處理 GDPR 資料要求
GDPR 擴大了個人存取及控管其個人資料的權利。此頁面內容包括:
- 相關權利的詳細資訊。
- 如何使用 Shopify 平台因應各項權利要求。
- 接獲各項權利要求時,除了配合 Shopify 之外其他可能需要執行的工作。
瞭解當事人的存取權和可攜帶要求
GDPR 讓個人在特定情況下,有權向處理其資料的公司要求個人資料副本。
因此,GDPR 規定您應提供客戶其個人資料副本,且格式應符合以下條件:
- 常見
- 易於讀取
- 可攜帶
此可讓客戶透過不同的服務供應商使用自己的資料。Shopify 可讓您直接從管理員將大部分資料匯出為 CSV 或 Excel 格式的檔案 (例如:訂單、支付款項、產品及客戶資訊)。
一般而言,您應在 30 天內回應要求;若要求特別難以達成,亦可接受延期。
處理當事人的存取權和可攜式要求
如果您收到存取或可攜式要求,首先您必須驗證要求者的身分 (以免不小心將客戶的隱私個人資料提供給他人)。
步驟:
在 Shopify 管理員中,按一下「客戶」。
找到您要存取其記錄的客戶,並按一下對應名稱。
按一下「要求客戶資料」。
客戶的資訊會透過電子郵件傳送給商店擁有者,再提供給提出要求的客戶。
GDPR 第 15 條規定您針對使用資料的方式提供額外的背景資訊說明,包括:
- 處理客戶資料的目的。
- 收到此資料的第三方。
- 任何相關保留待領期。
- 資料的收集來源 (如果並非直接來自客戶)
- 資料是否會用於自動化決策程序。
此外,您還必須確保:
- 客戶有權要求更正或刪除資訊。
- 客戶有權反對其資料處理方式。
- 客戶有權向監管機構投訴。
請想想以下問題:
- 如果客戶要求,您是否能提供所有與客戶資料有關的必要背景資訊?請事先針對要求進行規劃,為您儲存的所有客戶個人資料 (或您採用的供應商如:Shopify) 制定相關實務計畫。
- 您是否考慮採用其他服務供應商,而其可存取您客戶的個人資料?這些供應商包括第三方應用程式、管道及付款閘道。
- 對於您所採用且可能儲存您客戶個人資料的第三方服務,您是否具有這些第三方服務的聯絡資訊?
處理刪除要求
GDPR 允許個人在特定情況下,有權要求刪除其個人資料,或限制公司處理其個人資料。
「個人資料」是指可用於識別個人身分的任何資料,包括:
- 名稱
- 地址
- 電子郵件
- IP 位址
- 信用卡號碼
個人資料不包括無法與個人做連結的單純財務資訊,例如:
- 特定產品銷售次數
- 商店賺取的營收
如果您收到刪除要求 (有時又稱為刪改或刪除),則您應該先驗證客戶身分。此外,您也必須確保沒有理由需要繼續保留客戶的資料 (例如:客戶同時也是員工的情況)。
步驟:
在 Shopify 管理員中,按一下「客戶」。
找到您要刪除資料的客戶,並按一下對應名稱。
按一下「刪除個人資料」。
您透過管理員提出刪除要求後,Shopify 也會將該要求傳送給所有您提出要求時,其他也有權存取該客戶資料的所有已安裝應用程式。
自您透過管理員提出刪除要求後,將有 10 天緩衝期;假如您是不小心提交要求,可在該期間內取消要求。若要取消待處理的刪除要求,請傳送電子郵件至 privacy@shopify.com 與 Shopify 聯絡,並隨附商店資訊及相關的客戶 ID。
針對您提出的刪除要求,Shopify 將只刪改個人資訊 (例如名稱和地址)。其餘匿名訂單資訊都將繼續原狀保留,以備日後有會計稽核之需。一旦相關的個人資料刪除完畢後,我們會傳送確認電子郵件給您。
根據預設,只要客戶過去 6 個月 (180 天) 內曾下過訂單,Shopify 便不會刪除其個人資料,以因應退款情況。如果刪除要求是在此期間內提出,Shopify 會先擱置該要求,等適當效期一過便立即執行。您不需要提交其他要求。
如果您想覆寫此延遲保留時間 (無論有沒有退款風險),請傳送電子郵件至 privacy@shopify.com 與 Shopify 聯絡。
請想想以下問題:
- 您是否將任何客戶資料儲存在自己的個人電腦,或以紙本記錄保留?
- 是否必須接洽任何應您要求刪除客戶個人資訊的其他第三方 (例如管道或付款閘道)?
- 是否有任何當地法規 (例如:稅法) 要求您保留客戶的個人資訊,即使客戶已要求刪除?針對此問題,建議您諮詢熟悉資料保留規定的當地律師以瞭解詳情。
下載 Shopify 的 GDPR 白皮書
請下載 Shopify 的 GDPR 白皮書文件 (英文版),深入瞭解 Shopify 如何遵循 GDPR,以及您應如何確保自己使用 Shopify 時符合相關規定。