GDPR常见问题解答
了解GDPR相关的常见问题。这些解释仅供参考,不构成专业法律意见。根据您的国家和情况,咨询独立的法律咨询。
为什么Shopify在结账时不包括一个“同意条款和条件和隐私政策”的复选框?
Shopify非常仔细地考虑过GDPR,我们设计了我们的平台,为我们的商家提供一流的商务体验,可以遵守GDPR等隐私和数据保护法律。
如果实现得当,获得客户对处理其数据的明确、肯定的同意是向客户提供透明度和获得客户信任的有用方法。但如果没有适当地实现复选框,则可能会让客户感到困惑,可能会产生不匹配的期望,甚至可能会在GDPR下给商家带来法律问题。出于这些考虑,我们选择不修改我们的签出流程,在签出过程中加入“同意条款和条件和隐私政策”复选框。
特别是,GDPR明确指出,商家可以基于多种理由收集和处理客户的个人数据,包括客户是否已经提供了知情同意。但GDPR承认,在许多情况下,个人数据可能需要在未经客户同意的情况下单独处理,例如:
商家在处理客户数据的不同方式方面,可能会依赖于许多这样的法律依据。例如,商家可能需要使用客户的发货地址来实际履行订单并满足商家与客户的合同。同样,在法律上,商家可能被要求处理个人数据以回应传票或税务审计。商家也可以为其他合法利益处理个人数据。
与此同时,欧洲监管机构已明确表示,在这些不同的理由中,同意是最重要的。特别是,监管机构建议,一旦商户要求同意为特定目的处理数据,他们可能不再能够依靠上述法律依据(如合同或合法利益)。此外,监管机构警告称,不能将同意作为接受商品或服务的条件。
为什么所有这些都很重要?让我们想想,如果商家在结账时添加一个“同意条款和条件和隐私政策”的复选框,会发生什么。如果客户没有选择同意(或者,如果客户同意了,然后撤回了他们的同意——这是GDPR提供给个人的权利),那么商家可能不再能够依赖上述列出的其他理由。因此,根据GDPR,商家可能无法合法处理客户的个人数据来处理或履行订单。与此同时,如果商家修改了checkout选项,将此复选框作为完成交易的强制条件,那么同意将是接收货物或服务的先决条件,因此在GDPR下可能首先无效。
这种复杂性导致许多监管机构警告,在可能不合适的情况下,不要要求或依赖同意。例如,英国信息专员办公室建议:
“如果你能让人们真正选择和控制你如何使用他们的数据,并希望建立他们的信任和参与,同意是合适的。但如果你不能提供一个真正的选择,同意是不合适的。如果你仍然在未经同意的情况下处理个人数据,征求同意是具有误导性的,本质上是不公平的。
如果你把同意作为一项服务的先决条件,它就不太可能是最适当的法律基础。
对个人有权力的公共当局、雇主和其他组织应避免依赖同意,除非他们有信心证明同意是自愿提供的。”
我们希望尽最大努力支持我们的商家,帮助他们避免有问题的法律后果。但与此同时,我们也明白,商家最终需要让顾客对他们的信任感到放心。在这种情况下,你可以雇佣一个Shopify专家帮你把接受条款和条件复选框的车页面(不是结帐页面)。
为什么我不能与Shopify签署数据处理协议(DPA) ?
GDPR要求数据处理器通过书面合同(包括电子格式的合同)与每个数据控制器绑定,以便处理个人数据。这些合同应具体规定正在处理的个人数据,以及处理者和控制者的义务和权利。这些合同通常称为数据处理协议(DPA)。从本质上说,DPA是一种协议,Shopify只会按照商家指定的方式处理提供给它的个人数据,因为商家是数据的控制者。
为了满足这一要求,Shopify增加了一个数据处理附录我们的服务条款。(它被称为“附录”而不是“协议”,因为它是附加在服务条款上的,本身并不是协议。)
作为商户,当您注册Shopify的服务时,您同意本服务条款和扩展的数据处理附录,并通过继续使用服务,您同意对本服务条款的任何更新(例如,我们的更新增加了数据处理附录)。
需要注意的是,本服务条款受安大略省法律管辖,而不是您居住的司法管辖区的法律管辖。因此,虽然其他地区的法律,如GDPR,可能肯定涵盖了您的业务和您处理数据的方式,并可能要求您与服务提供商(如Shopify)签订具有约束力的合同,但这些其他地区的法律不一定规定合同是否具有约束力。就您与我们签订的合同而言,DPA是否是一份有约束力的合同的问题由参考安大略省法律来确定。
因此,即使您的司法管辖区要求签署合同(如DPA),这可能与您的DPA无关。根据安大略省法律,我们认为,如果您在我们的条款更新后继续使用我们的服务,Shopify和您都将受到新的、修改过的服务条款的约束。当您继续使用Shopify时,我们认为您已与我们签订了一份具有约束力的合同,其中包括GDPR要求的我们的数据处理附录。
如果我对GDPR或我当地的隐私法有更多疑问,我该怎么办?
联系当地专门研究隐私或数据保护法的律师。
关于Shopify的更多信息,我可以联系谁?
联系Shopify支持浏览有关Shopify的更多资料。
如果我使用Shopify托管我的商店,我的业务是否符合GDPR?
不是自动的。虽然Shopify的运营将遵守GDPR,并且Shopify将提供工具帮助其商户遵守,但每个商户都有责任确保其业务符合其运营所在司法管辖区的法律。
仅使用Shopify的平台并不能保证公司遵守GDPR。
Shopify会签署标准合同条款吗?
不。Shopify对其数据流进行了结构化,以便商家将数据转移到Shopify在欧洲的爱尔兰附属机构。因此,标准合同条款是不合适的,因为它们被批准用于欧洲一方和非欧洲一方之间的转让。
此外,对于直接向Shopify Inc.转账的问题,Shopify在此类情况下将依赖于欧盟委员会关于加拿大隐私法的充分决定,该法律适用于作为加拿大公司的Shopify Inc.。