GDPR 對您有什麼影響?

凡是位於歐洲境內或為歐洲客戶提供服務的所有 Shopify 商家,一律將受到《一般資料保護規範》(GDPR) 的影響。Shopify 做了許多努力以確保本身及其所有商家自 2018 年 5 月 25 日起皆符合 GDPR 規範;在此特別提醒您,GDPR 要求各商家除了配合 Shopify 平台,本身也應獨立採取相關因應措施。

Shopify 希望協助商家儘可能符合法律規定。因此,本文將列出幾項您應考量的問題,協助您評估自身義務,以確保商店各方面皆符合相關法規。

儘管如此,您仍不應將本文視為法律建議。GDPR 是一套複雜的規範,對於不同類型的商家有不同的適用規定。請您諮詢律師,瞭解具體應採取的措施。

如需有關處理資料要求的詳細資訊,請參閱「處理 GDPR 資料要求」一節。

為什麼 Shopify 不能替商家處理 GDPR 法規遵循問題?

GDPR 針對資料控管者和處理者訂定了不同的規範,各自有應盡之義務。Shopify 身為資料處理者,應根據 GDPR 出貨其法律責任;而商家 (資料控管者) 也有其必須承擔的義務。

Shopify 為商家提供的平台可依 GDPR 規定進行設定,然而您必須考量本身要如何經營業務。

如需進一步指引說明,下列幾個歐盟境內的監管機構皆有 GDPR 具體指南可供參考:

收集個人資料

GDPR 能就位於歐盟境內的個人,保障個人資料處理的基本權利。

個人資料例如:

  • 名稱
  • 地址
  • 電子郵件地址
  • 社群媒體帳戶
  • 數字識別碼 (如 IP 位址或 Cookie ID)。

請想想以下問題:

  • 您是否正在收集歐洲境內客戶的個人資料?大部分網站都能讓歐洲居民使用,因此屬於 GDPR 涵蓋範圍。
  • 假如您的商店使用第三方應用程式或佈景主題,其收集和處理資料時是否符合 GDPR 規定?為了簡化此程序,Shopify 要求所有應用程式公佈隱私政策,其中應詳述資料處理實務,以便您評估是否滿意該應用程式的資料處理做法。Shopify 開發的應用程式則適用「資料處理附加條款」,且 Shopify 必須確保其遵循相關法規。
  • 您用來收集和處理資料的管道或付款閘道是否符合 GDPR 規定?請進一步瞭解並加以確認。
  • 您是否有清單用來記錄從客戶身上收集的所有個人資料類型,以及您使用該資料的方式?GDPR 第 30 條要求您訂定資料處理實務計畫,並妥善維護。

隱私權聲明

根據 GDPR (特別是第 12 條到第 14 條) 規定,針對您處理的資料,您應向該資料擁有者提供特定資訊,一般是以隱私通知或隱私政策的形式提供。

您可使用 Shopify 隱私政策產生器開始著手進行。在「結帳」區段底下的設定或線上頁面都能找到這項工具。

請想想以下問題:

  • 您網站上的隱私政策是否已確實列出適用法規要求您提供的所有必要資訊?您至少應提供聯絡方式,以便客戶諮詢隱私相關問題,並說明客戶能如何行使自己的權利,例如:刪除或更正 (修正或更改) 及存取資料的權利。
  • 您的隱私政策是否提及 Shopify 可能會將您客戶的個人資料用於自動化風險及詐騙評分程序?根據 GDPR 規定,您 (或您的服務供應商) 將客戶資訊用於自動化決策相關程序時,必須揭露此資訊。Shopify 會使用您客戶的個人資訊,封鎖經自動化決策程序判斷疑似為詐騙的特定交易。Shopify 的隱私政策產生器會納入此類資訊。如需有關此系統的詳細資訊,請參閱「自動化決策程序」。

指派資料保護長

資料保護長 (DPO) 負責監督組織如何收集和處理個人資料。假使您的業務核心活動涉及大規模線上追蹤,GDPR 規定您必須指派資料保護長,並在隱私政策中提供其聯絡資訊。

