09-21
GDPR 常见问题解答 了解与 GDPR 相关的常见问题。这些解释仅供参考,不构成专业法律建议。若要获取特定于您所在国家/地区和情况的信息,请咨询并获取独立的法律建议。 本页相关主题 Shopify 为何在结账时未设置“同意服务条款以及隐私政策”复选框? 为什么我不能与 Shopify 签署数据处理协议 (DPA)? 如果我还有其他关于 GDPR 或当地隐私法的疑问,该怎么办? 我可以联系谁来获取更多有关 Shopify 做法的信息? 如果我使用 Shopify 托管商店,我的业务是否符合 GDPR? Shopify 会签署标准合同条款吗? Shopify 为何在结账时未设置“同意服务条款以及隐私政策”复选框? Shopify 详细研究了 GDPR 并设计了自有平台,以便为商家提供符合 GDPR 等隐私和数据保护法律的一流商务体验。 获得客户明确、肯定的同意来处理他们的数据。如果实施得当,将有助于提高透明度并获得客户的信任。但是如果实施不当,复选框可能会使客户感到困惑,产生不匹配的期望,甚至可能会为商家带来 GDPR 相关的法律问题。出于这些原因,我们选择不修改结账工作流,不在结账时包含“同意服务条款以及隐私政策”。 要特别注意的是,GDPR 明确表示商家可以出于多种原因收集和处理客户个人数据,包括客户已表示知情同意的情况。但是 GDPR 发现,在很多情况下,需要单独处理个人数据,而不需要客户的同意,例如: 执行合同。 为了履行法律义务。 为促进一方的合法利益,平衡客户基本隐私权的任何风险。 商家可能会依赖多种法律依据以采用不同的方式对他们客户的数据进行处理。例如,商家可能需要使用客户的邮寄地址来实际发货订单并发货商家与客户之间的合同。同样,商家可能会按照法律要求对个人数据进行处理,从而回应传票或用于税务稽核。并且商家可能会因其他诸多的正当权益而对个人数据进行处理。 同时,欧洲监管机构已表明,在这些不同的正当理由中,获得同意是最重要的一项。要特别注意的是,监管机构已表示,商家征求同意以出于特殊目的处理数据后,他们可能无法再依靠上述法律依据(例如合同或正当权益)。此外,监管机构警告称,同意不能作为接收商品或服务的条件。 为什么这一切都很重要?让我们考虑一下,如果商家在结账时添加了“同意条款和条件以及隐私政策”复选框会发生什么情况。如果客户不选择同意(或者,如果客户同意然后撤回其同意 - 这是 GDPR 赋予个人的权利),那么商家可能无法再依赖于上面列出的其他理由。因此,按照 GDPR 规定,商家可能不能合法地处理客户的个人数据以处理或发货订单。同时,如果商家修改结账,使此复选框成为完成交易的强制要求,那么同意将是接收商品或服务的先决条件,这样的情况在 GDPR 规定下可能一开始就是无效的。 这种复杂性导致了许多监管机构向在可能不合适的情况下而要求或依赖同意的做法发出了警告。例如,英国信息专员办公室提出过建议: “如果您能向人们提供真正的选择并让其控制您使用其数据的方式,而且您想建立他们的信任感和参与感,则应该获得同意。但是,如果您无法提供真正的选择,则不应要求同意。如果您会在未获得同意的情况下仍然处理个人数据,请求同意会产生误导,并且这种行为本身就是不公平的。 如果您将同意作为使用一项服务的前提条件,则可能不存在最合适的法律依据。 对个人拥有一定权力的公共机构、雇主和其他组织应该避免依赖同意,除非他们确信他们可以证实同意是自愿给予的。” 