VANLIGA FRÅGOR OM GDPR

Läs mer om vanliga frågor relaterade till GDPR. Dessa förklaringar är endast i informationssyfte och utgör inte professionell juridisk rådgivning. Kontakta oberoende juridisk rådgivning för information som är specifik för ditt land och dina omständigheter.

Varför inkluderar Shopify inte en "Godkänn regler och villkor och integritetspolicy"-kryssruta vid utcheckningen?

Shopify har tyckt om GDPR mycket noggrant och vi har utformat vår plattform för att tillhandahålla våra handlare en bäst-i-klassens affärsupplevelse som kan följa integritets-och dataskyddslagar såsom GDPR.

Att erhålla ett uttryckligt, bekräftande samtycke från kunder för att behandla deras uppgifter kan, när det implementeras korrekt, vara ett bra sätt att tillhandahålla transparens till och få förtroende hos kunden. Men när det inte genomförs korrekt kan kryssrutor vara förvirrande för kunden, kan skapa avvikande förväntningar och kan till och med skapa juridiska problem för handlare under GDPR. Vi har valt att inte ändra vårt utcheckningsflöde till att inkludera en "Godkänn regler och villkor och integritetspolicy"-kryssruta vid utcheckningen på grund av dessa problem.

I synnerhet framgår det av GDPR att handlarna kan samla in och behandla kundens personuppgifter av många anledningar, inklusive om kunden har lämnat sitt informerade samtycke. Men GDPR erkänner att det kan finnas många omständigheter under vilka personuppgifter kan behöva behandlas separat och bortsett från kundens samtycke, till exempel:

Handlare kommer troligtvis att förlita sig på många av dessa rättsliga grunder med hänsyn till de olika sätten på vilka de kan behandla deras kunders uppgifter. En handlare kan till exempel behöva använda kundens leveransadress för att kunna fullfölja ordern och tillfredsställa handlarens avtal med kunden. På samma sätt kan en handlare lagligen krävas för att behandla personuppgifter för att bemöta en stämning eller i samband med en skatterevision. En handlare kan behandla personuppgifter för valfritt antal andra legitima intressen.

Samtidigt har europeiska tillsynsmyndigheter förtydligat att samtycke är det viktigaste av dessa olika motiveringar. I synnerhet har tillsynsmyndigheterna föreslagit att en handlare som ber om samtycke för att behandla uppgifter i ett visst syfte kanske inte längre kan förlita sig på de rättsliga grunderna ovan (såsom avtal eller legitima intressen). Dessutom har tillsynsmyndigheterna varnade för att samtycke inte kan göras till ett villkor för mottagande av varor eller tjänster.

Varför har allt detta betydelse? Låt oss tänka över vad som skulle hända om en handlare lade till en kryssruta som säger "Godkänn regler och villkor och integritetspolicy" vid kassan. Om kunden inte väljer att godkänna (eller, om kunden samtycker och sedan drar tillbaka sitt samtycke-vilket är en rättighet som individer har under GDPR) kan handlaren inte längre förlita sig på de övriga motiveringarna som listas ovan. Så handlaren kan vara i en position där handlaren under GDPR inte lagligen kan behandla kundens personuppgifter för att bearbeta eller fullfölja en order. Samtidigt skulle samtycke vara en förutsättning för att motta varorna eller tjänsterna och därmed inte vara giltigt under GDPR från första början om handlaren modifierar kassan så att denna kryssruta blir obligatorisk för att slutföra transaktionen.

Denna komplexitet har lett till att ett antal tillsynsmyndigheter varnar för att begära eller förlita sig på samtycke där det kanske inte är lämpligt. Till exempel har den brittiska Informationskommissionären rådgivit:

"Samtycke är lämpligt om du kan erbjuda människor verkligt valfrihet och kontroll över hur du använder deras data och vill bygga upp deras förtroende och engagemang. Men samtycke är inte lämpligt om du inte kan erbjuda ett genuint val. Om du fortfarande skulle behandla personuppgifterna utan samtycke, är det vilseledande och otillbörligt orättvist att be om samtycke.

Om du samtycker till en förutsättning för en tjänst, är det osannolikt att det är den lämpligaste rättsliga grunden.

Offentliga myndigheter, arbetsgivare och andra organisationer som har maktställning över individer bör inte förlita sig på samtycke om de inte är övertygade om att de kan bevisa att de är fritt angivna. "

Vi vill göra vårt bästa för att stödja våra handlare och hjälpa dem att undvika problematiska juridiska konsekvenser. Men samtidigt förstår vi att handlare i slutändan behöver känna sig trygga i att de har sina kunders förtroende. Som ett resultat har vi säkerställt att handlare kan lägga till en "accepterar regler och villkor"-kryssruta på varukorgssidan (inte kassasidan). Se våra hjälpdokument för mer information om hur du gör detta.

