GDPR มีผลต่อคุณอย่างไร
กฎหมายคุ้มครองข้อมูลส่วนบุคคล (GDPR) ส่งผลกระทบต่อผู้ขายสินค้าของ Shopify ที่อยู่ในยุโรปหรือที่ให้บริการลูกค้าชาวยุโรป ทาง Shopify กำลังมุ่งดำเนินตามมาตรการอย่างเต็มที่ให้มั่นใจว่าแพลตฟอร์มปฏิบัติตามกฎหมาย GDPR และช่วยให้ผู้ขายของตนทำเช่นเดียวกันตั้งแต่วันที่ 25 พฤษภาคม 2018 ทั้งนี้แล้ว คุณก็ควรทราบอีกว่า GDPR จะต้องกำหนดให้คุณดำเนินการโดยไม่เกี่ยวข้องกับแพลตฟอร์ม Shopify ด้วยเช่นกัน
Shopify ต้องการช่วยให้ผู้ขายอยู่ในสถานะที่สามารถปฏิบัติตามกฎหมายได้อย่างดีที่สุด มาตรานี้มีคำถามที่คุณควรพิจารณาเพื่อช่วยคุณประเมินภาระหน้าที่ของคุณ ให้แน่ใจว่าคุณได้ตั้งร้านค้าของคุณในลักษณะที่สอดคล้องกับกฎหมายดีแล้ว
อย่างไรก็ตาม สิ่งที่กล่าวมานี้ไม่ใช่คำแนะนำด้านกฎหมาย GDPR เป็นข้อบังคับที่ซับซ้อนและจะมีผลบังคับใช้กับพ่อค้าแต่ละรายแตกต่างกันไป คุณควรปรึกษาทนายความเพื่อศึกษาว่าคุณต้องทำสิ่งใดโดยเฉพาะเจาะจง
หากต้องการข้อมูลเกี่ยวกับการประมวลผลการร้องขอข้อมูล โปรดดูการประมวลผลการร้องขอข้อมูลโดย GDPR
เหตุใด Shopify จึงไม่สามารถจัดการเรื่องการปฏิบัติตาม GDPR ให้แก่ผู้ขายได้
GDPR กำหนดภาระหน้าที่ที่แตกต่างกันสำหรับผู้ควบคุมและผู้ประมวลผลข้อมูล ในฐานะที่เป็นผู้ประมวลผลข้อมูล Shopify จะปฏิบัติตามข้อผูกพันทางกฎหมายของตนเองภายใต้ GDPR อย่างไรก็ตาม ผู้ขาย (ในฐานะผู้ควบคุมข้อมูล) ยังมีข้อผูกพันแยกต่างหากที่ต้องพิจารณาด้วย
Shopify จัดการให้ผู้ขายมีแพลตฟอร์มที่สามารถกำหนดค่าให้สอดคล้องกับ GDPR ได้ แต่คุณต้องพิจารณาด้วยตนเองก่อนว่าต้องการดำเนินธุรกิจอย่างไร
หากต้องการรับคำแนะนำเพิ่มเติม ให้ศึกษากับหน่วยงานกำกับดูแลต่อไปนี้ภายในสหภาพยุโรปที่ได้ให้คำแนะนำเฉพาะเรื่องเกี่ยวกับ GDPR:
- ICO - Guide to data protection
- คณะกรรมการคุ้มครองข้อมูลแห่งไอร์แลนด์ - GDPR
- CNIL - Règlement européen: se préparer en 6 étapes
การรวบรวมข้อมูลส่วนบุคคล
GDPR คุ้มครองสิทธิขั้นพื้นฐานของบุคคลภายในสหภาพยุโรปเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคล
ตัวอย่างของข้อมูลส่วนบุคคลนี้ได้แก่:
- ชื่อ
- ที่อยู่
- อีเมล
- บัญชีผู้ใช้โซเชียลมีเดีย
- ตัวระบุดิจิทัล เช่นที่อยู่ IP หรือ ID คุกกี้
พิจารณาเกี่ยวกับคำถามต่อไปนี้:
- คุณรวบรวมข้อมูลส่วนบุคคลจากลูกค้าในยุโรปหรือไม่ เว็บไซต์ส่วนใหญ่มีให้เยี่ยมชมได้สำหรับผู้ที่อาศัยอยู่ในยุโรปและจะอยู่ภายใต้ GDPR