我们希望尽最大努力支持商家,并帮助他们避免严重的法律后果。但与此同时,我们也了解商家需要最终获得客户的信任才能感到放心。在这种情况下,您可以聘请 Shopify 专家来帮助您在购物车页面(而不是结账页面)添加接受服务条款复选框。 备注 本常见问题解答介绍一个用于获取同意以完成结账的复选框。您可能还会出于其他理由寻求同意,例如营销目的或收集特别敏感的数据。 为什么我不能与 Shopify 签署数据处理协议 (DPA)? GDPR 要求数据处理方与每个数据控制方签订书面合同(包括电子格式的合同),以便处理个人数据。这些合同应规定将会处理哪些个人数据,以及处理方和控制方的义务和权利。这些合同通常称为数据处理协议 (DPA)。从本质上来说,在 DPA 协议的约束下,Shopify 只会按照商家指定的方式处理提供给它的个人数据,因为商家是数据的控制方。 为满足这一要求,Shopify 在服务条款中增加了数据处理附录。(之所以称为“附录”而不是“协议”,是因为它被添加到服务条款中,且不是一项单独的协议。) 作为商家,当您注册 Shopify 的服务时,即表示您同意服务条款以及数据处理附录;继续使用服务即表示您同意服务条款的任何更新内容(例如,我们通过更新增加了数据处理附录)。 请务必注意,服务条款受安大略省法律约束,而不是您所在辖区法律的约束。因此,虽然其他地区法律(如 GDPR)可能确实涵盖您的业务以及您处理数据的方式,并且可能要求您与服务提供商(如 Shopify)签订具有约束力的合同,但是这些地区法律并不一定能判定合同是否具有约束力。以您与我们之间的合同为例,应通过参考安大略省法律来判定 DPA 是否是具有约束力的合同。 因此,即使您的司法管辖区要求签署合同(如 DPA),也可能与您的 DPA 无关。根据安大略省法律,我们认为,在更新条款后继续使用我们的服务,即表示 Shopify 和您都将受到新的、修改后的服务条款的约束。当您继续使用 Shopify 时,我们认为您已与我们签订了具有约束力的合同,其中包括我们根据 GDPR 要求提供的数据处理附录。 Shopify Plus 如果您是已签署协议 DPA 的 Shopify Plus 商家,则该 DPA 将取代我们的在线 DPA。 如果我还有其他关于 GDPR 或当地隐私法的疑问,该怎么办? 联系当地的隐私或数据保护法专业律师。 我可以联系谁来获取更多有关 Shopify 做法的信息? 联系 Shopify 支持,了解关于 Shopify 做法的详细信息。 如果我使用 Shopify 托管商店,我的业务是否符合 GDPR? 不一定符合。尽管 Shopify 的运作符合 GDPR,并且 Shopify 将提供工具来帮助商家符合 GDPR,但确保业务符合运营所在地的辖区法律是每个商家的责任。 仅使用 Shopify 的平台并不能保证公司遵守 GDPR。 Shopify 会签署标准合同条款吗? 不会。Shopify 已构建了数据流,以便商家将数据传输给位于欧洲的 Shopify 爱尔兰子公司。因此,标准合同条款不适用于此情况,因为它们被批准用于欧洲方和非欧方之间的数据传输。 此外,对于直接转移给 Shopify 公司的情况,Shopify 将依赖欧盟委员会关于加拿大隐私法的充分性决定,该法律可延伸至加拿大公司 Shopify 公司。...
