Quy định chung về bảo vệ dữ liệu (GDPR) ảnh hưởng đến bạn như thế nào?

Quy định chung về bảo vệ dữ liệu (GDPR) ảnh hưởng đến mọi thương nhân Shopify có cơ sở tại châu Âu hoặc phục vụ khách hàng châu Âu. Dù Shopify đang cố gắng đảm bảo tuân thủ và cho phép thương nhân tuân thủ Quy định chung về bảo vệ dữ liệu (GDPR) kể từ ngày 25 tháng 5 năm 2018, bạn cần lưu ý rằng Quy định chung về bảo vệ dữ liệu (GDPR) cũng sẽ yêu cầu bạn hành động độc lập với nền tảng Shopify.

Shopify muốn tạo điều kiện tốt nhất để thương nhân có thể để tuân thủ luật pháp. Bài viết này bao gồm những câu hỏi nên cân nhắc để giúp bạn đánh giá nghĩa vụ của mình, qua đó đảm bảo bạn đã thiết lập cửa hàng theo đúng luật pháp.

Tuy nhiên, đây không phải là nội dung tư vấn pháp lý. Quy định chung về bảo vệ dữ liệu (GDPR) là một quy định phức tạp và sẽ áp dụng khác nhau đối với các thương nhân. Bạn cần tham khảo ý kiến luật sư để biết cụ thể mình nên làm gì.

Để biết thông tin về xử lý yêu cầu dữ liệu, xem phần Xử lý yêu cầu dữ liệu GDPR.

Tại sao Shopify không thể xử lý việc tuân thủ Quy định chung về bảo vệ dữ liệu (GDPR) đối với thương nhân?

Quy định chung về bảo vệ dữ liệu (GDPR) đặt ra các nghĩa vụ khác nhau cho bên kiểm soát và đơn vị xử lý dữ liệu. Là đơn vị xử lý dữ liệu, Shopify thực hiện nghĩa vụ pháp lý của mình theo quy định của Quy định chung về bảo vệ dữ liệu (GDPR). Tuy nhiên, thương nhân (là bên kiểm soát) cũng có nghĩa vụ riêng phải lưu ý.

Shopify cung cấp cho thương nhân một nền tảng có thể định cấu hình để tuân thủ GDPR, nhưng bạn phải tự cân nhắc cách điều hành doanh nghiệp của mình.

Để chỉ dẫn thêm, các tổ chức quản lý dưới đây trong Liên minh Châu Âu đã cung cấp hướng dẫn cụ thể liên quan đến Quy định chung về bảo vệ dữ liệu (GDPR):

Thu thập dữ liệu cá nhân

Quy định chung về bảo vệ dữ liệu (GDPR) bảo vệ quyền cơ bản của cá nhân trong phạm vi Liên minh Châu Âu liên quan đến xử lý dữ liệu cá nhân.

Ví dụ về dữ liệu cá nhân bao gồm:

  • Tên
  • Địa chỉ
  • Địa chỉ email
  • Tài khoản mạng xã hội
  • Mã nhận dạng điện tử như địa chỉ IP hoặc ID cookie.

Hãy suy nghĩ về các câu hỏi sau:

  • Bạn có đang thu thập dữ liệu cá nhân từ khách hàng tại châu Âu không? Cư dân châu Âu có thể sử dụng phần lớn các trang web và những trang web này sẽ phải tuân thủ GDPR.
  • Nếu cửa hàng của bạn sử dụng ứng dụng hoặc chủ đề của bên thứ ba, họ có thu thập và xử lý thông tin theo Quy định chung về bảo vệ dữ liệu (GDPR) không? Để đơn giản hóa quy trình này, Shopify sẽ yêu cầu tất cả các ứng dụng đăng một chính sách quyền riêng tư nêu chi tiết các biện pháp xử lý dữ liệu của họ, qua đó bạn có thể cân nhắc xem có thấy biện pháp xử lý dữ liệu của ứng dụng đó ổn thỏa không. Các ứng dụng do Shopify phát triển tuân thủ Thỏa thuận bổ sung về xử lý dữ liệu, và Shopify chịu trách nhiệm về nghĩa vụ tuân thủ của những ứng dụng này.
  • Các kênh hoặc cổng thanh toán bạn sử dụng có thu thập và xử lý dữ liệu theo quy định của Quy định chung về bảo vệ dữ liệu (GDPR) không? Bạn nên theo dõi để đảm bảo các kênh hoặc cổng thanh toán tuân thủ.
  • Bạn có danh sách tất cả các loại dữ liệu cá nhân thu thập từ khách hàng và tất cả các phương thức sử dụng dữ liệu này không? Điều 30 của Quy định chung về bảo vệ dữ liệu (GDPR) yêu cầu bạn duy trì sơ đồ các biện pháp xử lý dữ liệu hiện có.