根據 GDPR,資料保護長應執行特定工作,例如:組織改變收集和處理個人資料的做法時,便應進行資料保護影響評估作業。資料保護長可由內部具有 GDPR 及資料保護法規專業知識的人員擔任,也可考慮委任專業顧問或公司,由外部人員擔任資料保護長。

請想想以下問題:

  • 您店面採用的追蹤技術會影響多少人?這些可能包括行為廣告應用程式,甚或再行銷應用程式。究竟受影響的人數是否可稱為「大規模」?這屬於法律問題。因此,請諮詢律師並依您的情況來判斷。
  • 您是否應自行指派資料保護長?即使按法律規定您不用指派資料保護長,但如果您的業務經常在歐洲進行,建議可自行指派,以確保您的客戶資料獲得充分保護。

資料處理協議

根據 GDPR 第 28 條,資料控管者與資料處理者 (如 Shopify) 合作處理客戶資料時,您應就其使用和處理資料的方式制定嚴格的合約要求。一般是透過「資料處理附加條款」(DPA) 來加以約束。

Shopify 已在本身的服務條款中納入「資料處理協議」(https://www.shopify.com/legal/dpa),其旨在因應第 28 條的規定。

對於 Shopify Plus 商家,其與 Shopify 的關係將受協議合約之約束。Plus 商家可視需要簽署「資料保護附加條款」;倘若 Shopify Plus 商家未簽署資料處理附加條款,則應遵循 Shopify 線上資料處理附加條款之規範。

請想想以下問題:

  • 除了 Shopify,您是否與其他資料處理者簽署保護客戶資料的合約?許多第三方應用程式、管道、付款閘道或其他資料處理者也都會直接在條款中納入「資料處理協議」。您是否個別諮詢過這些第三方機構?

  • 您是已簽署協議合約的 Shopify Plus 商家嗎?如果您想要簽署「資料處理附加條款」,請與 Shopify Plus 支援服務聯絡。他們會提供 Shopify 的範本 DPA 給您簽署。

客戶同意聲明

根據 GDPR,您可能需要取得同意聲明,才能處理客戶的個人資料;若要變更目前取得該同意聲明的方式,也應先取得客戶的同意聲明。

例如,如果您要向客戶傳送行銷訊息,或要使用線上廣告或再行銷應用程式,都必須取得客戶的同意聲明。

對於任何需要客戶同意聲明的情況,GDPR 要求同意聲明的取得應符合以下條件:

  • 客戶自願提供:完全依客戶意志自願提供,且不能以和其他產品或服務綁在一起的方式強迫客戶同意。
  • 具體用途:內容應明確說明具體用途。
  • 資訊充足:只有在資料當事人充分瞭解其個人資料將由他人收集和使用的相關資訊,才能提供同意聲明。
  • 明確作為:商家必須採取肯定的確認步驟來獲取客戶同意 (亦即,不能以繼續使用服務代表已提供同意聲明)。

也就是說,您必須向客戶提供有關特定用途的詳細資訊,且客戶必須透過幾項肯定的確認步驟來表達其同意聲明。

最後,若您可讓客戶提供同意聲明,GDPR 還規定您必須讓客戶也有撤銷同意聲明的管道;通常是利用取消訂閱功能來達到這個目的。針對您何時應就收集個人資料一事取得同意聲明、要透過什麼方式取得同意聲明,或在什麼情況下客戶得以撤銷同意聲明,如您有任何疑問,請向資料保護法專業律師諮詢。

然而在 GDPR 中,同意聲明只是您能合法處理個人資料的眾多法律依據之一。您也可依合約規定處理個人資料,或是法律可能要求您處理資料。

部分歐洲監管機構指出,若您起初要求同意聲明時,客戶即已拒絕,或先同意隨後又撤銷,您就不能再依據任何其他法律處理個人資料。有鑑於此,處理個人資料時,您只能仰賴不預計 (或不需要) 依據其他法律基礎的同意聲明。

請想想以下問題:

  • 對於您使用或處理客戶資料的每種方式,其法律依據為何?您是否根據客戶的同意聲明進行處理?您處理資料時,是否出貨對客戶的合約義務?您處理資料是否為了促進您的合法商業利益?請按照「收集個人資料」所述,在您的資料處理實務計畫中列出法律依據。
  • 針對您視為處理依據的同意聲明,您是否將其與自身提供的產品/服務綁在一起,藉此取得該同意聲明?例如,GDPR 將禁止使用「by purchasing these goods, you agree to our use of your personal information」(購買這些商品,即表示您同意我們使用您的個人資訊) 這類敘述。
  • 您是否提供足夠的詳細資料,告知客戶您將如何使用其個人資料,確保客戶的同意聲明是在已獲得充分資訊的情況下所做出的決定。
  • 客戶同意聲明會記錄起來並儲存在某個地方嗎?
  • 您是否需要取得同意聲明以向客戶傳送行銷訊息?即使 GDPR 未要求,當地法律也可能會規定您必須取得同意聲明,才能向客戶傳送行銷訊息。請諮詢律師以瞭解可能適用您商店的相關特定要求。
  • 如果您認為自己必須取得同意聲明才能傳送行銷訊息,請問您商店的行銷同意聲明核取方塊是否預設為未勾選?請考慮將店面的行銷同意聲明核取方塊預設為未勾選,以便客戶看到的方塊為未勾選狀態,確保客戶持肯定態度進行確認步驟來表達同意。

家長同意聲明

GDPR 包含特定家長同意聲明規定,適用於處理 16 歲以下使用者的個人資料 (此年齡限制可能低於特定國家/地區的限制)。

請想想以下問題:

  • 您是否需要變更處理客戶資料的方式,例如:停止處理 16 歲以下使用者的資料,或者取得其家長同意聲明?您可使用 Shopify App Store 上的年齡限制應用程式,禁止 16 歲以下使用者存取您的網站,或要求訪客確認其已年滿法定成人年齡。

自動化決策程序

根據 GDPR 規定,若您會將客戶的個人資訊用於自動化決策程序,則必須通知該客戶。

「自動化決策程序」是指運用自動演算法進行分析,藉此判斷個人是否符合使用特定服務或優惠的資格、是否應適用特定收費價格,或是否可能對特定產品或服務類型感興趣。

若您有任何包含完全自動化決策過程 (即全無人為干預) 的處理程序對客戶具有重要法律效力,則您必須取得客戶的同意聲明。

處理程序 要求
自動化決策程序 通知
具有重要法律效率的全自動化決策 同意聲明

一般而言,Shopify 不會將客戶的個人資料用於全自動化決策程序。

唯一例外情況是 Shopify 進行風險與詐騙篩檢時,若系統偵測到付款嘗試失敗達指定次數,Shopify 可能就會自動封鎖付款卡號或 IP 位址。Shopify 認為此做法並不對客戶具有重大法律效力,因為自動化封鎖只會持續一小段時間。

請想想以下問題:

  • 您是否已在隱私政策中聲明 Shopify 的風險與詐騙篩檢可能會將客戶的個人資訊用於自動化決策程序?如需有關 Shopify 自動化決策程序實務的詳細資訊,請參閱隱私政策第 13 節。此外,您也應就個人特定情況,向律師諮詢此服務是否對您的客戶具有重大法律效力。
  • 您是否使用任何可能涉及自動化決策程序的第三方應用程式?請格外仔細檢查您在店面使用的第三方風險或詐騙分析服務,或是可能會建立設定檔或鎖定某客群區隔的任何類型行銷/廣告應用程式。
  • 假如您使用的第三方應用程式涉及自動化決策程序,是否需要將您使用這些應用程式的情況告知客戶或取得同意聲明?