09-21
针对客户个人数据的 Shopify 分支处理机构 本页相关主题 Shopify 分支处理机构 第三方分支处理机构 Shopify 分支处理机构 客户个人数据最初由 Shopify International Limited(爱尔兰)、Shopify Inc.(加拿大)或 Shopify Commerce Singapore Pte. Ltd.(新加坡)进行处理,具体取决于数据主体的地点。然后,客户个人数据可能会转移到其他 Shopify 实体进行存储,并在必要时提供我们的服务。获批后,转移到 Shopify 实体的内容将受约束公司规则约束。 核心分支处理机构是我们在没有它们的情况下便无法提供服务的分支处理机构。附加分支处理机构是如果商家使用这些附加分支处理机构,则它们可能会处理客户个人数据的分支处理机构。例如,只有当商家参与我们的 Shopify Capital 计划时,Shopify Capital Inc. 才可能处理商家的客户个人数据。 核心 Shopify 分支处理机构 分支处理机构 提供的服务 公司总部 已处理数据 Shopify 公司 提供和改进 Shopify 平台和其他相关服务 加拿大 提供平台功能和客户服务所需的平台数据,如 Shopify 隐私政策中所述 Shopify International Limited 提供和改进 Shopify 平台和其他相关服务 爱尔兰 提供平台功能和客户服务所需的平台数据,如 Shopify隐私政策中所述 Shopify (Australia) Pty. Ltd. 提供和改进 Shopify 平台和其他相关服务 澳大利亚 提供平台功能和客户服务所需的平台数据,如 Shopify隐私政策中所述 Shopify Commerce India Pvt. Ltd. 提供和改进 Shopify 平台和其他相关服务 印度 提供平台功能和客户服务所需的平台数据,如 Shopify隐私政策 中所述 Shopify (Japan) 株式会社 提供和改进 Shopify 平台和其他相关服务 日本 提供平台功能和客户服务所需的平台数据,如 Shopify 隐私政策中所述 Shopify Commerce Singapore Pte. Ltd. 提供和改进 Shopify 平台和其他相关服务 新加坡 提供平台功能和客户服务所需的平台数据,如 Shopify 隐私政策中所述 Shopify UK Ltd. 提供和改进 Shopify 平台和其他相关服务 英国 提供平台功能和客户服务所需的平台数据,如 Shopify 隐私政策中所述 Shopify Commerce New Zealand Ltd. 提供和改进 Shopify 平台和其他相关服务 新西兰 提供平台功能和客户服务所需的平台数据,如 Shopify隐私政策中所述 附加 Shopify 分支处理机构 分支处理机构 提供的服务 公司总部 已处理数据 Shopify Capital 公司 提供和改进 Shopify Capital 服务 美国 提供 Capital 服务所需的平台数据 Shopify (USA) 公司 提供 Shopify Inbox 应用程序,并提供和改进 Shopify 平台和其他相关服务 美国 提供 Shopify Inbox 所需的平台数据 第三方分支处理机构 Shopify 也可能使用第三方分支处理机构来提供服务。核心分支处理机构是我们在没有它们的情况下便无法提供服务的分支处理机构。如果使用了其他服务,则可能会应用附加分支处理机构。例如,我们的发货分支处理机构将仅在使用 Shopify 发货网络时处理信息。向第三方分支处理机构的转移是按照合同进行的。 核心第三方分支处理机构 分支处理机构 提供的服务 公司总部 已处理数据 Amazon AWS 云托管 美国 与网站内容交付相关的信息 Bugsnag 错误记录 美国 用于记录错误的客户个人数据(如有必要) Cloudflare 负载均衡和 DDoS 保护 美国 所有平台数据 Fastly 内容交付 美国 与网站内容交付相关的信息 Google 地图 映射配送 美国 展示映射功能所需的个人数据 Google Cloud Platform 云托管 美国 所有平台数据 Mode 数据分析 美国 所有平台数据 ServerCentral 内容交付 美国 与网站内容交付相关的信息 Splunk 内部记录 美国 内部记录所需的客户个人数据 附加第三方分支处理机构 分支处理机构 提供的服务 公司总部 已处理数据 Brandfox 有限责任公司 发货服务 美国 用于提供运输和发货服务的个人数据 ITS Logistics 有限责任公司 发货服务 美国 用于提供运输和发货服务的个人数据 Port Logistics Group 公司 发货服务 美国 用于提供运输和发货服务的个人数据 Sauceda Industries 有限责任公司 发货服务 美国 用于提供运输和发货服务的个人数据 ShipHero 有限责任公司 发货服务 美国 用于提供运输和发货服务的个人数据 Whiplash Merchandising 公司 发货服务 美国 用于提供运输和发货服务的个人数据 SalesForce 发货服务 美国 用于提供运输和发货服务的个人数据 MailGun 电子邮件传输 美国 提供 Shopify Email 或弃购功能所需的个人数据 SendGrid 电子邮件传输 美国 提供 Shopify Email 所需的个人数据 Twilio 外部通信 美国 提供短信功能所需的个人数据...
