一般資料保護規範(gdpr)常見問題
瞭解有關一般資料保護規範(gdpr)的常見問題。以下說明僅供參考,不構成專業法律建議。請諮詢獨立法律建議,以針對您國家/地區及情況取得所需資訊。
為什麼Shopify未在結帳時顯示"同意"條款與條件"和"隱私政策" "核取方塊?
Shopify已謹慎檢閱過一般資料保護規範(GDPR),我們平台的設計不僅能為商家提供最好的電子商務體驗,而且完全遵循如一般資料保護規範(GDPR)這類的隱私法及資料保護法規定。
若能透過合宜妥當的方式向客戶取得明確、肯定的資料處理同意聲明,除了可以讓資訊透明化,也能藉此獲得客戶的信任。然而,若是方式不當,同意核取方塊對客戶而言可能會徒增困擾,造成雙方期望落差,甚至為商家帶來有關一般資料保護規範(GDPR)的法律問題。基於上述考量,我們決定維持目前的結帳工作流程,不加入「同意《條款與條件》和《隱私政策》」核取方塊。
特別是一般資料保護規範(GDPR)已清楚指出,商家可基於許多理由收集和處理客戶個人資料,包括客戶已提供其知情同意聲明的情況下也是如此。然而,gdrp亦指出在許多情況下,可能必須獨立於客戶同意聲明另外處理個人資料,例如:
商家透過各種方式處理客戶資料時,可能會仰賴這些相關法律依據。例如,商家可能需要使用客戶運送地址,才能實際出貨訂單並完成商家與客戶之間的合約。另外一個例子是,商家收到傳票或面臨稅務稽核時,也必須按法律要求處理個人資料。此外,商家也可能基於許多其他法律利益而處理個人資料。
與此同時,歐盟監管機構已明確表示,在這些各種正當理由中,同意聲明最為重要。特別是監管機構已指出,一旦商家因特殊目的要求處理資料的同意聲明後,即不得再以上述法律理由為依據 (例如:合約或法律利益)。此外,監管機構亦提出告誡,商家不得以提供商品或服務為條件,強迫取得同意聲明。
這又為何重要?試想,如果商家真的在結帳程序加入「同意《條款與條件》和《隱私政策》」核取方塊,會發生什麼情況?如果客戶未選擇同意,或如果客戶同意之後又撤銷(這是一般資料保護規範(GDPR)賦予個人的權利),商家就無法再依據上述其他正當理由處理個人資料。如此一來,在一般資料保護規範(GDPR)的規定下,商家可能就會陷入困境,既不得合法處理客戶的個人資料,也無法處理或出貨訂單。然而,若是商家修改結帳程序,強制客戶勾選此核取方塊才能完成交易,這樣又會形成同意聲明是獲取商品或服務的先決條件,一開始便不符合GDRP的規定而無效。
這種複雜性導致許多監管機構特別提醒,在不適用的情況下,得不要求或仰賴同意聲明。例如,英國資訊委員會辦公室已建議:
「當您可提供實際選擇權並讓使用者控管您使用資料的方式,且您想獲取使用者信任並吸引其互動,此時便適合徵詢同意聲明;但如果您無法保證提供選擇權,同意聲明便不適用。若您在未取得同意聲明的情況下仍可處理個人資料,則要求使用者提供同意聲明將會產生誤導效果,且本質上亦不公平。
假使您要求使用者必須勾選同意聲明才能取得服務,如此便不是最恰當的法律基礎。
除非有把握能讓個人依自由意志提供同意聲明,否則可控管個人權利的公共機關、雇主及其他組織應避免仰賴同意聲明。」
我們希望盡可能支援商家並協助其避免法律後果等相關問題;而同時我們亦瞭解商家想要獲取顧客信任的心情。這種情況下,您可以聘請Shopify專家,協助您在購物車頁面 (而非結帳頁面) 中放置接受條款及條件核取方塊。
為何我不能與Shopify簽署“資料處理協議(DPA)”?
一般資料保護規範(GDPR)要求資料處理者與每位資料控管者簽訂書面合約(其包括電子形式的合約),以便處理個人資料。這些合約應指明將處理的個人資料,以及處理者和控管者的義務和權利。這些合約通常稱為"資料處理協議(dpa) "。基本上,德通社協議是指Shopify將僅以商家指定的方式處理其所獲得的個人資料,因為商家才是資料的控管者。
為出貨此要求,Shopify已在"服務條款"中加入"資料處理附加條款」(其稱為「附加條款」而非「協議」係因相關項目是附加到《服務條款》,本身並非協議)。
身為商家,您註冊Shopify服務時即已同意”服務條款”及延伸的“資料處理附加條款”,且您繼續使用服務亦代表您同意”服務條款”的任何更新(例如:我們在服務條款中新增了資料處理附加條款,亦屬更新)。
請注意,《服務條款》受加拿大安大略省法律之約束,而非您所在地區的管轄法律。因此,儘管其他區域法律(如:一般資料保護規範(GDPR))可能涵蓋您的業務及處理資料方式的規定,亦可能要求您與服務供應商(如:Shopify)簽訂具有約束力的合約,但這些區域法律不一定會規定合約是否應具約束力。針對您與我們簽訂的合約,dpa是否為具約束力的合約應由加拿大安大略省法律判定。
因此,即使您的管轄區法律要求應簽署如dpa的合約,其亦可能不影響您的dpa。根據加拿大安大略省法律,我們認為您在Shopify更新條款後繼續使用服務,即已代表Shopify與您都受到修訂後的新版“服務條款”之約束。若您繼續使用Shopify,我們雙方即已簽訂具約束力的合約,其中包括依一般資料保護規範(GDPR)規定而新增的“資料處理附加條款”。
如果我還有其他有關一般資料保護規範(gdpr)或當地隱私法的問題,應該怎麼做?
請諮詢專攻隱私法或資料保護法的當地律師。
如果我想瞭解更多有關Shopify實務的資訊,應該與誰聯絡?
請聯絡Shopify支援服務,以深入瞭解Shopify的作法。
如果我使用Shopify代管商店,我的業務是否就會遵循一般資料保護規範(GDPR)規定?
不盡然。儘管Shopify確保一切營運將遵循GDPR,並提供工具協助其商家遵循法規,但各商家仍有責任確保其業務之營運符合所在管轄區的法律。
單純使用Shopify平台並不保證公司能遵循一般資料保護規範(GDPR)。
Shopify會簽署“標準合約條款”嗎?
不會,Shopify已建構其資料流程,可讓商家將資料傳輸到歐洲境內Shopify的愛爾蘭關係企業。《合約標準條款》是對歐洲方與非歐洲方之間的資料傳輸協議核准的條款,因此並不適用。
此外,關於直接傳輸至Shopify Inc .的資料,Shopify將依據歐盟委員會關於加拿大隱私法之充分決定,其將延伸適用至做為加拿大公司的Shopify Inc . .