientów z prośbą o wyrażenie zgody lub polegając na niej w przypadkach, w których może to nie być właściwe. Na przykład zalecenie brytyjskiego Biura komisarza ds. informacji brzmi:

„Zgoda jest odpowiednia, jeśli możesz zaoferować ludziom rzeczywisty wybór i kontrolę nad tym, w jaki sposób korzystasz z ich danych, i jeśli chcesz budować ich zaufanie i zaangażowanie. Ale jeśli nie możesz zaoferować faktycznego wyboru, zgoda nie jest właściwa. Jeśli nadal przetwarzasz dane osobowe bez zgody, prośba o zgodę wprowadza w błąd i jest z natury niesprawiedliwa.

Jeśli zgoda stanie się warunkiem wstępnym świadczenia usługi, jest mało prawdopodobne, aby stanowiła najwłaściwszą podstawę prawną.

Władze publiczne, pracodawcy i inne organizacje, które mają władzę nad osobami fizycznymi, powinny unikać polegania na zgodzie, chyba że są przekonane, że mogą wykazać dobrowolność jej udzielenia”.

Chcemy dołożyć wszelkich starań, aby wspierać naszych sprzedawców i pomóc im uniknąć problematycznych konsekwencji prawnych. Ale jednocześnie rozumiemy, że sprzedawcy muszą mieć pewność zaufania swoich klientów. W rezultacie upewniliśmy się, że sprzedawcy mogą dodać pole wyboru „Akceptuję zasady i warunki” na stronie koszyka (nie na stronie realizacji zakupu). Więcej informacji na ten temat znajdziesz w naszych dokumentach pomocy.

Dlaczego nie mogę podpisać Umowy o przetwarzanie danych (DPA) z Shopify?

RODO wymaga, aby podmioty przetwarzające dane były związane umową na piśmie (z uwzględnieniem formatów elektronicznych) z każdym administratorem danych w zakresie przetwarzania danych osobowych. Umowy takie powinny określać, jakie dane osobowe są przetwarzane, a także jakie są obowiązki i prawa podmiotu przetwarzającego i administratora. Umowy te są często nazywane Umowami o przetwarzanie danych (DPA). Zasadniczo, DPA jest umową, za pomocą której firma Shopify będzie przetwarzać tylko dane osobowe powierzone jej w sposób określony przez sprzedawcę, ponieważ sprzedawca jest administratorem danych.

Aby spełnić ten wymóg, firma Shopify dodała Aneks dot. przetwarzania danych do swoich Warunków świadczenia usług. (Nazywa się to „Aneksem”, a nie „Umową”, ponieważ jest dodany do Warunków świadczenia usług i nie jest sam w sobie umową).

Jako sprzedawca zgadzasz się na Warunki świadczenia usług, a co za tym idzie, z Aneksem dot. przetwarzania danych, rejestrując się w usługach Shopify i wyrażasz zgodę na wszelkie aktualizacje Warunków świadczenia usług (na przykład z naszą aktualizacją, która dodała Aneks dot. przetwarzania danych), kontynuując korzystanie z usług.

Ważne jest, aby pamiętać, że Warunki świadczenia usług podlegają prawu Ontario, a nie prawu jurysdykcji Twojej rezydencji. Zatem podczas gdy inne przepisy regionalne, takie jak RODO, mogą z pewnością obejmować Twoją firmę i sposób przetwarzania danych oraz mogą wymagać zawarcia wiążącej umowy z usługodawcami (np. Shopify), inne przepisy regionalne niekoniecznie określają, czy umowa jest wiążąca, czy też nie. W przypadku umowy z nami, kwestia, czy DPA jest umową wiążącą, jest określana przez odniesienie do prawa Ontario.

W wyniku tego, nawet jeśli Twoja jurysdykcja wymaga podpisania umowy (takiej jak DPA), może to nie mieć znaczenia w odniesieniu do Twojej DPA. Zgodnie z prawem Ontario uważamy, że kontynuując korzystanie z naszych usług po zaktualizowaniu naszych warunków, zarówno Shopify, jak i Ciebie wiążą nowe, zmodyfikowane Warunki świadczenia usług. Jeśli nadal będziesz korzystać z Shopify, uważamy, że zawarłeś(-aś) z nami wiążącą umowę, która zawiera nasz Aneks dot. przetwarzania danych, zgodnie z wymogami RODO.

Co mam zrobić, jeśli mam więcej pytań na temat RODO lub moich lokalnych przepisów dotyczących prywatności?

Skontaktuj się z lokalnym prawnikiem specjalizującym się w prawie ochrony prywatności lub danych.

Z kim mogę się skontaktować, aby uzyskać więcej informacji na temat praktyk Shopify?

Skontaktuj się z privacy@shopify.com w celu uzyskania bliższych informacji na temat praktyk Shopify.

Jeśli korzystam z Shopify do hostowania mojego sklepu, czy moja firma działa zgodnie z RODO?

Nie w sposób automatyczny. Podczas gdy działalność Shopify będzie zgodna z RODO, a Shopify zapewni narzędzia, które pomogą sprzedawcom tej firmy działać zgodnie z prawem, każdy sprzedawca jest odpowiedzialny za zapewnienie, że jego działalność jest zgodna z prawem jurysdykcji, w której działa.

Samo tylko korzystanie z platformy Shopify nie gwarantuje, że firma spełnia wymogi RODO.

Czy Shopify podpisze standardowe klauzule umowne?

Nie. Jak opisano w sekcji Przekazywanie danych w naszej broszurze(w języku angielskim), firma Shopify zorganizowała przepływ danych w taki sposób, aby sprzedawcy przekazywali dane do irlandzkiego oddziału Shopify w Europie. Z tego powodu Standardowe klauzule umowne nie są odpowiednie, ponieważ są zatwierdzone do przekazywania danych między stroną europejską a stroną spoza Europy.

Ponadto, w odniesieniu do przypadków przekazywania danych bezpośrednio do Shopify Inc., firma Shopify opierałaby się na decyzji Komisji Europejskiej dotyczącej adekwatności w odniesieniu do kanadyjskiego prawa o ochronie prywatności, która obejmuje Shopify Inc. jako kanadyjską korporację.

Gotowy(-a) do rozpoczęcia sprzedaży za pomocą Shopify?

Wypróbuj za darmo