09-21
GDPR 扩展了个人访问和控制其个人数据的权利。本页介绍: 这些权利的细分。 如何使用 Shopify 的平台来处理针对每项权利的请求。 针对您收到的各项权利的请求,您可能需要独立于 Shopify 执行哪些操作。 本页相关主题 了解主体申请访问和便携性请求 处理主体申请访问和便携性请求 处理删除请求 了解主体申请访问和便携性请求 在某些情况下,GDPR 为个人提供请求公司当前处理的其个人数据的副本的权利。 因此,GDPR 要求您能够以下列格式向您的客户提供他们个人数据的副本: 常用 易于阅读 便携 这允许客户将他们的数据用于不同的服务提供商。Shopify 允许您直接从后台以 CSV 或 Excel 格式导出大部分数据(例如,订单、款项、产品和客户信息)。 通常,您应在 30 天内回复请求。如果请求特别难以实现,可延长回复时长。 处理主体申请访问和便携性请求 如果您收到访问或便携性请求,您首先需要验证请求者的身份(以便您不会无意中向他人提供您客户的私人信息)。 备注 具有请求客户数据权限的店主和员工才能提交客户数据请求。 步骤: 1、在 Shopify 后台中,点击客户。 2、点击想请求其日志的客户的姓名。 3、点击请求客户数据。 客户的信息会通过电子邮件发送给店主。刷新页面后,客户资料页面上也会提供该模板。然后,店主可以向提出请求的客户提供相关信息。 GDPR 第 15 条还要求您提供有关如何使用您提供的数据的其他背景信息,包括: 处理客户数据的目的。 接收此数据的第三方。 任何相关的保留期。 此信息的收集来源(如果不是直接来源于客户)。 数据是否用作任何自动决策的一部分。 此外,您还需要能够确保: 客户请求更正或擦除信息的权利。 客户反对其信息处理方式的权利。 客户向监管机构投诉的权利。 备注:有关如何响应申请访问的详细信息,您可以阅读英国信息专员办公室撰写的这篇文章。 考虑以下问题: 您是否能够应客户要求提供与其数据相关的所有必要背景信息?尝试通过维护您(或您使用的服务提供商,如 Shopify)存储的所有客户个人数据的映射,提前针对请求进行规划。 您是否考虑过使用可能有权访问客户个人数据的其他服务提供商?这些服务提供商可能包括第三方应用、渠道和支付网关。 您是否拥有您使用的且可能存储客户个人数据的所有第三方服务的联系信息? 处理删除请求 GDPR 赋予个人在某些情况下要求删除个人数据或要求公司限制处理个人数据的权利。 “个人数据”指可用于识别个人的任何数据,包括: 名称 地址 电子邮件 IP 地址 信用卡号。 个人数据不包括单纯的财务信息以及无法关联至个人的信息,例如: 特定产品的出售次数 您的商店收入 备注:当您收到符合 GDPR 的请求时,您无需完全透露或删除纯粹的财务信息。事实上,某些司法管辖区的法律可能不允许这样做,由于税收或其他法律原因,您可能需要维护订单记录。 如果您收到删除请求(有时称为编校或删除),应先验证客户的身份。您还应该确保没有任何理由需要保存客户的数据(例如,如果客户也是员工)。 步骤: 1、在 Shopify 后台中,点击客户。 2、点击您要为其请求删除的客户的名称。 3、点击删除个人数据。 备注 只有店主或具有删除客户个人数据权限的员工可以请求删除客户的数据。 您通过后台请求删除之后,Shopify 会在您发出请求的同时将删除请求提交到您已安装的所有应用,这些应用可能具有该客户数据的访问权限。 一旦您在后台中请求删除,将有 10 天的缓冲期,在此期间您可取消请求,防止您不小心提出了请求。若要取消待处理的删除请求,请联系 Shopify 支持,并提供您的商店信息和相关的客户 ID。 当您请求删除时,Shopify 将仅编辑个人信息(例如姓名和地址)。您的匿名订单信息将保持不变,以防您需要这些信息用于会计用途。删除相关的个人数据后,我们将立即向您发送一封确认电子邮件。 