การประมวลคำร้องขอข้อมูล GDPR
GDPR อธิบายเพิ่มเติมเกี่ยวกับสิทธิ์ของแต่ละบุคคลในการเข้าถึงและควบคุมข้อมูลส่วนบุคคลของตนเอง หน้านี้ประกอบด้วยหัวข้อดังต่อไปนี้
- ข้อมูลแยกย่อยของสิทธิ์เหล่านั้น
- วิธีที่คุณสามารถใช้แพลตฟอร์มของ Shopify เพื่อจัดการกับคำขอของสิทธิ์แต่ละข้อ
- สิ่งที่คุณอาจต้องภายนอกแพลตฟอร์ม Shopify หากคุณได้รับการร้องขอสิทธิ์แต่ละข้อ
ทำความเข้าใจกับคำขอการเข้าถึงเจ้าของข้อมูลและคำขอคงสิทธิ์
GDPR ให้สิทธิขอสำเนาข้อมูลส่วนบุคคลที่บริษัทแห่งหนึ่งประมวลผลแก่บุคคลต่างๆ ในบางกรณี
ดังนั้น GDPR จึงกำหนดว่าคุณต้องสามารถให้สำเนาข้อมูลส่วนตัวของลูกค้าแก่ลูกค้าผู้เป็นเจ้าของนั้นเองในรูปแบบ:
- ทั่วไป
- อ่านง่าย
- พกพาได้
การทำเช่นนี้ทำให้ลูกค้าสามารถใช้ข้อมูลกับผู้ให้บริการรายอื่นได้ Shopify ช่วยให้คุณสามารถส่งออกข้อมูลส่วนใหญ่ในรูปแบบ CSV หรือ Excel ได้โดยตรงจากส่วนผู้ดูแลระบบของคุณ (ตัวอย่างเช่น คำสั่งซื้อ สินค้า และข้อมูลลูกค้า)
โดยปกติแล้ว คุณควรตอบรับคำขอภายใน 30 วัน อนุญาตให้เลื่อนออกไปได้หากดำเนินการตามคำขอได้ยากเป็นพิเศษ
ประมวลผลคำขอการเข้าถึงเจ้าของข้อมูลและความคงสิทธิ์
หากคุณได้รับคำขอการเข้าถึงหรือคำขอคงสิทธิ์ คุณจะต้องยืนยันตัวตนของผู้ร้องขอก่อน (เพื่อไม่ให้คุณมอบข้อมูลส่วนลับบุคคลของลูกค้าของคุณให้แก่ผู้อื่นโดยไม่ได้ตั้งใจ)
ขั้นตอน:
ไปที่ Shopify admin แล้วคลิกลูกค้า
ป้อนชื่อของลูกค้าที่คุณต้องการร้องขอบันทึก
คลิกร้องขอข้อมูลลูกค้า
หมายเหตุ: มีเพียงเจ้าของร้านค้าเท่านั้นที่สามารถส่งคำขอข้อมูลลูกค้าได้
ระบบจะส่งข้อมูลของลูกค้าผ่านอีเมลไปยังเจ้าของร้านค้าเพื่อส่งให้แก่ลูกค้าที่ร้องขอ
นอกจากนั้น มาตราที่ 15 ของ GDPR ยังกำหนดคุณต้องอธิบายบริบทเพิ่มเติมเกี่ยวกับวิธีการใช้ข้อมูลที่คุณให้ ได้แก่:
- วัตถุประสงค์ในการประมวลผลข้อมูลของลูกค้า
- บุคคลภายนอกที่ได้รับข้อมูลนี้
- ระยะเวลาการเก็บรักษาที่เกี่ยวข้องใดๆ
- สถานที่รวบรวมข้อมูล (หากไม่ใช่มาจากลูกค้าโดยตรง)
- ใช้ข้อมูลเป็นส่วนหนึ่งของการตัดสินใจด้วยระบบอัตโนมัติหรือไม่
นอกจากนี้คุณต้องรับประกันสิ่งต่อไปนี้ได้:
- สิทธิ์ของลูกค้าในการร้องขอให้แก้ไขหรือลบข้อมูล
- สิทธิ์ของลูกค้าในการคัดค้านวิธีการประมวลผลข้อมูลของพวกเขา