- หากร้านค้าของคุณใช้แอปหรือธีมภายนอก พวกเขาจะรวบรวมและประมวลผลข้อมูลอย่างสอดคล้องกับ GDPR หรือไม่ เพื่อให้กระบวนการนี้เป็นไปโดยง่ายขึ้น Shopify จึงกำหนดให้แอปทั้งหมดโพสต์นโยบายความเป็นส่วนตัวโดยแจ้งรายละเอียดหลักปฏิบัติในการจัดการข้อมูล เพื่อให้คุณสามารถประเมินได้ว่าพึงพอใจกับหลักปฏิบัติด้านข้อมูลของแอปนั้นหรือไม่ แอปที่พัฒนาโดย Shopify อยู่ภายใต้บันทึกแนบท้ายการประมวลผลข้อมูลและ Shopify รับผิดชอบในการปฏิบัติตามกฎ
- ช่องทางหรือเกตเวย์การชำระเงินที่คุณใช้นั้น รวบรวมและประมวลผลข้อมูลอย่างสอดคล้องกับ GDPR หรือไม่ คุณควรติดต่อสอบถามพวกเขาอย่างต่อเนื่องเพื่อให้แน่ใจ
- คุณมีรายการข้อมูลส่วนบุคคลทุกประเภทที่คุณรวบรวมจากลูกค้าของคุณและวิธีการทั้งหมดที่คุณใช้ข้อมูลนี้หรือไม่ มาตราที่ 30 ของ GDPR กำหนดให้คุณต้องรักษาแผนที่ปัจจุบันของหลักปฏิบัติด้านข้อมูล
การประกาศว่าด้วยความเป็นส่วนตัว
GDPR (และโดยเฉพาะอย่างยิ่งในมาตราที่ 12 ถึง 14) กำหนดให้คุณให้ข้อมูลเฉพาะแก่เข้าของข้อมูลที่คุณกำลังประมวลผล ซึ่งโดยทั่วไปแล้วจะอยู่ในรูปแบบของประกาศว่าด้วยความเป็นส่วนตัวหรือนโยบายความเป็นส่วนตัว
คุณสามารถใช้เครื่องมือสร้างนโยบายความเป็นส่วนตัวของ Shopify เพื่อเริ่มต้น โดยไปที่การตั้งค่าของคุณใต้ส่วนการชำระเงินหรือออนไลน์
พิจารณาเกี่ยวกับคำถามต่อไปนี้
- คุณมีนโยบายความเป็นส่วนตัวบนเว็บไซต์ที่มีข้อมูลทั้งหมดที่คุณจำเป็นต้องมอบให้ตามที่กฎหมายกำหนดไว้หรือไม่ อย่างน้อยที่สุดแล้ว นโยบายข้างต้นได้ระบุวิธีที่ลูกค้าสามารถติดต่อกับคุณเรื่องคำถามความเป็นส่วนตัวและระบุวิธีที่ลูกค้าสามารถใช้สิทธิ์ของตน เช่นสิทธิ์ในการลบหรือแก้ไข (ปรับเปลี่ยนหรือปรับปรุง) ข้อมูลและสิทธิ์ในการเข้าถึงหรือไม่
- นโยบายความเป็นส่วนตัวของคุณได้ระบุวิธีที่ Shopify อาจใช้ข้อมูลส่วนบุคคลของลูกค้าคุณสำหรับระบบให้คะแนนความเสี่ยงและการฉ้อโกงโดยอัตโนมัติหรือไม่ GDPR กำหนดให้คุณต้องเปิดเผยช่วงเวลาที่คุณ (หรือผู้ให้บริการของคุณ) ใช้ข้อมูลของพวกเขาในส่วนของการตัดสินใจอัตโนมัติ Shopify ใช้ข้อมูลส่วนบุคคลของลูกค้าของคุณเพื่อป้องกันการทำธุรกรรมบางอย่างที่มีลักษณะเหมือนการฉ้อโกงผ่านการตัดสินใจอัตโนมัติ เครื่องมือสร้างนโยบายความเป็นส่วนตัวของ Shopify ระบุข้อมูลนี้ไว้ด้วย หากต้องการข้อมูลเพิ่มเติมเกี่ยวกับระบบนี้ โปรดดูการตัดสินใจอัตโนมัติ
แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล
เจ้าหน้าที่คุ้มครองข้อมูล (Data Protection Officer: DPO) คอยกำกับดูแลลักษณะการรวบรวมและประมวลผลข้อมูลส่วนบุคคลที่ดำเนินการโดยองค์กรของคุณ หากกิจกรรมหลักในธุรกิจของคุณประกอบด้วยการติดตามข้อมูลออนไลน์จำนวนมาก GDPR จะกำหนดให้คุณแต่งตั้ง DPO และให้ข้อมูลติดต่อสำหรับ DPO ในนโยบายความเป็นส่วนตัวของคุณ