默认情况下,如果客户在过去的 6 个月(180 天)内下过订单,Shopify 将不会删除个人数据,以防出现退款的情况。如果您在该时间范围内提交删除请求,则请求将处于待处理状态,Shopify 会在合理的时间后对其执行操作。您不需要再次提交请求。 如果您想跳过此延迟时间(不考虑退款风险),请联系 Shopify 支持。 考虑以下问题: 您将所有客户数据都存储在自己的个人计算机上还是通过硬拷贝存储? 您是否可能需要联系第三方(例如渠道或支付网关)以请求他们删除客户个人信息? 是否有任何当地规定(如税法)可能要求即使在客户要求删除其个人信息的情况下,您仍需保留这些信息?请考虑咨询当地的数据保留要求资深律师来帮助回答这一问题。...
09-21
《通用数据保护条例》(GDPR) 影响任何位于欧洲或为欧洲客户提供服务的 Shopify 商家。虽然 Shopify 正努力确保其自身及其商家自 2018 年 5 月 25 日起符合 GDPR,但务必注意,GDPR 还要求商家独立于 Shopify 平台采取行动。 Shopify 希望帮助商家尽可能地遵守法律。本文包括您应考虑的问题,旨在帮助您评估自己的义务,从而确保您以合法的方式设立商店。 也就是说,这不是法律建议。GDPR 是一项复杂的法规,它将以不同的方式适用于不同的商家。您应咨询律师,了解您具体需要做什么。 有关处理数据请求的信息,请参阅处理 GDPR 数据请求。 本页相关主题 Shopify 为什么不能为商家处理 GDPR 合规性? 收集个人数据 隐私声明 任命数据保护官 数据处理协议 客户同意 父母同意 自动决策 数据泄露通知 第三方应用 国际数据转移 Shopify 为什么不能为商家处理 GDPR 合规性? GDPR 规定了数据控制方和处理方的不同义务。作为数据处理方,Shopify 按照 GDPR 履行其自身的法律义务。但是,商家(作为控制方)也有自己必须考虑的独立义务。 Shopify 为商家提供了一个可配置为符合 GDPR 的平台,但您必须自己考虑如何经营您的业务。 为进一步提供指导,欧盟范围内的以下监管机构就 GDPR 提供了具体指导: ICO - 数据保护指南。 爱尔兰数据保护专员 - GDPR。 CNIL - Règlementeuropéen:seprépareren6étapes。 收集个人数据 GDPR 保护欧盟范围内的个人在处理个人数据方面的基本权利。 个人数据示例包括: 名称 地址 电子邮件地址 社交媒体账户 数字标识符,例如 IP 地址或 Cookie ID。 考虑以下问题: 您是否在收集欧洲客户的个人数据?大多数网站对欧洲的居民开放,并且将遵循 GDPR 规定。 如果您的商店使用第三方应用或模板,它们是否按照 GDPR 的规定收集和处理数据?为了简化此流程,Shopify 要求所有应用发布详细说明数据处理做法的隐私政策,您可以评估是否愿意接受该应用的数据处理做法。Shopify 开发的应用遵从数据处理附录,并且 Shopify 对这些应用的合规性负责。 您使用的渠道或支付网关是否按照 GDPR 的规定来收集和处理数据?您应该与他们联系以确保这一点。 您是否列出了从客户处收集的所有类型的个人数据以及您使用此类数据的所有方式?GDPR 第 30 条要求您维护您数据实践的当前映射。 隐私声明 GDPR(尤其是第 12 至 14 条)要求您向您处理其数据的个人提供特定信息,通常采用隐私声明或隐私政策的形式。 您可使用 Shopify 的隐私政策生成器来帮助您制定隐私政策。您可在“结账”或在线下的设置中找到它。 请考虑以下问题: 您的网站上是否有隐私政策,其中包含您需要根据法规提供的所有信息?它是否至少包括客户如何就隐私问题与您联系,以及客户如何行使其权利(例如删除或更正(修改或更正)其数据的权利以及访问该数据的权利)的相关信息? 您的隐私政策是否包括 Shopify 如何将您客户的个人数据用于自动的风险和欺诈评分?