Hur påverkar GDPR dig?

General Data Protection regulation (GDPR) påverkar alla Shopify handlare som är baserade i Europa eller som betjänar europeiska kunder. Medan Shopify arbetar hårt för att säkerställa att den överensstämmer och låter sina handlare följa GDPR från och med den 25 maj 2018, är det viktigt att notera att GDPR också kräver att du vidtar åtgärder självständigt från Shopifys plattform.

Shopify vill bidra till att göra handlare i bästa möjliga position för att följa lagen. Den här artikeln innehåller frågor som du bör överväga för att bedöma dina skyldigheter och se till att du har konfigurerat din butik på ett sätt som är förenligt med lagen.

Med det sagt, detta är inte juridisk rådgivning. GDPR är en komplicerad reglering, och den kommer att tillämpas olika för olika handlare. Du bör rådgöra med en advokat för att ta reda på vad du specifikt behöver göra.

Information om hur du behandlar dataförfrågningar finns i bearbeta förfrågningar om GDPR.

Varför kan inte Shopify hantera överensstämmelse med GDPR för handlare?

GDPR inför olika skyldigheter för registeransvariga och dataprocessorer. Som dataprocessor fullgör Shopify sina egna juridiska skyldigheter enligt GDPR. Däremot har handlare (som registeransvariga) också sina egna skyldigheter som de måste överväga.

Shopify tillhandahåller handlare en plattform som kan konfigureras för att vara förenlig med GDPR, men du måste överväga själv hur du vill driva din verksamhet.

För ytterligare vägledning har följande tillsynsmyndigheter inom Europeiska unionen tillhandahållit specifik vägledning om GDPR:

Samla in personuppgifter

GDPR skyddar individernas grundläggande rättigheter inom Europeiska unionen med avseende på hanteringen av personuppgifter.

Exempel på personuppgifter är:

  • Namn
  • Adress
  • E-postadress
  • Sociala mediekonto
  • Digital identifierare, till exempel en IP-adress eller ett cookie-ID.

Tänk på följande frågor:

  • Samlar du in personuppgifter från kunder i Europa? De flesta webbplatser är tillgängliga för invånare i Europa och kommer att omfattas av GDPR.
  • Om din butik använder tredjepartsappar eller-teman, samlar de då in och behandlar data i enlighet med GDPR? För att förenkla denna process kräver Shopify att alla appar ska publicera en sekretesspolicy som beskriver deras datahanteringsrutiner, så att du kan bedöma om du är bekväm med den appens Datapraxis. Shopifys utvecklade appar omfattas av databehandlingstillägget, och Shopify ansvarar för deras efterlevnad.
  • Samlar de kanaler eller betalninggateways du använder in och behandlar uppgifter i enlighet med GDPR? Du bör följa upp med dem för att se till.
  • Har du en lista över alla typer av personuppgifter som du samlar in från dina kunder och alla sätt på vilka du använder dessa data? Artikel 30 i GDPR kräver att du underhåller en aktuell karta över dina rutiner för databehandling.

Sekretessmeddelande

GDPR (och särskilt artiklarna 12 till 14) kräver att du ger specifik information till personer vars uppgifter du behandlar, i allmänhet i form av ett sekretessmeddelande eller integritetspolicy.

Du kan använda Shopifys integritetspolicygenerator för att komma igång. Du hittar den i dina inställningar under utcheckning eller online.

Tänk på följande fråga:

  • Har du en integritetspolicy på din webbplats som innehåller all information som du måste tillhandahålla enligt förordningen? Som minst omfattar detta hur kunder kan komma i kontakt med dig om sekretessfrågor och hur kunder kan utöva sina rättigheter, till exempel rätt till borttagning eller rättelse (modifiering eller korrigering) av deras data och rätten att komma åt dem?
  • Innehåller din integritetspolicy information om hur Shopify kan använda dina kunders personuppgifter för automatisk riskbedömning och bedrägeribedömning? GDPR kräver att du avslöjar när du (eller dina tjänsteleverantörer) använder deras personuppgifter i anslutning till automatiserat beslutsfattande. Shopify använder dina kunders personuppgifter för att blockera vissa transaktioner som verkar vara bedrägliga genom automatiserat beslutsfattande. Shopifys Integritetspolicygenerator innehåller denna information. Se _automatiserat beslutsfattande_för mer information om detta system.

Utse ett uppgiftsskyddsombud

Ett dataskyddsombud (DPO) ser över hur din organisation samlar in och behandlar personuppgifter. Om ditt företags kärnverksamhet inkluderar storskalig Onlinespårning kräver GDPR att du utser ett DATASKYDDSOMBUD och tillhandahåller kontaktinformation för DATASKYDDSOMBUDET i din integritetspolicy.