GDPR ระบุหน้าที่การงานเฉพาะด้านของ DPO เช่น การดำเนินการประเมินผลกระทบการคุ้มครองข้อมูลเมื่อองค์กรของคุณเปลี่ยนวิธีการรวบรวมและประมวลผลข้อมูลส่วนบุคคล DPO สามารถเป็นบุคคลภายในที่มีความเชี่ยวชาญด้าน GDPR และข้อกำหนดในการคุ้มครองข้อมูล แต่คุณก็สามารถเลือกทำงานร่วมกับที่ปรึกษาหรือบริษัทให้เป็น DPO ภายนอกได้เช่นกัน
พิจารณาเกี่ยวกับคำถามต่อไปนี้:
- มีกี่คนที่ได้รับผลกระทบจากการติดตามเทคโนโลยีที่หน้าร้านของคุณ ซึ่งรวมถึงแอปที่โฆษณาตามพฤติกรรมการใช้งาน หรือกระทั่งแอปกำหนดเป้าหมายซ้ำด้วย การพิจารณาว่าจำนวนผู้คนที่ได้รับผลกระทบนั้นอยู่เป็น “วงกว้าง” หรือไม่นั้นเป็นการตัดสินใจทางกฎหมาย คุณจึงควรปรึกษากับทายความโดยอิงตามสถานการณ์ที่คุณกำลังประสบ
- คุณควรแต่งตั้ง DPO โดยสมัครใจหรือไม่ แม้ว่ากฎหมายจะไม่ได้กำหนดให้คุณแต่งตั้ง DPO แต่หากตัวตนธุรกิจของคุณในยุโรปนั้นเป็นที่รู้จักในวงกว้างพอ คุณก็สามารถทำเช่นนั้นได้โดยสมัครใจเพื่อให้แน่ใจว่าคุณได้คุ้มครองข้อมูลของลูกค้าอย่างเพียงพอ
ข้อตกลงการประมวลผลข้อมูล
ในฐานะผู้ควบคุมข้อมูลภายใต้ GDPR มาตราที่ 28 กำหนดว่าเมื่อคุณตกลงให้ผู้ประมวลผลข้อมูล (เช่น Shopify) ประมวลผลข้อมูลของลูกค้าแล้ว ถือว่าคุณบังคับใช้ข้อกำหนดทางสัญญาที่เข้มงวดอันว่าด้วยวิธีที่พวกเขาสามารถใช้และประมวลผลข้อมูลนั้น โดยทั่วไปจะกระทำผ่านบันทึกแนบท้ายการประมวลผลข้อมูลหรือ DPA (Data Processing Addendum)
ระบบอัตโนมัติของ Shopify ได้รวมข้อตกลงการประมวลผลข้อมูล (https://www.shopify.com/legal/dpa) เข้าไว้ในข้อกำหนดในการใช้บริการ ซึ่งออกแบบมาเพื่อดำเนินการให้สอดคล้องกับข้อกำหนดของมาตราที่ 28
สำหรับผู้ขายสินค้าของ Shopify Plus สัญญาที่ต่อรองจะควบคุมความสัมพันธ์ของพวกเขากับ Shopify ผู้ขายสินค้า Plus สามารถลงนามในบันทึกแนบท้ายการประมวลผลข้อมูลเพื่อตอบสนองความต้องการของตน ผู้ขายสินค้าของ Shopify Plus ที่ไม่ได้ลงนามในบันทึกแนบท้ายการประมวลผลข้อมูลจะถูกควบคุมโดยบันทึกแนบท้ายการประมวลผลข้อมูลออนไลน์ของ Shopify
พิจารณาเกี่ยวกับคำถามต่อไปนี้:
ผู้ประมวลผลข้อมูลรายอื่นที่คุณร่วมงานด้วยภายนอก Shopify มีภาระผูกพันตามสัญญาในการคุ้มครองข้อมูลลูกค้าของคุณหรือไม่ แอป ช่องทาง เกตเวย์การชำระเงิน หรือผู้ประมวลผลข้อมูลรายอื่นจำนวนมากจะรวมข้อตกลงการประมวลผลข้อมูลเข้าไว้ในข้อกำหนดของพวกเขาโดยอัตโนมัติ คุณเคยปรึกษากับบุคคลภายนอกรายใดรายหนึ่งเหล่านี้หรือไม่
