《通用数据保护条例》(GDPR) 要求 Shopify 对其平台和内部隐私计划进行以下更改：

• 重新组织隐私团队，记录并保存 Shopify 所做的某些与隐私相关的决策，以便 Shopify 对其隐私相关做法承担责任。

• 确保 Shopify 能够尊重欧洲商家和客户对其个人数据的权利，并在使用 Shopify 的服务时，商家也能做到这一点。

• 当 Shopify 使用第三方分支处理机构提供服务时，向商家做出某些协议承诺并获得某些协议承诺。

Shopify 为 GDPR 做了哪些准备?

Shopify 针对 GDPR 做了以下方面的准备：

政策和文档

• 根据 GDPR 第 13 条和第 14 条的要求，更新了 Shopify 的隐私政策，以包含有关 GDPR 扩展的权利的详细信息，以及有关 Shopify 如何处理个人数据的详细信息。
• 根据 GDPR 第 28 条的要求，向 Shopify 的在线服务条款中添加了数据处理附录。
• 实现了处理数据主体申请访问权限、删除申请和政府申请访问权限的详细过程。

产品功能

• 根据 GDPR 第 13 条和第 14 条的要求，更新了隐私政策生成器，以包括商家需要在他们的隐私政策中包含的一些信息。
• 为 Shopify 平台添加了功能，使商家能够获得独立的同意来实现营销目的，并且能够根据他们的需求选择是否要预先选中同意复选框。
• 更新了弃购通知，以允许商家能够将这些通知与客户是否选择接收营销信息联系起来。

应用商店

• 更新后的 Shopify 应用商店将会显示，以便应用开发者可链接到隐私政策，其中准确解释应用将收集和处理的个人数据。
• 为应用开发者提供了模板隐私政策，以便帮助他们起草隐私政策，其中包括商家根据 GDPR 要求更新自己的隐私政策所需的信息类型。

公司管控

• 指定一位经验丰富的数据保护官来监督 Shopify 的数据保护计划和 GDPR 实施计划。
• 按照 GDPR 第 30 条的要求，为我们的数据处理活动准备了一份注册表。
• 根据 GDPR 第 35 条和第 91 条要求，实现了数据保护影响评估流程。
• 记录了 Shopify 用于提供其平台和其他服务的分支处理机构，并已开始审核与这些分支处理机构的合同安排，以确保它们能够满足通过强大的技术和组织措施来保护个人数据的要求。
• 已启动申请批准约束公司规则的流程以支持 Shopify 的数据处理操作。
• 已经开始对关键团队和人员进行以 GDPR 为重点的培训，以便他们了解法律要求并且能够在考虑到隐私的情况下设计 Shopify 产品和商业计划。

Shopify 还采取了哪些措施来遵守 GDPR？

除了上述准备事项外，Shopify 还将推出以下功能：

• 用于代表客户通过 Shopify 后台请求 Shopify 持有的所有客户信息的工具，适用于商家收到符合 GDPR 的主体申请访问的情况。
• 用于请求 Shopify 通过 Shopify 后台删除与特定客户相关的所有个人信息的工具，适用于商家收到符合 GDPR 的删除请求的情况。当商家使用此工具请求删除时，Shopify 还会将此请求转发给商家在请求客户个人信息访问权限获批时安装的应用。
• 更具信息性的渠道安装流程，更准确地告知商家该渠道在安装后将能访问哪些个人数据。
• 更强大的 Cookie 策略，其中包括 Shopify 存放的 Cookie（不仅存放在 Shopify 自己的在线资产上，还通过 Shopify 店面和移动应用存放）的类别相关特定信息，以确保商家获得所需信息，便于在存放提供服务所需的 Cookie 时获得 Shopify 的有效同意。
• 商家安装应用的过程更加透明，以便在安装应用之前，商家可以完全了解应用申请访问的确切个人数据。
• 为已安装应用提供更多描述性清单，以便商家可以随时查看特定应用数据访问权限。

Shopify 会与商家签订数据处理协议吗？

对于按照在线服务条款规定使用 Shopify 服务的商家，Shopify 对条款进行了修订，已将数据处理附录纳入在内。

您无需签署此文档，因为它已附加到服务条款，您继续使用 Shopify 服务即表示您同意此条款。这符合 GDPR 第 28(3) 条的要求。Shopify 无法与每个商家签署单独协议。

对于 Shopify Plus 商家，Shopify 制定了一份涵盖其个人数据处理事项的数据处理协议。有关详细信息，请联系 Shopify Plus 客服。