GDPR inkluderar specifika uppgifter som ett dataskyddsombud behöver utföra, till exempel genomföra konsekvensbedömningar för dataskydd när din organisation ändrar hur den samlar in och behandlar personuppgifter. Ett DATASKYDDSOMBUD kan vara en intern person som har expertkunskap inom GDPR och dataskyddskrav, men du kan också överväga att arbeta med en konsult eller firma som kan fungera som ett externt DATASKYDDSOMBUD.

Tänk på följande frågor:

  • Hur många människor påverkas av spårningstekniker i din butik? Dessa kan inkludera beteendeinriktade reklamappar eller till och med återsökbara appar. Huruvida antalet drabbade påverkas av "stor skala" är ett juridiskt beslut och du bör rådgöra med en advokat utifrån dina omständigheter.
  • Bör du frivilligt utse ett dataskyddsombud? Om din närvaro i Europa är tillräckligt stor kan du frivilligt göra det för att säkerställa att du på ett adekvat sätt skyddar dina kunders personuppgifter, även om du inte är juridiskt skyldig att utse ett DATASKYDDSOMBUD.

Databehandlingsavtal

Som personuppgiftsansvarig under GDPR kräver artikel 28 att du inför strikta avtalsmässiga krav för hur de kan använda och behandla denna information när du anlitar en personuppgiftsansvarig (t.ex. Shopify) för att behandla dina kunders uppgifter. Detta görs vanligtvis genom ett databehandlingstillägg, eller DPA.

Shopify har automatiskt införlivat ett https://www.shopify.com/legal/dpa (data processing Agreement) i sina användarvillkor, som är utformat för att tillgodose kraven i artikel 28.

För Shopify plus handlare kommer deras avtalade avtal att reglera deras relation med Shopify. Plus handlare kan skriva under ett databehandlingstillägg för att tillgodose deras behov. Shopify plus handlare som inte skriver under ett databehandlingstillägg kommer att regleras av Shopifys onlinedatabehandlingstillägg.

Tänk på följande frågor:

  • Är övriga dataprocessorer som du arbetar med utanför Shopify avtalsenligt förpliktade att skydda dina kunders personuppgifter? Många tredjepartsappar, kanaler, betalningsgateways eller andra dataprocessorer kommer också automatiskt att införliva ett Databehandlingavtal i sina villkor. Har du konsulterat med var och en av dessa tredje parter?

  • Är du en Shopify Plus-handlare med ett förhandlat kontrakt? Om du vill skriva under ett databehandlingstillägg kan du kontakta Shopify Plus-support. De kan ge dig Shopifys mall för databehandlingstillägg.

Kundens samtycke

Under GDPR kan du behöva erhålla samtycke för att behandla dina kunders personuppgifter eller ändra hur du för närvarande får det samtycket.

Du kan till exempel behöva få samtycke från dina kunder om du skickar dina kunders marknadsföringsmeddelanden, eller om du använder onlineannonsering eller appar för återmarknadsföring.

I de fall där du behöver samtycke säger GDPR att det måste vara:

  • Fritt givet: det måste vara helt frivilligt och bör inte vara paketerat med andra varor eller tjänster.
  • Specifik: den måste knytas till tydligt förklarade användningsfall.
  • Informerat: det kan endast ges om den registrerade tillhandahålls tillräckligt med information om de personuppgifter som kommer att samlas in och användas.
  • Entydigt: det måste styrkas med ett jakande handling av handlaren (det vill inte bara genom att fortsätta använda tjänsterna).

Det innebär att kunden behöver detaljerad information om det särskilda användningsfallet, och att konsumenten behöver ta del av en viss bekräftande åtgärd för att Visa samtycke.

Slutligen, om du erbjuder dina kunder möjlighet att ge samtycke, kräver GDPR även att dina kunder ska ha möjlighet att ta tillbaka sitt samtycke. Detta kan ofta åstadkommas genom en funktion för att avsluta prenumerationen. Kontakta en advokat som är bekant med dataskyddslagar om du har frågor om när och hur du bör få samtycke till insamling av personuppgifter eller i vilken utsträckning dina kunder ska tillåtas dra tillbaka sitt samtycke.

Samtycke är emellertid bara en av många rättsliga grunder i GDPR som kan motivera hanteringen av personuppgifter. Du kan även behandla personuppgifter för att uppfylla avtalsenliga krav, eller om du enligt lag är skyldig att behandla data.

Vissa europeiska tillsynsmyndigheter har föreslagit att du inte längre kan förlita dig på någon annan rättslig grund för att behandla personuppgifter om du först ber om samtycke och din kund nekar eller samtycker men sedan drar tillbaka sitt samtycke. Som ett resultat bör du endast förlita dig på samtycke där du inte avser att (eller behöver) förlita dig på någon annan rättslig grund för att behandla personuppgifter.