คุณเป็นผู้ขายของ Shopify Plus ด้วยสัญญาที่มีการเจรจาหรือไม่ หากคุณต้องการลงนามในบันทึกแนบท้ายการประมวลผลข้อมูลให้ติดต่อฝ่ายช่วยเหลือของ Shopify Plus พวกเขาสามารถให้คุณเข้าสู่ระบบ DPA เทมเพลตของ Shopify ได้
ความยินยอมจากลูกค้า
ภายใต้ GDPR คุณอาจต้องได้รับคำยินยอมจากลูกค้าก่อนจึงจะสามารถประมวลผลข้อมูลส่วนบุคคลของพวกเขาได้ หรืออาจต้องเปลี่ยนแปลงวิธีที่คุณได้รับคำยินยอมในปัจจุบัน
ตัวอย่างเช่น คุณอาจต้องขอคำยินยอมจากลูกค้าของคุณในกรณีที่คุณจะส่งข้อความสนับสนุนทางการตลาดให้แก่ลูกค้า หรือในกรณีที่คุณใช้แอปโฆษณาออนไลน์หรือกำหนดเป้าหมายซ้ำ
เมื่อคุณจำเป็นต้องขอความยินยอม GDPR กำหนดว่าคำยินยอมจะต้องมีลักษณะดังต่อไปนี้:
- มอบให้โดยอิสระ: ต้องเกิดขึ้นด้วยความเต็มใจอย่างสมบูรณ์ และไม่ควรผูกมัดกับสินค้าหรือบริการอื่นๆ
- เฉพาะเจาะจง: จะต้องเชื่อมโยงกับกรณีการใช้งานที่ได้รับการชี้แจ้งอย่างชัดเจน
- รับทราบชัดเจน: จะให้ได้ก็ต่อเมื่อเจ้าของข้อมูลได้รับข้อมูลที่เพียงพอเกี่ยวกับข้อมูลส่วนตัวที่จะมีการเก็บรวบรวมและนำไปใช้
- ไม่คลุมเครือ: ผู้ขายจะต้องแสดงให้เห็นผ่านการกระทำที่บ่งชี้ถึงความยินยอม (หมายความว่าต้องไม่ใช่แค่การใช้บริการต่อไปเพียงเท่านั้น)
ซึ่งเท่ากับว่าลูกค้าจำเป็นที่จะต้องได้รับข้อมูลแบบเจาะลึกเกี่ยวกับกรณีการใช้งานที่เฉพาะเจาะจง อีกทั้งผู้บริโภคยังต้องแสดงการกระทำบางอย่างที่บ่งชี้ถึงความยินยอม
ท้ายที่สุดนี้ ในกรณีที่คุณเสนอโอกาสให้ลูกค้าของคุณมอบความยินยอม GDPR ก็ยังกำหนดว่าลูกค้าของคุณต้องมีวิธีที่จะเพิกถอนคำยินยอมด้วยเช่นกัน โดยคุณสามารถปฏิบัติตามข้อกำหนดนี้ได้โดยใช้ฟังก์ชันการยกเลิกการสมัครใช้งาน หากคุณมีข้อสงสัยว่าคุณควรเรียกขอคำยินยอมสำหรับการเก็บรวบรวมข้อมูลส่วนบุคคลเมื่อไรและอย่างไร หรือข้อสงสัยว่าควรอนุญาตให้ลูกค้าสามารถเพิกถอนคำยินยอมได้ถึงขั้นไหน คุณก็ควรที่จะพูดคุยกับทนายความที่มีความคุ้นเคยกับกฎหมายว่าด้วยการคุ้มครองข้อมูล
อย่างไรก็ตาม คำยินยอมเป็นเพียงมูลฐานทางกฎหมายส่วนหนึ่งใน GDPR ที่สามารถสร้างความชอบธรรมให้แก่การประมวลผลข้อมูลส่วนบุคคลได้ โดยคุณอาจประมวลผลข้อมูลส่วนบุคคลเพื่อที่จะบรรลุข้อกำหนดของสัญญา หรือในกรณีที่กฎหมายกำหนดให้คุณต้องประมวลผลข้อมูลก็ได้
ผู้วางระเบียบของยุโรปได้กล่าวว่าหากในทีแรกคุณขอคำยินยอมแล้วลูกค้าของคุณปฏิเสธหรือยินยอม แต่แล้วก็เพิกถอนคำยินยอมในภายหลัง ในกรณีเช่นนี้คุณไม่อาจใช้มูลฐานทางกฎหมายอื่นใดก็ตามในการที่จะประมวลผลข้อมูลส่วนบุคคลอีกต่อไป และด้วยเหตุนี้ คุณจึงควรใช้คำยินยอมเฉพาะเมื่อคุณไม่มีความตั้งใจที่จะ (หรือจำเป็นที่จะต้อง) ใช้มูลฐานทางกฎหมายอื่นเพื่อที่จะประมวลผลข้อมูลส่วนบุคคล