資料外洩通知

若您適用 GDPR 規範,則當您遇到資料外洩時,就必須通知受影響的使用者或特定監管機關。

請特別注意,根據 GDPR 規定,如果資料外洩極有可能對個人權利和自由造成不利影響,您必須善盡通知之責。

尤其是外洩的資訊符合下列情況時:

  • 包含付款詳細資訊
  • 可用來揭露令人難堪的私事或個人資訊。
  • 可用來存取個人帳號或服務。

如情況允許,您必須在發現資料外洩後 72 小時內儘快發佈通知。

請想想以下問題:

  • 您是否詢問過律師,就您收集和處理的資訊而言,哪類資訊外洩時必須發佈通知?
  • 您的企業是否有資料外洩因應計畫,以在這類資安事件發生時妥善應對?
  • 包含付款詳細資訊
  • 可用來揭露令人難堪的私事或個人資訊。
  • 可用來存取個人帳號或服務。

凡是使用第三方廠商及服務供應商處理其使用者個人資料的公司,皆適用 GDPR 規範。

Shopify 使用多個複委託者的服務來處理客戶資料。如需有關 Shopify 複委託者的詳細資訊,請參閱Shopify 的複委託者」。

請想想以下問題:

  • 您是否檢閱過目前合作廠商及服務供應商 (包括 Shopify) 的隱私權實務,以確保您認同其用來保護客戶個人資料的作法?

第三方應用程式

針對您及第三方服務供應商收集和使用個人資料的情況,GDPR 要求您採取數個相關肯定的確認步驟;此處所指的服務供應商包括 Shopify,以及其他任何您可能會在 Shopify 商店使用的第三方應用程式。

Shopify 已採取相關措施,讓您輕鬆掌握您安裝的應用程式有權存取哪些個人資料。

步驟:

  1. 在 Shopify 管理員中,前往「應用程式」。

  2. 找到您要檢視相關權限的應用程式,並按一下「檢視詳細資訊」。

安裝應用程式之前,您也可以在應用程式商店的安裝畫面上檢閱應用程式權限。

此外,每個應用程式在應用程式商店內都會有一個專區,用來進一步詳述應用程式開發人員確切收集的資料及其使用方式。

儘管 Shopify 希望盡量簡化,讓您在評估自選安裝的應用程式的資料實務時能更輕鬆,但您仍有責任確保在使用第三方應用程式時,一切符合 GDPR 規定。

請想想以下問題:

  • 根據您的所在位置、客戶的位置、應用程式開發人員的位置,以及您實作的每項應用程式,您使用第三方應用程式的方式是否符合 GDPR 規定?對於您是否需要特別斟酌特定應用程式的資料實務,或您這方是否需要採取相關措施以確保符合 GDPR,此類相關問題請諮詢律師。

國際資料傳輸

GDPR 禁止將歐洲公民的個人資料匯出至歐洲境外,然而若該資訊傳輸時受到妥善保護,則另當別論。

Shopify 將個人資料傳輸至美國和加拿大,並在該兩地進行處理時,皆遵循 GDPR 要求以確保個人資料安全。

Shopify 已為商家制定專用於因應這些要求的資料流程。誠如 Shopify 隱私政策第 12 節所述,所有歐洲公民的個人資料起初都是從商家取得,並由 Shopify 的愛爾蘭關係企業 Shopify International Ltd. 於愛爾蘭進行處理。接著,Shopify 再繼續依據 GDPR 規定傳輸該資料:

國際資料傳輸

請參閱 Shopify 的 GDPR 白皮書 (英文版),深入瞭解 Shopify 如何根據 GDPR 標準及資訊安全最佳實務來接收和處理來自歐洲經濟區 (EEA) 的個人資料。

請想想以下問題:

您是否確認接收您資料的其他方在跨國傳輸該資料時將會遵循 GDPR 規定?若要確認其他方是否合規,您可查看第三方應用程式、管道、付款閘道或其他廠商的隱私政策,有關歐洲公民資料保護做法的部分。

下載 Shopify 的 GDPR 白皮書

下載 Shopify 的 GDPR 白皮書文件 (英文版),深入瞭解 Shopify 如何遵循 GDPR,以及您應如何確保自己使用 Shopify 時符合相關規定。

準備好開始透過 Shopify 銷售商品了嗎?

免費試用