- สิทธิ์ของลูกค้าในการร้องเรียนต่อผู้ควบคุมข้อมูล
หมายเหตุ: หากต้องการข้อมูลเพิ่มเติมเกี่ยวกับวิธีตอบกลับคำขอเข้าถึง คุณสามารถอ่านโพสต์นี้ได้ที่สำนักงานคณะกรรมการข้อมูลข่าวสารแห่งสหราชอาณาจักร
พิจารณาเกี่ยวกับคำถามต่อไปนี้:
- คุณสามารถอธิบายบริบทที่จำเป็นทั้งหมดเกี่ยวกับข้อมูลของลูกค้าในกรณีที่พวกเขาถามได้หรือไม่ พยายามวางแผนจัดการคำขอล่วงหน้าโดยการเก็บแผนที่ของข้อมูลส่วนบุคคลทั้งหมดที่คุณ (หรือผู้ให้บริการที่คุณใช้อย่าง Shopify) จัดเก็บข้อมูลเกี่ยวกับลูกค้าของคุณ
- คุณได้พิจารณาถึงผู้ให้บริการรายอื่นที่คุณอาจใช้ ซึ่งอาจมีสิทธิ์เข้าถึงข้อมูลส่วนบุคคลของลูกค้าคุณหรือไม่ ผู้ให้บริการเหล่านี้อาจรวมถึงแอป ช่องทาง และเกตเวย์การชำระเงินต่างๆ ของผู้ให้บริการภายนอก
- คุณมีข้อมูลติดต่อสำหรับบริการภายนอกทั้งหมดที่คุณใช้ ซึ่งอาจเก็บข้อมูลส่วนบุคคลของลูกค้าคุณหรือไม่
ประมวลผลคำขอให้ลบข้อมูล
GDPR ให้สิทธิ์แก่บุคคลในการขอให้ลบข้อมูลส่วนบุคคลของพวกเขา ขอให้หรือบริษัทแห่งหนึ่งจำกัดการประมวลผลข้อมูลส่วนบุคคล โดยสามารถใช้สิทธิ์ได้ในบางกรณี
"ข้อมูลส่วนบุคคล" หมายถึงข้อมูลใดๆ ที่สามารถใช้ระบุตัวตนของบุคคลหนึ่ง ได้แก่:
- ชื่อ
- ที่อยู่
- อีเมล
- ที่อยู่ IP
- หมายเลขบัตรเครดิต
ข้อมูลส่วนบุคคลไม่รวมถึงข้อมูลที่เกี่ยวข้องกับทางการเงินเพียงเรื่องเดียว และไม่สามารถเชื่อมโยงถึงบุคคลใดได้ เช่น
- ขายสินค้ารายการหนึ่งได้กี่ครั้ง
- ร้านค้าของคุณสร้างรายได้เท่าใด
หมายเหตุ: คุณไม่จำเป็นต้องเปิดเผยหรือลบข้อมูลที่เกี่ยวข้องเฉพาะด้านการเงิน เมื่อคุณได้รับคำร้องขอภายใต้ GDPR ที่จริงแล้ว คุณอาจไม่ได้รับอนุญาตตามกฎหมายให้ทำเช่นนั้นในบางเขตอำนาจศาล ที่ซึ่งคุณอาจต้องเก็บรักษาบันทึกคำสั่งซื้อเพื่อการยื่นภาษีหรือด้วยเหตุผลทางกฎหมายอื่นๆ
หากคุณได้รับคำขอให้ลบ (บางครั้งเรียกว่าการปกปิดหรือการลบ) คุณควรตรวจสอบยืนยันตัวตนของลูกค้าก่อน และควรตรวจสอบให้แน่ใจว่าไม่มีเหตุผลที่คุณต้องเก็บรักษาข้อมูลของลูกค้าไว้แล้ว (ตัวอย่างเช่น กรณีที่ลูกค้าเป็นพนักงานด้วย)
ขั้นตอน:
ไปที่ Shopify admin แล้วคลิกลูกค้า
ป้อนชื่อของลูกค้าที่คุณต้องการร้องขอให้ลบข้อมูล
คลิกลบข้อมูลส่วนบุคคล
หมายเหตุ: มีเพียงเจ้าของร้านค้าเท่านั้นที่สามารถส่งคำขอให้ลบข้อมูลลูกค้าได้