您(或您的服务提供商)将客户信息用于自动决策时,GDPR 要求您披露这些信息。Shopify 使用您客户的个人信息,通过自动决策阻止某些看似有欺诈性质的交易。Shopify 的隐私政策生成器包含此信息。有关此系统的详细信息,请参阅自动决策。 任命数据保护官 数据保护官 (DPO) 监督组织收集和处理个人数据的方式。如果公司的核心活动涉及大规模的在线跟踪,则 GDPR 要求您任命 DPO 并在隐私政策中提供 DPO 的联系信息。 GDPR 包括 DPO 需要完成的特定任务,例如,在您的组织更改其收集和处理个人数据的方式时,进行数据保护影响评估。DPO 可以由在 GDPR 和数据保护要求方面具有专业知识的内部人员担任,但您也可考虑与顾问或公司合作,由他们担任外部 DPO。 考虑以下问题: 有多少人受到您店面跟踪技术的影响?这些可能包括行为广告应用,甚至重定向应用。受影响的人数是否为“大规模”是一项法律决策,您应根据您的具体情况咨询律师。 您应主动任命 DPO 吗?即使法律上不要求您指定 DPO,如果您在欧洲占据举足轻重的地位,您可能希望主动这样做以确保您充分保护客户的数据。 数据处理协议 作为 GDPR 适用的数据控制方,第 28 条要求您在通过数据处理方(如 Shopify)处理客户数据时,您应对其可能使用和处理该数据的方式规定严格的协议要求。这通常通过数据处理附录或 (DPA) 完成。 Shopify 已自动将数据处理协议 (https://www.shopify.com/legal/dpa) 纳入服务条款,从而满足第 28 条要求。 对于 Shopify Plus 商家,他们与 Shopify 之间的关系将由他们的协商合同决定。Shopify Plus 商家可签署数据处理附录以满足他们的需求。未签署数据处理附录的 Shopify Plus 商家将受 Shopify 在线数据处理附录的监管。 考虑以下问题: 您在 Shopify 外部使用的其他数据处理者是否依照协议承诺保护您客户的数据?许多第三方应用、渠道、支付网关或其他数据处理者也会自动将数据处理协议纳入他们的条款中。您是否就这些事宜咨询过这些第三方? 您是具有协商合同的 Shopify Plus 商家吗?如果您想签署数据处理附录,请联系 Shopify Plus 客服。他们可以为您提供 Shopify 的模板 DPA 以进行签署。 客户同意 根据 GDPR 的规定,您可能需要取得同意才能处理客户的个人资料,或更改您目前取得此同意的方式。 例如,如果您要向客户发送营销消息,或者您正在使用在线广告或重定向应用,则可能需要获得客户的同意。 针对您需要获得同意的情况,GDPR 规定必须满足以下条件: 自愿给予:必须是完全自愿的行为,不应与其他商品或服务捆绑在一起。 具体:必须要有明确解释的用例。 知情:只有为数据主体提供了足够的个人数据信息,数据主体才表示同意。 明确:必须通过商家的肯定行为来证明(即,不仅仅是继续使用服务)。 这意味着需要向客户提供关于特殊用例的详细信息,并需要客户执行一些支持操作来表示同意。 最后,如果您为客户提供同意的机会,GDPR 还要求您的客户有撤回同意的途径。这通常可通过取消订阅功能来实现。如果您对应在何时以及如何获取收集个人数据的同意存在疑问,或者对您的客户被允许撤回同意的程度存在疑问,则您应咨询资深数据保护法律师。 但是,同意只是 GDPR 中可以对处理个人数据进行证明的众多法律基础之一。您还可以处理个人数据以履行合同要求,或者按法律要求对数据进行处理。 一些欧洲监管机构指出,如果您第一次征求同意但客户拒绝了,或者客户同意之后又撤回了同意,那么您可能无法再依靠其他法律依据来处理个人数据。因此,如果您不打算(或需要)依靠其他法律依据来处理个人数据,您只依靠同意即可。 备注:您可以在英国信息专员网站上阅读有关支持数据处理的不同法律依据的详细信息。 考虑以下问题: 您使用或...