หมายเหตุ: คุณสามารถอ่านรายละเอียดเพิ่มเติมเกี่ยวกับมูลฐานทางกฎหมายต่างๆ เพื่อที่จะรองรับการประมวลผลข้อมูลได้ที่เว็บไซต์ของ UK Information Commissioner
พิจารณาเกี่ยวกับคำถามต่อไปนี้:
- คุณมีมูลฐานทางกฎหมายใดบ้างสำหรับแต่ละวิธีการที่คุณใช้หรือประมวลผลข้อมูลของลูกค้า คุณดำเนินการประมวลผลโดยอิงจากคำยินยอมของลูกค้าหรือไม่ คุณประมวลผลเพื่อบรรลุภาระหน้าที่ตามสัญญาที่มีต่อลูกค้าใช่หรือไม่ คุณประมวลผลเพื่อเสริมสร้างผลประโยชน์ทางธุรกิจที่ชอบด้วยกฎหมายของคุณใช่หรือไม่ คุณควรบันทึกมูลฐานทางกฎหมายให้เป็นส่วนหนึ่งของแผนผังหลักปฏิบัติด้านข้อมูลของคุณดังที่ระบุไว้ในการเก็บรวบรวมข้อมูลส่วนบุคคล
-
ในกรณีที่คุณใช้คำยินยอม คำยินยอมดังกล่าวผูกมัดกับสินค้าหรือบริการที่คุณนำเสนอหรือไม่ ยกตัวอย่างเช่น ข้อความอย่าง
by purchasing these goods, you agree to our use of your personal informationอาจใช้ไม่ได้อีกต่อไปภายใต้ GDPR - คุณให้รายละเอียดที่เพียงพอเกี่ยวกับวิธีที่คุณจะนำข้อมูลส่วนบุคคลดังกล่าวไปใช้เพื่อยืนยันว่าลูกค้ามอบคำยินยอมโดยที่รับทราบชัดเจนใช่หรือไม่
- มีการบันทึกและจัดเก็บคำยินยอมของลูกค้าไว้ที่ใดบ้างหรือไม่
- คุณกำหนดให้ต้องมีความยินยอมในการที่จะแจ้งข่าวสารทางการตลาดไปยังลูกค้าของคุณหรือไม่ แม้ว่าคุณไม่จำเป็นต้องใช้คำยินยอมภายใต้ GDPR แต่กฎหมายในท้องที่อาจหรืออาจจะไม่กำหนดให้คุณต้องขอคำยินยอมในการแจ้งข่าวสารทางการตลาดไปยังลูกค้าของคุณก็เป็นได้ ปรึกษาทนายความของคุณเกี่ยวกับข้อกำหนดที่เฉพาะเจาะจงซึ่งอาจมีผลใช้กับร้านค้าของคุณ
- หากคุณเชื่อว่าคุณต้องใช้คำยินยอมในการที่จะแจ้งข่าวสารทางการตลาด คำถามก็คือตามค่าเริ่มต้นแล้ว คุณกำหนดให้ระบบไม่ต้องทำเครื่องหมายที่ช่องความยินยอมทางการตลาดสำหรับร้านค้าของคุณใช่หรือไม่ ลองพิจารณาการตั้งค่าหน้าร้านของคุณเพื่อให้ช่องทำเครื่องหมายความยินยอมทางการตลาดที่ปรากฏให้ลูกค้าของคุณเห็นไม่มีการทำเครื่องหมายไว้ตามค่าเริ่มต้น เพื่อเป็นการสร้างความมั่นใจว่าลูกค้าของคุณต้องดำเนินการยืนยันในการที่จะมอบความยินยอม
การยินยอมจากผู้ปกครอง
GDPR ประกอบไปด้วยข้อกำหนดที่เฉพาะเจาะจงในเรื่องของการยินยอมจากผู้ปกครองในการที่จะประมวลผลข้อมูลส่วนบุคคลของผู้ใช้ที่มีอายุไม่เกิน 16 ปี (แม้ว่าอายุที่กำหนดอาจต่ำกว่านี้ในบางประเทศ)
พิจารณาเกี่ยวกับคำถามต่อไปนี้
- คุณจำเป็นต้องเปลี่ยนวิธีประมวลผลข้อมูลของลูกค้าเพื่อที่จะยุติการประมวลผลข้อมูลของผู้ที่มีอายุไม่เกิน 16 ปี หรือเพื่อที่จะขอการยินยอมจากผู้ปกครองใช่หรือไม่ โดยคุณอาจดำเนินการได้โดยห้ามไม่ให้ผู้ใช้ที่มีอายุไม่เกิน 16 ปีเข้าถึงร้านค้าของคุณด้วยการใช้แอปตรวจสอบยืนยันอายุจาก Shopify App Store หรือด้วยการขอให้ผู้เยี่ยมชมยืนยันว่าตนเองเป็นบุคคลที่บรรลุนิติภาวะ
