Bearbeta GDPR-dataförfrågningar

GDPR utökar individens rättigheter att komma åt och styra sina egna personuppgifter. Den här sidan innehåller:

  • En sammanställning av dessa rättigheter.
  • Hur du kan använda Shopify-plattformen för att bemöta förfrågningar för varje rättighet.
  • Vad du kan behöva göra utanför Shopify om du mottar en förfrågan för varje rättighet.

Förstå den registrerades åtkomst- och portabilitetsbegäran

GDPR ger enskilda personer rätten att under vissa omständigheter begära en kopia av sina personuppgifter som ett företag behandlar.

GDPR kräver därför att du ska kunna ge dina kunder en kopia av deras personuppgifter i ett format som är:

  • Vanligt
  • Lättläst
  • Överföringsbart

Detta gör att kunderna kan använda sina data med en annan tjänsteleverantör. Shopify låter dig exportera de flesta data i CSV- eller Excel-format direkt från ditt administratörskonto (till exempel information om en order, utbetalning, produkter och kund).

I allmänhet bör du bemöta en begäran inom 30 dagar. Förlängningar är tillåtna om begäran är särskilt svår att uppfylla.

Behandla den registrerades åtkomst- och portabilitetsbegäran

Verifiera först personens identitet (så att du inte tillhandahåller någon annan med din kunds personuppgifter) om du mottar en åtkomst- eller överföringsförfrågan.

Steg:

  1. Klicka på Kunder från din Shopify-administrator.

  2. Klicka på namnet på den kund du vill begära en logg för.

  3. Klicka på Begär kunddata.

Observera: Det är endast kontoägaren som kan skicka in en begäran om kunddata.

Kundens information kommer att skickas till kontoägaren via e-post för att kunna tillhandahållas till den frågande kunden.

Artikel 15 i GDPR kräver även att du tillhandahåller ytterligare kontext kring hur du använder datan du tillhandahåller, inklusive:

  • Syften i vilka kundens uppgifter behandlades.
  • Vilka tredje parter som tog emot denna data.
  • Eventuella relevanta kvarhållningsperioder.
  • Varifrån informationen samlades in (om det inte var direkt från kunden).
  • Huruvida uppgifterna användes som en del av ett automatiserat beslutsfattande.

Dessutom måste du kunna säkerställa:

  • Kundens rätt att begära att informationen korrigeras eller tas bort.
  • Kundens rätt att invända mot hur informationen behandlas.
  • Kundens rätt att lämna klagomål till en tillsynsmyndighet.

Observera: Du kan läsa detta inlägg som är skrivet av den brittiska informationskommissionären för mer information om hur du bemöter en åtkomstbegäran.

Tänk över följande frågor:

  • Kan du tillhandahålla alla nödvändiga sammanhang runt kunddatan om du blir tillfrågad? Försök att planera för en förfrågan i förväg genom att ha en karta över alla personuppgifter du (eller serviceleverantörerna du använder, t. ex. Shopify) lagrar om dina kunder.
  • Har du övervägt andra tjänsteleverantörer som du kanske använder som kan ha åtkomst till dina kunders personuppgifter? Dessa kan inkludera tredjepartsappar, kanaler och betalnings-gateways.
  • Har du kontaktuppgifter till alla tredjepartstjänster du använder som eventuellt lagrar dina kunders personuppgifter?

Behandla borttagningsförfrågningar

GDPR ger enskilda personer rätt att under vissa omständigheter begära att deras personuppgifter raderas eller att ett företag begränsar behandlingen av deras personuppgifter.

"Personuppgifter": alla data som kan användas för att identifiera en individ, inklusive:

  • Namn
  • Adress
  • E-post
  • IP-adress
  • Kreditkortsnummer.

Personuppgifter innehåller inte information som är helt och hållet finansiell och som inte kan kopplas till en individ, t.ex.:

  • Information om hur många gånger en specifik produkt har sålts
  • Hur stora intäkter din butik genererar

Observera: Du behöver inte avslöja eller radera information som är helt och hållet finansiell när du tar emot en begäran under GDPR. Faktum är att det kanske är olagligt för dig att göra detta inom vissa jurisdiktioner, där du kan krävas upprätthålla orderregister för skatteändamål eller i övriga juridiska syften.

Du bör först verifiera kundens identitet om du tar emot en begäran om borttagning (ibland kallat för redigering eller strykande). Du bör dessutom se till att det inte finns någon anledning att lagra kundens data (t. ex. om kunden också är en anställd).

Steg:

  1. Klicka på Kunder från din Shopify-administrator.

  2. Klicka på namnet på den kund du vill begära en borttagning för.

  3. Klicka på Radera personuppgifter.

Observera: Det är endast kontoägaren som kan begära att kunddata ska tas bort.

Shopify skickar din borttagningsbegäran till alla appar, som kan ha åtkomst till den kundens data, som du har installerade vid tidpunkten för begäran efter att du har begärt en borttagning genom ditt Shopify-administratörskonto.

När du har begärt en borttagning från ditt Administratörskonto kommer en mellanlagringsperiod på 10 dagar att inledas. Under den här perioden kan du avbryta begäran om du har gjort den oavsiktligt. Skicka e-post till privacy@shopify.com och uppge din butiksinformation och relevanta kund-ID för att avbryta en pågående borttagningsbegäran.

Shopify kommer endast att redigera personuppgifter (såsom namn och adress) när du begär en borttagning. Din anonymiserade orderinformation kommer att förbli intakt om du behöver den i redovisningssyfte. Vi skickar en bekräftelse via e-post till dig när relevanta personuppgifter har tagits bort.

Som standard kommer Shopify inte att radera personuppgifter om kunden har lagt en order under de senaste 6 månaderna (180 dagar) i händelse av en chargeback. Om en begäran om borttagning lämnas in inom den tidsramen kommer Shopify att vänta tills lämplig tidsperiod har passerat. Du behöver inte skicka in en annan begäran.

Skicka ett e-postmeddelande till privacy@shopify.com om du vill åsidosätta denna tidsfördröjning (oavsett risken för chargeback).

Tänk över följande frågor:

  • Lagrar du eventuella kunddata på dina egna datorer eller i pappersformat?
  • Finns det övriga tredje parter, som t.ex. kanaler eller betalnings-gateways som du kan behöva kontakta för att begära att de raderar kundens personuppgifter?
  • Finns det några lokala krav, såsom skattelagstiftning, som kan kräva att du lagrar dina kunders personuppgifter även om de begär borttagning? Överväg att samråda med en lokal advokat som är bekant med datalagringskrav för att få hjälp med att besvara denna fråga.

Hämta Shopifys GDPR-vitbok

Ladda ned Shopifys GDPR-vitbok (engelska) för mer information om hur Shopify agerar i linje med GDPR, och för att säkerställa att du kommer att kunna använda Shopify i enlighet med GDPR.

Är du redo att börja sälja med Shopify?

Prova gratis