Thông báo về quyền riêng tư

Quy định chung về bảo vệ dữ liệu (GDPR) (và cụ thể từ Điều 12 đến 14) yêu cầu bạn cung cấp thông tin cụ thể cho các cá nhân có dữ liệu mà bạn đang xử lý, dưới hình thức thông báo về quyền riêng tư hoặc chính sách về quyền riêng tư.

Bạn có thể sử dụng trình tạo chính sách quyền riêng tư của Shopify để bắt đầu. Bạn có thể tìm thấy trong phần cài đặt dưới mục Thanh toán hoặc trên mạng.

Hãy suy nghĩ về câu hỏi sau:

  • Bạn có chính sách về quyền riêng tư trên trang web bao gồm tất cả thông tin cần cung cấp theo quy định không? Tối thiểu chính sách đó có bao gồm phương thức khách hàng có thể liên hệ với bạn khi có câu hỏi liên quan đến quyền riêng tư và phương thức khách hàng có thể thực hiện quyền của mình, ví dụ: quyền hủy (xóa) hoặc sửa (sửa đổi hoặc chỉnh sửa) dữ liệu của họ và quyền truy cập dữ liệu đó không?
  • Chính sách về quyền riêng tư của bạn có bao gồm cách Shopify có thể sử dụng dữ liệu cá nhân của khách hàng để ghi lại rủi ro và lừa đảo tự động không? Quy định chung về bảo vệ dữ liệu (GDPR) yêu cầu bạn thông báo khi bạn (hoặc nhà cung cấp dịch vụ của bạn) sử dụng dữ liệu của họ liên quan đến việc ra quyết định tự động. Shopify sử dụng thông tin cá nhân của khách hàng để chặn một số giao dịch có vẻ mang tính chất lừa đảo qua việc ra quyết định tự động. Trình tạo chính sách quyền riêng tư của Shopify bao gồm thông tin này. Để biết thêm thông tin về hệ thống này, xem phần Ra quyết định tự động.

Chỉ định Cán bộ bảo vệ dữ liệu

Cán bộ bảo vệ dữ liệu (DPO) giám sát cách tổ chức của bạn thu thập và xử lý dữ liệu cá nhân. Nếu các hoạt động cốt lõi của doanh nghiệp có bao gồm theo dõi trực tuyến quy mô lớn, Quy định chung về bảo vệ dữ liệu (GDPR) yêu cầu bạn chỉ định một Cán bộ bảo vệ dữ liệu (DPO) và cung cấp thông tin liên hệ cho Cán bộ bảo vệ dữ liệu (DPO) trong Chính sách về quyền riêng tư.

Quy định chung về bảo vệ dữ liệu (GDPR) bao gồm một số nhiệm vụ cụ thể mà Cán bộ bảo vệ dữ liệu (DPO) cần thực hiện, như tiến hành đánh giá tác động bảo vệ dữ liệu khi tổ chức của bạn thay đổi cách thu thập và xử lý dữ liệu cá nhân. Cán bộ bảo vệ dữ liệu (DPO) có thể là nhân viên nội bộ có chuyên môn về Quy định chung về bảo vệ dữ liệu (GDPR) và yêu cầu bảo vệ dữ liệu, nhưng bạn cũng có thể cân nhắc làm việc với tư vấn viên hoặc công ty dưới dạng Cán bộ bảo vệ dữ liệu (DPO) thuê ngoài.