การตัดสินใจด้วยระบบอัตโนมัติ
GDPR กำหนดว่าคุณจะต้องแจ้งเตือนลูกค้าในกรณีที่คุณนำข้อมูลส่วนบุคคลของพวกเขาไปใช้ดำเนินการตัดสินใจด้วยระบบอัตโนมัติใดๆ ก็ตาม
การดำเนินการตัดสินใจด้วยระบบอัตโนมัติหมายถึงการใช้อัลกอริทึมอัตโนมัติในการดำเนินการตัดสินใจว่าปัจเจกบุคคลหนึ่งๆ มีสิทธิ์ที่จะใช้บริการหรือได้รับข้อเสนอบางอย่างหรือไม่ ควรถูกเรียกเก็บค่าใช้จ่ายในราคาใดราคาหนึ่งหรือไม่ หรือมีแนวโน้มที่จะสนใจสินค้าหรือบริการบางประเภทหรือไม่
หากคุณใช้กระบวนการใดๆ ก็ตามที่มีการดำเนินการตัดสินใจด้วยระบบอัตโนมัติโดยสมบูรณ์ (หมายความว่าไม่มีการเข้าไปข้องเกี่ยวจากมนุษย์เลย) ที่จะมีผลทางกฎหมายอย่างมีนัยสำคัญต่อลูกค้า คุณก็จำเป็นที่จะต้องได้รับคำยินยอมจากลูกค้าเสียก่อน
| กระบวนการ | ข้อกำหนด |
|---|---|
| การตัดสินใจด้วยระบบอัตโนมัติ | การแจ้งเตือน |
| การตัดสินใจด้วยระบบอัตโนมัติโดยสมบูรณ์ที่มีผลทางกฎหมายอย่างมีนัยสำคัญ | คำยินยอม |
โดยทั่วไปแล้ว Shopify จะไม่นำข้อมูลส่วนบุคคลของลูกค้าคุณไปดำเนินการตัดสินใจด้วยระบบอัตโนมัติโดยสมบูรณ์
ข้อยกเว้นเพียงหนึ่งเดียวคือการคัดกรองความเสี่ยงและการทุจริตของ Shopify ซึ่ง Shopify อาจบล็อคหมายเลขบัตรชำระเงินหรือที่อยู่ IP ใดก็ตามโดยอัตโนมัติหลังจากที่มีการพยายามที่จะชำระเงินล้มเหลวตามจำนวนที่กำหนด Shopify เชื่อว่ากระบวนการนี้ไม่ได้มีผลทางกฎหมายอย่างมีนัยสำคัญต่อลูกค้า เนื่องจากการบล็อคโดยอัตโนมัติจะมีผลเพียงแค่ช่วงระยะเวลาที่สั้นๆ เท่านั้น
พิจารณาเกี่ยวกับคำถามต่อไปนี้:
- คุณได้ระบุในนโยบายความเป็นส่วนตัวของคุณหรือไม่ว่าการคัดกรองความเสี่ยงและการทุจริตของ Shopify อาจใช้ข้อมูลส่วนบุคคลของลูกค้าในการดำเนินการตัดสินใจที่เป็นอัตโนมัติ คุณสามารถอ่านรายละเอียดเพิ่มเติมเกี่ยวกับหลักปฏิบัติในเรื่องการดำเนินการตัดสินใจที่เป็นอัตโนมัติของ Shopify ได้ในมาตราที่ 13 ของนโยบายความเป็นส่วนตัว นอกจากนั้นคุณยังควรที่จะยืนยันกับทนายความของคุณตามแต่ละสถานการณ์ว่าบริการนี้ไม่ได้มีผลทางกฎหมายอย่างมีนัยสำคัญต่อลูกค้าของคุณอีกด้วย
- คุณกำลังใช้แอปจากภายนอกใดก็ตามที่อาจใช้การดำเนินการตัดสินใจที่เป็นอัตโนมัติหรือไม่ คุณควรให้ความใส่ใจเป็นพิเศษกับการตรวจสอบบริการตรวจสอบความเสี่ยงหรือการทุจริตจากภายนอกใดๆ ก็ตามที่คุณใช้ในลักษณะที่เกี่ยวข้องกับหน้าร้านของคุณ หรือแอปการตลาดหรือการโฆษณาประเภทใดก็ตามที่อาจสร้างโปรไฟล์หรือกำหนดกลุ่มลูกค้าส่วนต่างๆ ให้เป็นเป้าหมาย