Obs! Du kan läsa mer om de olika rättsliga grunderna för att stödja databehandling på den brittiska Informationskommissionärens webbplats.

Tänk på följande frågor:

  • Vilken är den rättsliga grunden för varje annat sätt att använda eller behandla dina kunders uppgifter? Bearbetar du baserat på deras samtycke? Behandlar du att fullgöra en avtalsenlig förpliktelse gentemot kunden? Behandlar du för att vidareutveckla dina legitima affärsintressen? Du bör registrera den rättsliga grunden som en del av din karta över dina rutiner för databehandling, som beskrivs i insamling av personuppgifter.
  • I de fall där du litar på samtycke, är samtycket du får buntat med varor eller tjänster du erbjuder? Till exempel kan uttalanden såsom by purchasing these goods, you agree to our use of your personal information inte längre tillåtas under GDPR.
  • Tillhandahåller du tillräckligt med detaljer om hur du kommer att använda de aktuella personuppgifterna för att säkerställa att kundens samtycke har informerats?
  • Har kundens samtycke registrerats och lagrats någonstans?
  • Kräver du samtycke för att skicka marknadsföringskommunikation till dina kunder? Även om du inte behöver samtycke enligt GDPR kan lokala lagar kräva att du erhåller samtycke för att skicka marknadsföringskommunikation till dina kunder. Tala med en advokat om de specifika kraven som kan gälla för din butik.
  • Om du tror att du behöver samtycke för att skicka marknadsföringskommunikation, är kryssrutan Marknadsföringssamtycke för din butik avmarkerad som standard? Överväg att ställa in din butik så att kryssrutan Marknadsföringssamtycke som visas för kunderna inte är förkryssad som standard för att säkerställa att dina kunder måste agera jakande för att ge samtycke.

Föräldrarnas samtycke

GDPR inkluderar specifika krav avseende föräldrars samtycke för att behandla personuppgifter för användare under 16 år (även om denna ålder kan vara lägre i vissa länder).

Tänk på följande fråga:

  • Behöver du ändra hur du behandlar Kunddata för att antingen sluta behandla data för användare under 16 år eller för att få föräldrars samtycke? Du kan göra detta genom att förbjuda användare under 16 år att komma åt din webbplats med hjälp av en åldersgivande app från Shopifys appbutik, eller genom att be besökarna bekräfta att de är myndig.

Automatiserat beslutsfattande

GDPR kräver att du meddelar kunder om du använder deras personuppgifter för att genomföra automatiserat beslutsfattande.

Automatiserat beslutsfattande innebär att man använder automatiska algoritmer för att fatta ett beslut om huruvida en individ är berättigad till vissa tjänster eller erbjudanden, ska debiteras ett visst pris eller sannolikt är intresserad av vissa typer av varor eller tjänster.

Om du använder några processer som inkluderar helautomatiserat beslutsfattande (det vill annat utan mänsklig inblandning) som kommer att ha en betydande rättslig följd för kunden, behöver du kundens samtycke.

Krav för automatiska beslutsprocesser
Process Krav
Automatiserat beslutsfattande Anmälan
Fullständigt automatiserat beslutsfattande med avsevärd rättsverkan Samtycke

Shopify sysslar generellt inte med fullständigt automatiserat beslutsfattande med dina kunders personuppgifter.

Det enda undantaget är Shopifys risk-och bedrägeriscreening, där Shopify automatiskt kan blockera ett betalkortnummer eller en IP-adress efter ett visst antal misslyckade betalningsförsök. Shopify anser inte att detta innebär en avsevärd rättslig följd för kunderna, eftersom att den automatiska blockeringen endast varar en kort stund.

Tänk på följande frågor:

  • Har du inkluderat i din integritetspolicy att Shopifys risk-och bedrägeriscreening kan använda kunders personuppgifter för automatiserat beslutsfattande? Du kan läsa mer om Shopifys automatiserade beslutsfattande i avsnitt 13 i integritetspolicyn. Du bör också bekräfta med en advokat utifrån dina särskilda omständigheter att denna tjänst inte har en betydande rättslig följd för dina kunder.
  • Använder du tredjepartsappar som kan vara engagerade i automatiserat beslutsfattande? Du bör särskilt granska eventuell risk eller bedrägeri i samband med tredjepartstjänster som du använder i anslutning till din butik, eller marknadsförings-eller reklamappar som kan bygga profiler eller som riktar in sig på dina kunders segment.
  • Om du använder tredjepartsappar som sysslar med automatiserat beslutsfattande, behöver du meddela dina kunder eller inhämta samtycke för att använda dessa appar?