Hãy suy nghĩ về các câu hỏi sau:

  • Bao nhiêu người chịu ảnh hưởng từ hoạt động theo dõi công nghệ trên cửa hàng của bạn? Những công nghệ này có thể bao gồm ứng dụng quảng cáo theo hành vi hoặc thậm chí ứng dụng nhắm mục tiêu lại. Số người chịu ảnh hưởng có phải "quy mô lớn" hay không - đây là quyết định pháp lý và bạn cần tham khảo ý kiến luật sư tùy thuộc vào tình huống của mình.
  • Bạn có nên tự nguyện chỉ định Cán bộ bảo vệ dữ liệu (DPO) không? Dù theo luật bạn không cần chỉ định Cán bộ bảo vệ dữ liệu (DPO), nếu bạn có hiện diện ở châu Âu với quy mô đủ lớn, có thể bạn muốn tự nguyện thực hiện điều này để đảm bảo dữ liệu khách hàng được bảo vệ đúng cách.

Thỏa thuận xử lý dữ liệu

Với vai trò là bên kiểm soát dữ liệu theo Quy định chung về bảo vệ dữ liệu (GDPR), Điều 28 quy định rằng khi bạn thuê một đơn vị xử lý dữ liệu (như Shopify) xử lý dữ liệu khách hàng, bạn phải đặt ra yêu cầu hợp đồng nghiêm ngặt về việc họ có thể sử dụng và xử lý dữ liệu đó như thế nào. Điều này thường được thực hiện qua Thỏa thuận bổ sung về xử lý dữ liệu hoặc DPA.

Shopify đã tự động bao gồm Thỏa thuận xử lý dữ liệu (https://www.shopify.com/legal/dpa) vào điều khoản dịch vụ của mình, với mục đích đáp ứng các yêu cầu của Điều 28.

Đối với thương nhân dùng Shopify Plus, hợp đồng đã đàm phán sẽ chi phối mối quan hệ của họ với Shopify. Thương nhân Plus có thể ký Thỏa thuận bổ sung về xử lý dữ liệu để giải quyết nhu cầu của mình. Thương nhân dùng Shopify Plus không ký Thỏa thuận bổ sung về xử lý dữ liệu sẽ chịu sự chi phối của Thỏa thuận bổ sung về xử lý dữ liệu trực tuyến của Shopify.

Hãy suy nghĩ về các câu hỏi sau:

  • Các đơn vị xử lý dữ liệu khác mà bạn hợp tác ngoài Shopify có cam kết bảo vệ dữ liệu của khách hàng theo hợp đồng không? Nhiều ứng dụng bên thứ ba, các kênh, cổng thanh toán hoặc đơn vị xử lý dữ liệu khác cũng sẽ tự động đưa Thỏa thuận xử lý dữ liệu vào điều khoản. Bạn đã tham khảo ý kiến với các bên thứ ba này chưa?

  • Bạn có phải là thương nhân dùng Shopify Plus có hợp đồng đã đàm phán không? Nếu bạn muốn ký Thỏa thuận bổ sung về xử lý dữ liệu, hãy liên hệ với Bộ phận hỗ trợ Shopify Plus. Họ có thể cung cấp cho bạn DPA mẫu của Shopify để ký.

Sự đồng thuận của khách hàng

Theo quy định của Quy định chung về bảo vệ dữ liệu (GDPR), bạn cần được khách hàng cho phép xử lý dữ liệu cá nhân của họ hoặc thay đổi cách nhận được sự cho phép hiện có.

Ví dụ: Bạn cần được khách hàng đồng ý nếu đang gửi thông báo tiếp thị cho khách hàng, hoặc nếu đang dùng các ứng dụng trực tuyến quảng cáo hay nhắm mục tiêu lại.