หลังจากที่คุณส่งคำขอให้ลบข้อมูลผ่านส่วนผู้ดูแลระบบแล้ว Shopify จะส่งคำขอให้ลบข้อมูลของคุณไปยังแอปทั้งหมดที่คุณติดตั้งในเวลาที่คุณส่งคำขอที่อาจมีสิทธิ์เข้าถึงข้อมูลของลูกค้านั้น
เมื่อคุณส่งคำขอให้ลบข้อมูลภายในส่วนผู้ดูแลระบบของคุณ ระยะเวลาบัฟเฟอร์ 10 วันจะเริ่มขึ้น โดยที่คุณสามารถยกเลิกคำขอภายในช่วงเวลานี้ได้ในกรณีที่คุณส่งคำขอโดยไม่ตั้งใจ หากต้องการยกเลิกคำขอลบข้อมูลที่ค้างอยู่ โปรดส่งอีเมลถึง Shopify ที่ privacy@shopify.com พร้อมแนบข้อมูลร้านค้าของคุณและเอกสารยืนยันตัวตนที่เกี่ยวข้องของลูกค้า
เมื่อคุณส่งคำขอให้ลบข้อมูลแล้ว Shopify จะปกปิดเฉพาะข้อมูลส่วนบุคคลเท่านั้น (เช่นชื่อและที่อยู่) ข้อมูลคำสั่งซื้อที่ไม่เปิดเผยชื่อของคุณจะยังคงอยู่ในสภาพเดิมในกรณีที่คุณต้องการนำไปใช้ด้วยวัตถุประสงค์ทางการบัญชี เมื่อลบข้อมูลส่วนบุคคลที่เกี่ยวข้องแล้ว เราจะส่งอีเมลยืนยันให้คุณ
ตามค่าเริ่มต้นแล้ว Shopify จะไม่ลบข้อมูลส่วนบุคคลหากลูกค้าวางคำสั่งซื้อสินค้าในช่วง 6 เดือนที่ผ่านมา (180 วัน) ในกรณีที่มีการปฏิเสธการชำระเงิน หากมีการส่งคำขอให้ลบออกในกรอบเวลาข้างต้น คำขอดังกล่าวจะค้างดำเนินการเช่นนั้น และ Shopify จะดำเนินการเมื่อผ่านเวลาที่เหมาะสมแล้ว คุณไม่จำเป็นต้องส่งคำขออื่น
หากต้องการแก้ไขระยะเวลารอดำเนินการนี้ (โดยไม่คำนึงถึงความเสี่ยงของการปฏิเสธการชำระเงิน) คุณต้องส่งอีเมลให้ Shopify ที่ privacy@shopify.com
พิจารณาเกี่ยวกับคำถามต่อไปนี้:
- คุณจัดเก็บข้อมูลลูกค้าใดๆ ไว้ในคอมพิวเตอร์ส่วนตัวของคุณหรือพิมพ์เก็บลงกระดาษหรือไม่
- มีบุคคลภายนอกรายอื่น เช่น ช่องหรือช่องทางการชำระเงินที่คุณอาจต้องติดต่อเพื่อร้องขอให้ลบข้อมูลส่วนบุคคลของลูกค้าหรือไม่
- มีข้อกำหนดในท้องถิ่น เช่น กฎหมายภาษี ที่อาจกำหนดให้คุณเก็บข้อมูลส่วนบุคคลของลูกค้า แม้ว่าพวกเขาจะส่งคำขอให้ลบก็ตามหรือไม่ ขอแนะนำให้ปรึกษากับทนายความท้องถิ่นที่คุ้นเคยกับข้อกำหนดการเก็บรักษาข้อมูล เพื่อช่วยตอบคำถามนี้
ดาวน์โหลดรายงานสรุปเกี่ยวกับ GDPR ของ Shopify
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีที่ Shopify ปฏิบัติตาม GDPR และเพื่อให้แน่ใจว่าคุณก็ปฏิบัติตาม GDPR ที่เกี่ยวข้องกับการใช้งาน Shopify โปรดดาวน์โหลดเอกสารรายงานสรุปเกี่ยวกับ GDPR ของ Shopify (ภาษาไทย)