- ในกรณีที่คุณใช้แอปจากภายนอกที่มีการดำเนินการตัดสินใจด้วยระบบอัตโนมัติ คำถามก็คือคุณต้องแจ้งให้ลูกค้าของคุณทราบหรือรวบรวมคำยินยอมในการที่จะใช้แอปเหล่านี้หรือไม่
การแจ้งเตือนข้อมูลรั่วไหล
หาก GDPR มีผลบังคับใช้กับคุณ และคุณเผชิญกับสถานการณ์ข้อมูลรั่วไหล คุณอาจต้องแจ้งเตือนผู้ที่ได้รับผลกระทบหรือหน่วยงานดูแลควบคุมที่เฉพาะเจาะจง
ที่สำคัญคือ GDPR กำหนดให้ต้องมีการแจ้งในกรณีที่ข้อมูลรั่วไหลมีแนวโน้มที่จะก่อให้เกิดความเสี่ยงสูงว่าจะส่งผลประทบร้ายแรงต่อสิทธิ์และเสรีภาพของปัจเจกบุคคล
ซึ่งจะนับเป็นกรณีดังกล่าวหากข้อมูลที่รั่วไหล:
- มีรายละเอียดการชำระเงิน
- อาจถูกนำไปใช้เพื่อเปิดเผยข้อมูลที่สร้างความอับอายหรือข้อมูลส่วนบุคคล
- อาจถูกนำไปใช้เพื่อเข้าถึงบัญชีผู้ใช้หรือบริการต่างๆ ของปัจเจกบุคคล
ในกรณีที่เกี่ยวข้อง คุณจะต้องแจ้งเตือนโดยเร็วที่สุดภายใน 72 ชั่วโมงหลังจากที่คุณทราบถึงการรั่วไหล
พิจารณาเกี่ยวกับคำถามต่อไปนี้:
- คุณได้ปรึกษากับทนายความหรือยังเพื่อที่จะกำหนดว่าข้อมูลที่คุณเก็บรวบรวมและประมวลผลใดบ้างที่อาจส่งผลให้คุณต้องแจ้งเตือนในกรณีที่เกิดการรั่วไหลของข้อมูล
- คุณได้จัดเตรียมแผนการรับมือข้อมูลรั่วไหลสำหรับธุรกิจเพื่อเตรียมความพร้อมที่จะเผชิญหน้ากับเหตุการณ์เช่นนี้หรือไม่
- มีรายละเอียดการชำระเงิน
- อาจถูกนำไปใช้เพื่อเปิดเผยข้อมูลที่สร้างความอับอายหรือข้อมูลส่วนบุคคล
- อาจถูกนำไปใช้เพื่อเข้าถึงบัญชีผู้ใช้หรือบริการต่างๆ ของปัจเจกบุคคล
GDPR บังคับใช้ข้อกำหนดกับบริษัทใดก็ตามที่ใช้ผู้ขายและผู้ให้บริการจากภายนอกในการประมวลผลข้อมูลส่วนบุคคลของผู้ใช้ของตน
Shopify เองก็ใช้ผู้ประมวลผลรายย่อยจำนวนมากในการประมวลผลข้อมูลของลูกค้าคุณ สำหรับข้อมูลเพิ่มเติมเกี่ยวกับผู้ประมวลผลรายย่อยของ Shopify ให้ดูที่ผู้ประมวลผลรายย่อยของ Shopify
พิจารณาเกี่ยวกับคำถามต่อไปนี้
- คุณได้ตรวจสอบหลักปฏิบัติด้านความเป็นส่วนตัวของผู้ขายหรือผู้ให้บริการที่คุณใช้ ซึ่งรวมถึง Shopify เพื่อยืนยันว่าคุณพึงพอใจกับวิธีที่ทั้งสองฝ่ายที่กล่าวถึงนี้ให้ความคุ้มครองข้อมูลส่วนบุคคลของลูกค้าคุณหรือยัง
แอปจากภายนอก
GDPR กำหนดว่าคุณต้องมีการดำเนินการแสดงความยินยอมจำนวนมากที่เกี่ยวข้องกับการเก็บรวบรวมและใช้ข้อมูลส่วนบุคคลทั้งของคุณและของผู้ให้บริการบริการจากภายนอกของคุณ โดยรวมถึง Shopify และแอปจากภายนอกใดๆ ก็ตามที่คุณใช้ในลักษณะที่เกี่ยวข้องกับร้านค้า Shopify ของคุณ
Shopify ได้ดำเนินการเตรียมความพร้อมเพื่อให้คุณสามารถทำความเข้าใจได้ง่ายยิ่งขึ้นว่าแอปที่คุณติดตั้งจะสามารถเข้าถึงข้อมูลส่วนบุคคลใดบ้าง