Nếu bạn cần nhận được sự đồng thuận, Quy định chung về bảo vệ dữ liệu (GDPR) quy định sự đồng thuận phải:

  • Được trao tự nguyện: Sự đồng thuận phải hoàn toàn tự nguyện và không nên kèm theo các hàng hóa hoặc dịch vụ khác.
  • Cụ thể: Sự đồng thuận phải gắn liền với các trường hợp sử dụng được giải thích rõ ràng.
  • Đầy đủ thông tin: Chỉ đồng ý nếu chủ thể dữ liệu được cung cấp đầy đủ thông tin về dữ liệu cá nhân sẽ thu thập và sử dụng.
  • Rõ ràng: Phải được thương nhân chứng minh bằng hành động quả quyết (tức là không chỉ đơn giản bằng cách tiếp tục sử dụng dịch vụ).

Do vậy, khách hàng cần được cung cấp thông tin chi tiết về trường hợp sử dụng cụ thể và người tiêu dùng cần thực hiện một số hành động quả quyết để thể hiện sự đồng thuận.

Cuối cùng, nếu bạn cho khách hàng cơ hội đưa ra sự đồng thuận, Quy định chung về bảo vệ dữ liệu (GDPR) cũng yêu cầu khách hàng có phương thức rút lại sự đồng thuận đó. Thông thường khách có thể thực hiện điều này qua chức năng hủy đăng ký. Nếu bạn có câu hỏi về thời điểm và cách thức để được khách hàng cho phép thu thập dữ liệu cá nhân, hoặc phạm vi cho phép khách hàng rút lại sự đồng thuận, bạn nên trao đổi với một luật sư có kinh nghiệm về luật bảo vệ dữ liệu.

Tuy nhiên, đồng thuận chỉ là một trong nhiều căn cứ pháp lý trong Quy định chung về bảo vệ dữ liệu (GDPR) cho việc xử lý dữ liệu cá nhân. Bạn cũng có thể xử lý dữ liệu cá nhân để thực hiện yêu cầu theo hợp đồng hoặc nếu luật pháp yêu cầu bạn xử lý dữ liệu.

Một số nhà quản lý châu Âu đã đè xuất rằng nếu ban đầu bạn yêu cầu sự đồng thuận và khách hàng từ chối hoặc đồng ý nhưng sau đó rút lại quyết định, bạn không thể dựa vào căn cứ pháp lý nào khác để xử lý dữ liệu cá nhân nữa. Do đó, bạn chỉ nên dựa vào sự đồng thuận nếu không có ý định (hoặc không cần) dựa vào căn cứ pháp lý nào khác để xử lý dữ liệu cá nhân.

Lưu ý: Bạn có thể đọc thêm về các loại căn cứ pháp lý để hỗ trợ xử lý dữ liệu trên trang web của Cao ủy Thông tin Vương Quốc Anh.

Hãy suy nghĩ về các câu hỏi sau:

  • Với mỗi cách sử dụng hoặc xử lý dữ liệu khách hàng khác nhau, bạn dựa vào căn cứ pháp lý nào? Bạn có đang xử lý dữ liệu dựa trên sự đồng thuận của khách hàng không? Bạn có đang xử lý để thực hiện nghĩa vụ hợp đồng với khách hàng? Bạn có đang xử lý để nâng cao lợi ích kinh doanh hợp pháp của mình? Bạn nên ghi lại căn cứ pháp lý như một phần sơ đồ các biện pháp sử dụng dữ liệu, được mô tả trong phần Thu thập dữ liệu cá nhân.
  • Nếu bạn căn cứ vào sự đồng thuận, sự đồng thuận bạn nhận được có đi kèm theo hàng hóa hay dịch vụ bạn cung cấp không? Ví dụ: Tuyên bố như by purchasing these goods, you agree to our use of your personal information có thể không còn được phép theo quy định của Quy định chung về bảo vệ dữ liệu (GDPR).
  • Bạn có cung cấp đủ thông tin chi tiết về cách thức sử dụng dữ liệu cá nhân đang được thảo luận, nhằm đảm bảo khách hàng đồng ý do được cung cấp đầy đủ thông tin?
  • Sự đồng thuận của khách hàng có được ghi lại và lưu trữ ở đâu không?
  • Bạn có yêu cầu khách hàng cho phép gửi thông tin tiếp thị đến họ không? Dù bạn không cần được khách hàng đồng ý theo quy định của Quy định chung về bảo vệ dữ liệu (GDPR), luật pháp địa phương có thể yêu cầu hoặc không yêu cầu bạn được cho phép gửi thông tin tiếp thị đến khách hàng. Trao đổi với luật sư về các yêu cầu cụ thể có thể áp dụng cho cửa hàng của bạn.
  • Nếu bạn cho rằng cần được khách hàng đồng ý để gửi thông tin tiếp thị, hộp kiểm đồng ý tiếp thị cho cửa hàng của bạn có mặc định chưa được chọn sẵn hay không? Cân nhắc thiết lập cửa hàng để hộp kiểm đồng ý tiếp thị hiển thị với khách hàng sẽ mặc định chưa được chọn sẵn, nhằm đảm bảo khách hàng phải có thao tác để quyết định đưa ra sự đồng thuận.