OBS! denna FAQ diskuterar en kryssruta för att erhålla samtycke för att slutföra en utcheckning. Du kan även vilja inhämta samtycke av andra skäl, till exempel marknadsföring eller insamling av särskilt känsliga uppgifter.

Varför kan jag inte underteckna ett databehandlingsavtal (DPA) med Shopify?

GDPR kräver att dataprocessorer är bundna genom ett skriftligt avtal (som innefattar avtal i elektroniska format) till varje personuppgiftsansvarig för att kunna behandla personuppgifter. Dessa avtal ska ange vilka personuppgifter som behandlas och vilka skyldigheter och rättigheter processorn och styrenheten har. Dessa avtal kallas ofta för databehandlingsavtal (DPA). I huvudsak är ett databehandlingsavtal ett avtal om att Shopify endast kommer att behandla personuppgifter som lämnas till den på det sätt som handlaren anger, eftersom handlaren är registeransvarig för uppgifterna.

Shopify har lagt till ett databehandlingstillägg till våra villkor i tjänst för att uppfylla detta krav. (Det kallas ett "tillägg" och inte ett "avtal" eftersom det läggs till i användarvillkoren, och inte är ett självständigt avtal.)

Som handlare samtycker du till användarvillkoren och, i förlängningen, databehandlingstillägget, när du registrerar dig för Shopifys tjänster, och du samtycker till alla uppdateringar till användarvillkoren (till exempel vår uppdatering som lade till databehandlingstillägget) senast den Fortsatt användning av tjänsterna.

Det är viktigt att notera att användarvillkoren regleras av lagar i Ontario, och inte lagen i den jurisdiktion där du är bosatt. Så medan andra regionala lagar, såsom GDPR, säkert kan omfatta ditt företag och hur du behandlar data och kan kräva att du har ett bindande avtal med dina tjänsteleverantörer (t.ex. Shopify), dikterar dessa andra regionala lagar inte nödvändigtvis om ett kontrakt är bindande eller inte. Om du har ett avtal med oss, avgörs den frågan om huruvida ett DATASKYDDSAVTAL är ett bindande avtal med hänvisning till Ontario Law.

Som ett resultat, även om din jurisdiktion kräver att ett avtal (som t.ex. databehandlingsavtalet) signeras, kan det hända att det inte är viktigt med avseende på ditt DPA. Enligt lagar i Ontario anser vi att både Shopify och du är bundna till de nya, modifierade villkoren genom att du fortsätter att använda våra tjänster efter att villkoren har uppdaterats. När du fortsätter att använda Shopify anser vi att du har ingått ett bindande avtal med oss som inkluderar vårt databehandlingstillägg, i den lydelse som GDPR behöver ha.

Obs! Om du är en Shopify plus-handlare som har tecknat ett avtal om databehandlingsavtal kommer DPA att ersätta vårt online DPA.

Vad gör jag om jag har fler frågor om GDPR eller mina lokala sekretesslagar?

Kontakta en lokal advokat som specialiserat sig på sekretess eller dataskyddslagstiftningen.

Vem kan jag kontakta för mer information om Shopifys praxis?

Kontakta privacy@shopify.com för mer information om Shopifys praxis.

Har mitt företag överensstämmelse med GDPR om jag använder Shopify för att vara värd för min butik?

Inte automatiskt. Medan Shopifys verksamhet kommer att vara förenlig med GDPR, och Shopify kommer att tillhandahålla redskap för att hjälpa handlare att följa dem, är det varje handlares ansvar att säkerställa att dess företag följer lagarna i den jurisdiktion där det är verksamt.

Att använda Shopifys plattform ensamt garanterar inte att ett företag följer GDPR.

Kommer Shopify att underteckna standardiserade avtalsklausuler?

Nej. Som beskrivet i avsnittet dataöverföringar i vår vitbok (engelska) har Shopify strukturerat sina dataflöden så att handlare överför uppgifter till Shopifys irländska affiliate inom Europa. Av den anledningen är standardavtalsklausuler inte lämpliga, eftersom de är godkända för överföring mellan en europeisk part och en icke europeisk part.

När det gäller överföringarna direkt till Shopify Inc. skulle Shopify i sådana fall åberopa Europeiska kommissionens beslut om adekvat skyddsnivå beträffande Kanadas sekretesslagstiftning, som sträcker sig till Shopify Inc. som ett kanadensiskt bolag.

Är du redo att börja sälja med Shopify?

Prova gratis