ขั้นตอน:
คลิกแอปใน Shopify admin
คลิกที่ดูรายละเอียดของแอปที่คุณต้องการตรวจสอบสิทธิ์อนุญาต
นอกจากนี้คุณยังสามารถตรวจสอบสิทธิ์อนุญาตของแอปก่อนการติดตั้งได้ที่หน้าจอการติดตั้งในร้านค้าแอป
ไม่เพียงเท่านั้น ยังมีส่วนของร้านค้าแอปสำหรับแต่ละแอปเพื่อที่จะเชื่อมโยงไปบังนโยบายความเป็นส่วนตัวซึ่งชี้แจ้งแบบลงรายละเอียดชัดเจนว่าผู้พัฒนาแอปจะเก็บรวบรวมข้อมูลใดบ้าง และมีวิธีการนำไปใช้อย่างไร
แม้ว่า Shopify จะต้องการให้คุณสามารถประเมินหลักปฏิบัติด้านข้อมูลของแอปที่คุณเลือกที่จะติดตั้งได้ง่ายที่สุดเท่าที่จะเป็นไปได้ แต่ทั้งนี้ก็ขึ้นอยู่กับตัวคุณเองในการที่จะยืนยันว่าคุณกำลังใช้แอปจากภายนอกในลักษณะที่เป็นไปตามข้อกำหนดของ GDPR
พิจารณาเกี่ยวกับคำถามต่อไปนี้
- เมื่อคำนึงถึงตำแหน่งที่ตั้งของคุณ ตำแหน่งที่ตั้งของลูกค้าคุณ ตำแหน่งที่ตั้งของผู้พัฒนาแอปของคุณ รวมถึงวิธีการที่คุณนำแต่ละแอปไปใช้งานแล้ว จะถือได้ว่าคุณกำลังใช้แอปจากภายนอกในลักษณะที่เป็นไปตามข้อกำหนดของ GDPR หรือไม่ ให้ขอคำปรึกษาจากทนายความของคุณในกรณีที่มีข้อสงสัยว่าคุณอาจจำเป็นต้องให้การพิจารณาหลักปฏิบัติเกี่ยวกับข้อมูลของแอปใดแอปหนึ่งเพิ่มเติมหรือไม่ หรือว่าเป็นหน้าที่คุณที่จะต้องลงมือดำเนินการเพิ่มเติมเพื่อรับรองให้เกิดการปฏิบัติตาม GDPR หรือไม่
การถ่ายโอนข้อมูลระหว่างประเทศ
GDPR ห้ามมิให้มีการส่งออกข้อมูลส่วนบุคคลของชาวยุโรปไปยังภายนอกทวีปยุโรป ยกเว้นเสียแต่ว่าข้อมูลดังกล่าวจะได้รับการคุ้มครองอย่างเหมาะสมเพียงพอ
Shopify ให้ความคุ้มครองข้อมูลส่วนบุคคลตามข้อกำหนดต่างๆ ของ GDPR เมื่อมีการถ่ายโอนข้อมูลที่ว่าไปยังสหรัฐอเมริกาและแคนาดา รวมถึงประมวลผลข้อมูลในสองประเทศที่เอ่ยถึง
Shopify ได้จัดเตรียมขั้นตอนการส่งข้อมูลเพื่อจัดการกับข้อกำหนดเหล่านี้ให้แก่ผู้ขาย โดยตามที่ได้ระบุไว้ในนโยบายความเป็นส่วนตัวของ Shopify ในเบื้องต้นระบบจะได้รับและประมวลผลข้อมูลส่วนบุคคลของชาวยุโรปทั้งหมดในไอร์แลนด์ ซึ่งดำเนินการโดย Shopify International Ltd. ที่เป็นบริษัทสัญชาติไอริชในเครือของ Shopify เอง จากนั้นจึงถ่ายโอนข้อมูลดังกล่าวต่อไปในลักษณะที่เป็นไปตามข้อกำหนดของ GDPR
พิจารณาเกี่ยวกับคำถามต่อไปนี้
คุณได้ยืนยันหรือยังว่าฝ่ายที่คุณถ่ายโอนข้อมูลไปให้จะถ่ายโอนข้อมูลดังกล่าวข้ามพรมแดนระหว่างประเทศด้วยวิธีที่เป็นไปตามข้อกำหนดของ GDPR โดยคุณสามารถยืนยันได้ด้วยการดูที่นโยบายความเป็นส่วนตัวของแอปจากภายนอกของคุณ ช่องทาง ช่องทางการชำระเงิน หรือผู้ขายรายอื่นๆ และตรวจดูว่ามีการอธิบายถึงวิธีที่แต่ละฝ่ายเหล่านี้ให้ความคุ้มครองข้อมูลจากยุโรปหรือไม่