Sự cho phép của cha mẹ

Quy định chung về bảo vệ dữ liệu (GDPR) có yêu cầu chi tiết về sự cho phép của cha mẹ đối với việc xử lý dữ liệu cá nhân của người dùng dưới 16 tuổi (dù độ tuổi này có thể thấp hơn tại một số quốc gia).

Hãy suy nghĩ về câu hỏi sau:

  • Bạn có cần thay đổi cách thức xử lý dữ liệu khách hàng để dừng xử lý dữ liệu của người dùng dưới 16 tuổi hoặc nhận được sự cho phép của cha mẹ không? Bạn có thể làm vậy bằng cách cấm người dùng dưới 16 tuổi truy cập trang web của mình nhờ ứng dụng xác định tuổi trong Cửa hàng ứng dụng của Shopify hoặc bằng cách yêu cầu khách truy cập xác nhận mình đã qua tuổi thành niên.

Ra quyết định tự động

Quy định chung về bảo vệ dữ liệu (GDPR) yêu cầu bạn thông báo cho khách hàng nếu bạn đang sử dụng thông tin của họ vào việc ra quyết định tự động.

Ra quyết định tự động nghĩa là sử dụng các thuật toán tự động để đưa ra quyết định về việc một cá nhân có đủ điều kiện sử dụng một số dịch vụ hay đề nghị không, có bị tính một mức giá cụ thể không hoặc có khả năng quan tâm đến một số loại hàng hóa, dịch vụ nào đó không.

Bạn cần có sự đồng thuận của khách hàng nếu bạn đang sử dụng bất kỳ quy trình nào có ra quyết định hoàn toàn tự động (nghĩa là không có sự can thiệp của con người) gây ảnh hưởng pháp lý nghiêm trọng đối với họ.

Yêu cầu đối với quy trình ra quyết định tự động
Quy trình Yêu cầu
Ra quyết định tự động Thông báo
Ra quyết định hoàn toàn tự động có ảnh hưởng pháp lý nghiêm trọng Đồng thuận

Nói chung, Shopify không tham gia vào quá trình ra quyết định hoàn toàn tự động với dữ liệu cá nhân của khách hàng.

Ngoại lệ duy nhất là hoạt động sàng lọc rủi ro và gian lận của Shopify, trong đó Shopify có thể tự động chặn một số thẻ thanh toán hoặc địa chỉ IP sau một số lần thanh toán không thành công. Shopify không tin điều này gây ảnh hưởng pháp lý nghiêm trọng đến khách hàng vì việc chặn tự động chỉ kéo dài trong một khoảng thời gian ngắn.

Hãy suy nghĩ về các câu hỏi sau:

  • Chính sách về quyền riêng tư của bạn đã nhắc đến việc hoạt động sàng lọc rủi ro và gian lận của Shopify có thể sử dụng thông tin cá nhân của khách hàng để ra quyết định tự động chưa? Bạn có thể đọc thêm về các biện pháp ra quyết định tự động của Shopify trong Mục 13 của Chính sách về quyền riêng tư. Bạn cũng nên xác nhận với luật sư dựa trên tình huống cụ thể của mình rằng dịch vụ này không có ảnh hưởng pháp lý nghiêm trọng đến khách hàng.
  • Bạn có sử dụng ứng dụng bên thứ ba có thể tham gia vào hoạt động ra quyết định tự động không? Bạn cần đặc biệt chú ý xem lại các dịch vụ rủi ro hoặc gian lận bên thứ ba đang sử dụng có liên quan tới cửa hàng hoặc bất kỳ loại ứng dụng tiếp thị, quảng cáo nào có thể xây dựng hồ sơ hay nhắm mục tiêu vào phân khúc khách hàng của bạn.
  • Nếu bạn sử dụng ứng dụng bên thứ ba tham gia vào việc ra quyết định tự động thì bạn có cần thông báo cho khách hàng hoặc được khách hàng đồng ý với việc sử dụng những ứng dụng này không?