09-21
《通用数据保护条例》(GDPR) 要求 Shopify 对其平台和内部隐私计划进行以下更改: 重新组织隐私团队,记录并保存 Shopify 所做的某些与隐私相关的决策,以便 Shopify 对其隐私相关做法承担责任。 确保 Shopify 能够尊重欧洲商家和客户对其个人数据的权利,并在使用 Shopify 的服务时,商家也能做到这一点。 当 Shopify 使用第三方分支处理机构提供服务时,向商家做出某些协议承诺并获得某些协议承诺。 本页相关主题 Shopify 为 GDPR 做了哪些准备? Shopify 还采取了哪些措施来遵守 GDPR? Shopify 会与商家签订数据处理协议吗? Shopify 为 GDPR 做了哪些准备? Shopify 针对 GDPR 做了以下方面的准备: 政策和文档 根据 GDPR 第 13 条和第 14 条的要求,更新了 Shopify 的隐私政策,以包含有关 GDPR 扩展的权利的详细信息,以及有关 Shopify 如何处理个人数据的详细信息。 根据 GDPR 第 28 条的要求,向 Shopify 的在线服务条款中添加了数据处理附录。 实现了处理数据主体申请访问权限、删除申请和政府申请访问权限的详细过程。 产品功能 根据 GDPR 第 13 条和第 14 条的要求,更新了隐私政策生成器,以包括商家需要在他们的隐私政策中包含的一些信息。 为 Shopify 平台添加了功能,使商家能够获得独立的同意来实现营销目的,并且能够根据他们的需求选择是否要预先选中同意复选框。 更新了弃购通知,以允许商家能够将这些通知与客户是否选择接收营销信息联系起来。 应用商店 更新后的 Shopify 应用商店将会显示,以便应用开发者可链接到隐私政策,其中准确解释应用将收集和处理的个人数据。 为应用开发者提供了模板隐私政策,以便帮助他们起草隐私政策,其中包括商家根据 GDPR 要求更新自己的隐私政策所需的信息类型。 公司管控 指定一位经验丰富的数据保护官来监督 Shopify 的数据保护计划和 GDPR 实施计划。 按照 GDPR 第 30 条的要求,为我们的数据处理活动准备了一份注册表。 根据 GDPR 第 35 条和第 91 条要求,实现了数据保护影响评估流程。 记录了 Shopify 用于提供其平台和其他服务的分支处理机构,并已开始审核与这些分支处理机构的合同安排,以确保它们能够满足通过强大的技术和组织措施来保护个人数据的要求。 已启动申请批准约束公司规则的流程以支持 Shopify 的数据处理操作。 已经开始对关键团队和人员进行以 GDPR 为重点的培训,以便他们了解法律要求并且能够在考虑到隐私的情况下设计 Shopify 产品和商业计划。 Shopify 还采取了哪些措施来遵守 GDPR? 除了上述准备事项外,Shopify 还将推出以下功能: 用于代表客户通过 Shopify 后台请求 Shopify 持有的所有客户信息的工具,适用于商家收到符合 GDPR 的主体申请访问的情况。 用于请求 Shopify 通过 Shopify 后台删除与特定客户相关的所有个人信息的工具,适用于商家收到符合 GDPR 的删除请求的情况。当商家使用此工具请求删除时,Shopify 还会将此请求转发给商家在请求客户个人信息访问权限获批时安装的应用。 更具信息性的渠道安装流程,更准确地告知商家该渠道在安装后将能访问哪些个人数据。 