Meddelande om dataintrång

Du kan behöva meddela berörda användare eller specifika regleringsorgan om GDPR gäller dig och du upplever ett personuppgiftsbrott.

I synnerhet kräver GDPR meddelande om ett dataintrång sannolikt kommer att medföra en stor risk för att kränta enskildas rättigheter och friheter.

Detta kommer sannolikt att vara fallet om den kränta informationen:

  • Inkluderar betalningsinformation.
  • Kan användas för att avslöja pinsam eller personlig information.
  • Kan användas för att komma åt en persons konto eller tjänster.

I tillämpliga fall måste du meddela dig så snabbt som 72 timmar efter att du har blivit medveten om överträdelsen.

Tänk på följande frågor:

  • Har du pratat med en advokat för att fastställa vilken information du samlar in och processen kan kräva att du meddelar dig om du drabbas av ett personuppgiftsbrott?
  • Har du en responsplan för ditt företag så att du är redo för en sådan incident?
  • Inkluderar betalningsinformation.
  • Kan användas för att avslöja pinsam eller personlig information.
  • Kan användas för att komma åt en persons konto eller tjänster.

GDPR ställer krav på alla företag som använder tredjepartsleverantörer och tjänsteleverantörer för att behandla sina användares personuppgifter.

Shopify använder ett antal underprocessorer för att behandla dina kunders uppgifter. Om du vill ha mer information om Shopifys underprocessorer, se Shopifys underprocessorer.

Tänk på följande fråga:

  • Har du granskat sekretessrutinerna hos de säljare och tjänsteleverantörer som du använder, inklusive Shopify, för att se till att du är bekväm med hur de skyddar dina kunders personuppgifter?

Tredjepartsapplikationer

GDPR kräver att du vidtar ett antal åtgärder avseende insamlingen och användningen av personuppgifter från dina och dina tredjepartstjänsteleverantörer. Detta inkluderar Shopify, men även alla tredjepartsappar som du kan använda i anslutning till din Shopify butik.

Shopify har vidtagit åtgärder för att göra det enklare för dig att förstå vilka personuppgifter de appar du installerar har åtkomst till.

Steg:

  1. Från din Shopify admin, klicka på Apps.

  2. Klicka på Visa detaljer i appen som du vill granska behörigheter för.

Du kan även granska appbehörigheter innan du installerar en app på installationskärmen i App Store.

Dessutom finns det en del av App Store för varje app för att länka till en integritetspolicy som förklarar mer detaljerat exakt vad dataapputvecklare samlar in och hur de använder den.

Medan Shopify vill göra det så enkelt som möjligt för dig att bedöma datametoderna för de appar du väljer att installera, är det upp till dig att se till att du använder tredjepartsappar på ett sätt som är förenligt med GDPR.

Tänk på följande fråga:

  • Använder du tredjepartsappar i enlighet med GDPR, baserat på din plats, dina kunders placering, dina apputvecklares läge och din implementering av varje app? Rådgör med en advokat om du har frågor om huruvida en viss Apps Datapraxis kan kräva ytterligare överväganden eller arbete från din sida för att säkerställa överensstämmelse med GDPR.

Internationella dataöverföringarna

GDPR förbjuder att exportera personuppgifter om européer utanför Europa om inte denna information kommer att skyddas tillräckligt.

Shopify skyddar personuppgifter enligt kraven i GDPR, eftersom det överförs till och behandlas i USA och Kanada.

Shopify har konfigurerat sina dataflöden för att ta hand om dessa krav för handlare. Som beskrivet i avsnitt 12 i Shopifys integritetspolicy, kommer alla europeiska personuppgifter från början till hand från handlare och behandlas i Irland av Shopifys irländska affiliate Shopify International Ltd. Shopify överförde därefter denna data och vidare i överensstämmelse med VO

Internationella dataöverföringarna i GDPR

Se Shopifys faktablad om GDPR (på engelska) för mer information om hur personuppgifter från Europeiska ekonomiska samarbetsområdet (EES) och Storbritannien tas in och behandlas av Shopify enligt GDPR standarder och säkerhetsmetoder för informationssäkerhet.

Tänk på följande fråga:

Har du försäkrat dig om att övriga parter som du överför data till kommer att överföra den datan över internationella gränser på ett sätt som är förenligt med GDPR? Du kan göra detta genom att titta på integritetspolicyer för dina tredjepartsappar, kanaler, gateways betalning eller andra leverantörer, och se om de förklarar hur de skyddar Europeiska uppgifter.

Ladda ner Shopifys vitbok om GDPR

Om du vill ha mer information om hur Shopify följer GDPR, och se till att du kommer att vara i stånd att följa din användning av Shopify, laddar du ner Shopifys faktablad om faktablad (på engelska).

Är du redo att börja sälja med Shopify?

Prova gratis