Thông báo vi phạm dữ liệu

Nếu Quy định chung về bảo vệ dữ liệu (GDPR) áp dụng với bạn và bạn gặp phải tình huống vi phạm dữ liệu, bạn cần thông báo cho những người dùng bị ảnh hưởng hoặc các cơ quan quản lý cụ thể.

Cụ thể, Quy định chung về bảo vệ dữ liệu (GDPR) yêu cầu thông báo xem hành động vi phạm dữ liệu có thể gây ảnh hưởng không tốt ở mức độ rủi ro cao đến quyền và sự tự do của cá nhân hay không.

Điều này có thể đúng nếu thông tin bị vi phạm:

  • Có bao gồm thông tin chi tiết thanh toán.
  • Có thể được dùng để tiết lộ thông tin làm mất thể diện hoặc thông tin cá nhân.
  • Có thể được dùng để truy cập tài khoản hoặc dịch vụ của cá nhân.

Nếu có thể, bạn sẽ được yêu cầu đưa ra thông báo trong vòng 72 giờ sau khi biết được hành động vi phạm.

Hãy suy nghĩ về các câu hỏi sau:

  • Bạn đã nói chuyện với luật sư để xác định thông tin nào bạn thu thập và xử lý có thể yêu cầu thông báo nếu gặp phải vi phạm dữ liệu chưa?
  • Bạn có kế hoạch ứng phó vi phạm dữ liệu đối với doanh nghiệp để chuẩn bị cho sự cố như vậy chưa?
  • Có bao gồm thông tin chi tiết thanh toán.
  • Có thể được dùng để tiết lộ thông tin làm mất thể diện hoặc thông tin cá nhân.
  • Có thể được dùng để truy cập tài khoản hoặc dịch vụ của cá nhân.

Quy định chung về bảo vệ dữ liệu (GDPR) đề ra các yêu cầu đối với các công ty sử dụng nhà cung cấp bên thứ ba và nhà cung cấp dịch vụ để xử lý dữ liệu cá nhân của người dùng.

Shopify sử dụng nhiều công ty xử lý phụ để xử lý dữ liệu của khách hàng. Để biết thêm thông tin về các công ty xử lý phụ của Shopify, xem các công ty xử lý phụ của Shopify.

Hãy suy nghĩ về câu hỏi sau:

  • Bạn đã xem lại các biện pháp về quyền riêng tư của các nhà cung cấp và nhà cung cấp dịch vụ mình sử dụng, bao gồm Shopify, để đảm bảo bạn thoải mái với phương pháp bảo vệ dữ liệu cá nhân khách hàng của họ chưa?

Ứng dụng bên thứ ba

Quy định chung về bảo vệ dữ liệu (GDPR) yêu cầu bạn thực hiện một số bước khẳng định liên quan đến việc thu thập, sử dụng dữ liệu cá nhân của bạn và nhà cung cấp dịch vụ bên thứ ba của bạn. Trong đó có Shopify và các ứng dụng bên thứ ba mà bạn có thể sử dụng liên quan đến cửa hàng Shopify của bạn.

Shopify đã hành động để giúp bạn dễ dàng tìm hiểu được các ứng dụng cài đặt có quyền truy cập vào dữ liệu cá nhân nào.

Các bước thực hiện:

  1. Trong trang quản trị Shopify, nhấp vào Ứng dụng.

  2. Nhấp vào View details (Xem thông tin chi tiết) trên ứng dụng bạn muốn xem lại quyền truy cập.

Bạn cũng có thể xem lại quyền ứng dụng trước khi cài đặt ứng dụng trên màn hình cài đặt trong kho ứng dụng.

