了解与 GDPR 相关的常见问题。这些解释仅供参考,不构成专业法律建议。若要获取特定于您所在国家/地区和情况的信息,请咨询并获取独立的法律建议。
Shopify 详细研究了 GDPR 并设计了自有平台,以便为商家提供符合 GDPR 等隐私和数据保护法律的一流商务体验。
获得客户明确、肯定的同意来处理他们的数据。如果实施得当,将有助于提高透明度并获得客户的信任。但是如果实施不当,复选框可能会使客户感到困惑,产生不匹配的期望,甚至可能会为商家带来 GDPR 相关的法律问题。出于这些原因,我们选择不修改结账工作流,不在结账时包含“同意服务条款以及隐私政策”。
要特别注意的是,GDPR 明确表示商家可以出于多种原因收集和处理客户个人数据,包括客户已表示知情同意的情况。但是 GDPR 发现,在很多情况下,需要单独处理个人数据,而不需要客户的同意,例如:
商家可能会依赖多种法律依据以采用不同的方式对他们客户的数据进行处理。例如,商家可能需要使用客户的邮寄地址来实际发货订单并发货商家与客户之间的合同。同样,商家可能会按照法律要求对个人数据进行处理,从而回应传票或用于税务稽核。并且商家可能会因其他诸多的正当权益而对个人数据进行处理。
同时,欧洲监管机构已表明,在这些不同的正当理由中,获得同意是最重要的一项。要特别注意的是,监管机构已表示,商家征求同意以出于特殊目的处理数据后,他们可能无法再依靠上述法律依据(例如合同或正当权益)。此外,监管机构警告称,同意不能作为接收商品或服务的条件。
为什么这一切都很重要?让我们考虑一下,如果商家在结账时添加了“同意条款和条件以及隐私政策”复选框会发生什么情况。如果客户不选择同意(或者,如果客户同意然后撤回其同意 - 这是 GDPR 赋予个人的权利),那么商家可能无法再依赖于上面列出的其他理由。因此,按照 GDPR 规定,商家可能不能合法地处理客户的个人数据以处理或发货订单。同时,如果商家修改结账,使此复选框成为完成交易的强制要求,那么同意将是接收商品或服务的先决条件,这样的情况在 GDPR 规定下可能一开始就是无效的。
这种复杂性导致了许多监管机构向在可能不合适的情况下而要求或依赖同意的做法发出了警告。例如,英国信息专员办公室提出过建议:
“如果您能向人们提供真正的选择并让其控制您使用其数据的方式,而且您想建立他们的信任感和参与感,则应该获得同意。但是,如果您无法提供真正的选择,则不应要求同意。如果您会在未获得同意的情况下仍然处理个人数据,请求同意会产生误导,并且这种行为本身就是不公平的。
如果您将同意作为使用一项服务的前提条件,则可能不存在最合适的法律依据。
对个人拥有一定权力的公共机构、雇主和其他组织应该避免依赖同意,除非他们确信他们可以证实同意是自愿给予的。”
我们希望尽最大努力支持商家,并帮助他们避免严重的法律后果。但与此同时,我们也了解商家需要最终获得客户的信任才能感到放心。在这种情况下,您可以聘请 Shopify 专家来帮助您在购物车页面(而不是结账页面)添加接受服务条款复选框。
GDPR 要求数据处理方与每个数据控制方签订书面合同(包括电子格式的合同),以便处理个人数据。这些合同应规定将会处理哪些个人数据,以及处理方和控制方的义务和权利。这些合同通常称为数据处理协议 (DPA)。从本质上来说,在 DPA 协议的约束下,Shopify 只会按照商家指定的方式处理提供给它的个人数据,因为商家是数据的控制方。
为满足这一要求,Shopify 在服务条款中增加了数据处理附录。(之所以称为“附录”而不是“协议”,是因为它被添加到服务条款中,且不是一项单独的协议。)
作为商家,当您注册 Shopify 的服务时,即表示您同意服务条款以及数据处理附录;继续使用服务即表示您同意服务条款的任何更新内容(例如,我们通过更新增加了数据处理附录)。
请务必注意,服务条款受安大略省法律约束,而不是您所在辖区法律的约束。因此,虽然其他地区法律(如 GDPR)可能确实涵盖您的业务以及您处理数据的方式,并且可能要求您与服务提供商(如 Shopify)签订具有约束力的合同,但是这些地区法律并不一定能判定合同是否具有约束力。以您与我们之间的合同为例,应通过参考安大略省法律来判定 DPA 是否是具有约束力的合同。
因此,即使您的司法管辖区要求签署合同(如 DPA),也可能与您的 DPA 无关。根据安大略省法律,我们认为,在更新条款后继续使用我们的服务,即表示 Shopify 和您都将受到新的、修改后的服务条款的约束。当您继续使用 Shopify 时,我们认为您已与我们签订了具有约束力的合同,其中包括我们根据 GDPR 要求提供的数据处理附录。
联系当地的隐私或数据保护法专业律师。
联系 Shopify 支持,了解关于 Shopify 做法的详细信息。
不一定符合。尽管 Shopify 的运作符合 GDPR,并且 Shopify 将提供工具来帮助商家符合 GDPR,但确保业务符合运营所在地的辖区法律是每个商家的责任。
仅使用 Shopify 的平台并不能保证公司遵守 GDPR。
不会。Shopify 已构建了数据流,以便商家将数据传输给位于欧洲的 Shopify 爱尔兰子公司。因此,标准合同条款不适用于此情况,因为它们被批准用于欧洲方和非欧方之间的数据传输。
此外,对于直接转移给 Shopify 公司的情况,Shopify 将依赖欧盟委员会关于加拿大隐私法的充分性决定,该法律可延伸至加拿大公司 Shopify 公司。