更强大的 Cookie 策略,其中包括 Shopify 存放的 Cookie(不仅存放在 Shopify 自己的在线资产上,还通过 Shopify 店面和移动应用存放)的类别相关特定信息,以确保商家获得所需信息,便于在存放提供服务所需的 Cookie 时获得 Shopify 的有效同意。 商家安装应用的过程更加透明,以便在安装应用之前,商家可以完全了解应用申请访问的确切个人数据。 为已安装应用提供更多描述性清单,以便商家可以随时查看特定应用数据访问权限。 Shopify 会与商家签订数据处理协议吗? 对于按照在线服务条款规定使用 Shopify 服务的商家,Shopify 对条款进行了修订,已将数据处理附录纳入在内。 您无需签署此文档,因为它已附加到服务条款,您继续使用 Shopify 服务即表示您同意此条款。这符合 GDPR 第 28(3) 条的要求。Shopify 无法与每个商家签署单独协议。 对于 Shopify Plus 商家,Shopify 制定了一份涵盖其个人数据处理事项的数据处理协议。有关详细信息,请联系 Shopify Plus 客服。...
09-21
欧盟的《通用数据保护条例》(GDPR) 于 2018 年 5 月 25 日生效。GDPR 规定了针对数据控制方和处理方的新义务和责任。 作为商家,您通常是客户数据的控制者。这意味着您负责收集客户的数据并选择处理数据的方式。此外,虽然这是一项欧洲法规,但如果您在欧洲提供商品和服务,即使您或您的企业不在欧洲,GDPR 也可能适用于您的业务。 作为客户数据的处理者,Shopify 会按照您的说明来处理这些数据。有关 Shopify 作为客户数据处理者职责的信息,请参阅数据处理附录。 Shopify 对于保护客户的个人数据以及您自己的数据有着坚定地信念,并且理解这样做对于帮助您维护客户的信任和信心至关重要。Shopify 通过设计其平台,使商家可在世界任何地方运营。Shopify 平台内置了符合 GDPR 标准的功能,包括使您能够为客户提供个人数据透明度和控制权的功能,以及确保客户的个人数据在跨境时受到保护的技术措施。Shopify 志在使您可以轻松地以符合 GDPR 等隐私和数据保护法的方式使用我们的平台。 在 Shopify 尽其所能帮助您获得成功的同时,您自己也需要采取一些行动,归根结底,遵守 GDPR 是每个商家的责任。如果您对自己的 GDPR 义务存在特定的法律疑问,请咨询当地的资深数据保护法律师。 相关主题 GDPR 概述 GDPR 如何影响 Shopify? GDPR 将对您造成怎样的影响? 处理 GDPR 数据请求 Shopify 的分支处理机构 GDPR 常见问题解答
09-20
Shopify 对于保护个人信息有着坚定的信念,并且理解这样做对于帮助您维护客户的信任和信心至关重要。Shopify 通过设计其平台,使商家能够为客户提供获得个人信息透明度和控制权的功能。Shopify 志在使您可以轻松地以符合全世界隐私和数据保护法的方式使用我们的平台。 Shopify 会尽其所能助您成功,但您自己也需要采取一些行动。以下文档将帮助您开始考量两项全球主流法律 - 欧洲和加利福尼亚州的隐私法。如果您对哪项法律适用于您有特定法律疑问或有特定于您业务的疑问,请咨询熟悉数据保护法律的当地律师。 与本节相关的主题 《通用数据保护条例》(GDPR) 《加州消费者隐私法案》(CCPA) Cookie 和数据收集 客户隐私设置