Ngoài ra, trong cửa hàng ứng dụng có một mục dành cho mỗi ứng dụng liên kết với một chính sách quyền riêng tư, giải thích chính xác, chi tiết hơn loại dữ liệu mà nhà phát triển ứng dụng đang thu thập và cách họ sử dụng dữ liệu đó.

Shopify muốn giúp bạn đánh giá các biện pháp sử dụng dữ liệu của ứng dụng đã chọn cài đặt một cách dễ dàng nhất có thể, nhưng bạn chính là người quyết định việc đảm bảo đang sử dụng ứng dụng bên thứ ba theo đúng GDPR.

Hãy suy nghĩ về câu hỏi sau:

  • Dựa trên vị trí của bạn, vị trí khách hàng, vị trí nhà phát triển ứng dụng và cách triển khai mỗi ứng dụng, bạn có đang sử dụng ứng dụng bên thứ ba tuân theo Quy định chung về bảo vệ dữ liệu (GDPR) không? Tham khảo ý kiến luật sư nếu bạn muốn biết liệu mình có cần cân nhắc hoặc làm việc thêm về các biện pháp sử dụng dữ liệu của một ứng dụng cụ thể nào đó để đảm bảo tuân thủ Quy định chung về bảo vệ dữ liệu (GDPR) hay không.

Chuyển dữ liệu quốc tế

Quy định chung về bảo vệ dữ liệu (GDPR) nghiêm cấm xuất dữ liệu cá nhân của cư dân châu Âu ra bên ngoài châu Âu, trừ khi thông tin đó được bảo vệ thích đáng.

Shopify bảo vệ dữ liệu cá nhân theo yêu cầu của Quy định chung về bảo vệ dữ liệu (GDPR) khi dữ liệu được chuyển tới và xử lý tại Hoa Kỳ và Canada.

Shopify đã thiết lập luồng dữ liệu để thực hiện những yêu cầu này đối với thương nhân. Theo mô tả trong Mục 12 của Chính sách về quyền riêng tư của Shopify, tất cả dữ liệu cá nhân của cư dân châu Âu được tiếp nhận ban đầu từ thương nhân và được đơn vị liên kết của Shopify ở Ireland là Shopify International Ltd xử lý tại Ireland. Sau đó, Shopify sẽ chuyển tiếp dữ liệu đó theo quy định của Quy định chung về bảo vệ dữ liệu (GDPR):

Chuyển dữ liệu quốc tế GDPR

Để biết thêm thông tin về cách Shopify tiếp nhận và xử lý dữ liệu cá nhân từ Khu vực kinh tế châu Âu (EEA) và Vương quốc Anh theo tiêu chuẩn của Quy định chung về bảo vệ dữ liệu (GDPR) và các phương thức bảo vệ thông tin tối ưu, xem sách trắng Quy định chung về bảo vệ dữ liệu (GDPR) (bằng tiếng Anh) của Shopify.

Hãy suy nghĩ về câu hỏi sau:

Bạn có đảm bảo rằng các bên khác mà bạn chuyển dữ liệu đến sẽ chuyển dữ liệu đó qua biên giới quốc gia theo quy định của Quy định chung về bảo vệ dữ liệu (GDPR) không? Bạn có thể thực hiện điều này bằng cách tìm hiểu các chính sách về quyền riêng tư của các ứng dụng bên thứ ba, các kênh, cổng thanh toán hoặc nhà cung cấp khác, và xem họ có giải thích phương thức bảo vệ dữ liệu của cư dân châu Âu không.

Tải xuống sách trắng Quy định chung về bảo vệ dữ liệu (GDPR) của Shopify

Để biết thêm thông tin về cách Shopify tuân thủ Quy định chung về bảo vệ dữ liệu (GDPR) và đảm bảo hoạt động sử dụng Shopify của bạn tuân thủ GDPR, vui lòng tải xuống sách trắng Quy định chung về bảo vệ dữ liệu (GDPR) của Shopify (bằng tiếng Anh).

Bạn đã sẵn sàng bán hàng với Shopify?

Dùng thử miễn phí