GDPR普遍常见问题

掌握与GDPR有关的疑难问题。这种表述仅作参考，不组成技术专业法律提议。若要获得特殊于您所属我国/地域和状况的信息内容，请资询并获得单独的法律提议。

本页有关主题风格

Shopify为什么在买单时未设定“允许条文和标准及其隐私政策”勾选框？

为啥不可以与Shopify签定数据处理协议书(DPA)？

假如也有别的有关GDPR或本地隐私法的疑惑，应该怎么办？

我能联络谁来获得大量相关Shopify作法的信息内容？

假如应用Shopify代管店铺，我的销售业务是不是合乎GDPR？

Shopify会签定规范合同文本吗？

Shopify为什么在买单时未设定“允许条文和标准及其隐私政策”勾选框？

Shopify详尽探讨了GDPR并制定了已有服务平台，便于为商家给予合乎GDPR等个人隐私和个人信息保护法律的一流商务接待感受。

得到客户确立、毫无疑问的允许来解决它们的数据信息。假如执行恰当，将有利于提升清晰度并得到客户的信赖。可是假如执行不合理，勾选框很有可能会使客户觉得疑惑，造成不配对的期待，乃至有可能会为商家产生GDPR有关的法律问题。出自于这种缘故，大家选用不改动付款工作流引擎，没有在付款时包括“允许条文和标准及其隐私政策”。

要需注意的是，GDPR确立表明商家可以出自于各种缘故搜集和解决客户个人数据，包含客户已表明知情同意的状况。可是GDPR发觉，在许多情形下，必须直接解决个人数据，而不用客户的允许，例如：

实行合同书。

为了更好地执行法律责任。

为推动一方的合法权益，均衡客户基本上个人隐私的所有风险性。

商家很有可能会依靠多种多样法律根据以选用不一样的形式对她们客户的信息完成解决。例如，商家很有可能必须应用客户的收货地址来具体送货订单信息并送货商家与客户中间的合同书。一样，商家很有可能会依照法律规定对个人数据开展解决，进而回复法院传票或用以税收核查。而且商家很有可能会因为别的众多的合法权利而对个人数据开展解决。

与此同时，欧洲地区监管部门已说明，在那些不一样的书面通知中，得到允许是最重要的一项。要需注意的是，监管部门已表明，商家征询允许以出自于独特目地解决数据信息后，她们很有可能没法再借助以上法律根据（例如合同书或合法权利）。除此之外，监管部门警示称，允许不可以做为接受产品或服務的标准。

为什么这一切都很重要？使我们考虑一下，假如商家在买单时加上了“允许条文和标准及其隐私政策”勾选框会出现什么原因。假如客户不挑选允许（或是，假如客户允许随后撤销其允许-这也是GDPR授予本人的支配权），那麼商家很有可能没法再取决于上边列举的别的原因。因而，依照GDPR要求，商家很有可能不可以合理合法地解决客户的个人数据以处理或送货订单信息。与此同时，假如商家改动付款，使此勾选框变成进行买卖的强制性规定，那麼允许将是接受产品或服務的前提条件，那样的情形在GDPR要求下很有可能一开始便是没用的。

这类多元性造成了很多监管部门向在很有可能不适合的情形下而规定或依靠允许的作法传出了警示。例如，美国信息内容运营专员公司办公室明确提出过提议：

“假如您能向大家给予真实的挑选并让其操纵您应用其数据信息的方法，并且您想创建它们的信任度和参与性，则需要得到允许。可是，假如您没法带来真实的挑选，则不可规定允许。假如您会在未得到允许的情形下依然解决个人数据，要求允许会造成欺诈，而且这种行为自身便是不合理的。

假如您将允许做为应用一项服务项目的必要条件，则很有可能不会有最好的法律根据。

对本人有着一定权利的公共机构、顾主和其他组织应当防止依靠允许，除非是她们相信她们可以确认允许是自行给与的。”

大家期待尽最大的勤奋适用商家，并协助它们防止明显的法律不良影响。但此外，大家也掌握商家必须最后得到客户的信赖才可以觉得安心。在这样的情况下，您可以聘用Shopify权威专家来协助您在加入购物车网页页面（而不是付款网页页面）加上接纳条文和标准勾选框。

备注名称

本普遍常见问题详细介绍一个用以获得允许以进行付款的勾选框。您很有可能还会继续出自于别的原因寻找允许，例如营销推广目地或搜集比较敏感的数据信息。

为啥不可以与Shopify签定数据处理协议书(DPA)？

GDPR规定数据处理方是每一个数据信息操纵方签署书面形式合同书（包含电子器件形式的合同书），便于解决个人数据。这种合同书应要求可能解决什么个人数据，及其解决方和操纵方的责任和支配权。这种合同书通常称之为数据处理协议书(DPA)。从其本质上而言，在DPA协议书的约束条件下，Shopify只能依照商家特定的方法解决给予给它的个人数据，由于商家是统计数据的把控方。

为达到这一规定，Shopify在服务条款中提高了数据处理附则。（往往称之为“附则”而不是“协议书”，是由于它被加入到服务条款中，且并不是一项独立的协议书。）

做为商家，当您申请注册Shopify的业务时，即表明您允许服务条款及其数据处理附则；再次应用服务项目即表明您允许服务条款的一切升级內容（例如，大家利用升级提升了数据处理附则）。

请必须留意，服务条款受安大略省法律管束，而不是您所属管辖区法律的管束。因而，尽管别的地域法律（如GDPR）很有可能的确包含您的工作及其您解决信息的方法，而且很有可能规定您与服务供应商（如Shopify）签署具备约束的合同书，可是这种地域法律并不一定能判断合同书是不是具备约束。以您与彼此之间的合同书为例子，应根据参照安大略省法律来判断DPA是不是具备约束的合同书。

因而，即使您的司法部门辖区规定签署合同（如DPA），也有可能与您的DPA不相干。依据安大略省法律，大家觉得，在升级条文后再次应用咱们的服务项目，即表明Shopify和您都将遭受新的、改动后的服务条款的管束。当您再次应用Shopify时，大家觉得您已与大家签署了具备约束的合同书，主要包括大家依据GDPR规定出示的数据处理附则。

ShopifyPlus

假如您是已签订协议DPA的ShopifyPlus商家，则该DPA将代替大家的线上DPA。

假如也有别的有关GDPR或本地隐私法的疑惑，应该怎么办？

联络本地的私密或个人信息保护法知名律师。

我能联络谁来获得大量相关Shopify作法的信息内容？

联络Shopify适用，掌握有关Shopify作法的详细资料。

假如应用Shopify代管店铺，我的销售业务是不是合乎GDPR？

不一定符合。虽然Shopify的运行合乎GDPR，而且Shopify将给予专用工具来协助商家合乎GDPR，但保证业务流程合乎经营所在城市的管辖区法律是每一个商家的义务。

仅应用Shopify的服务平台并无法保障企业遵循GDPR。

Shopify会签定规范合同文本吗？

不容易。正如市场研究报告（英语版）的“传输数据”一部分上述，Shopify已建立了数据流分析，便于商家将传输数据给坐落于欧洲地区的Shopify西班牙分公司。因而，规范合同文本不适感用来此状况，由于他们被许可用以欧洲地区方和非欧方中间的传输数据。

除此之外，针对立即迁移给ShopifyInc.的状况，Shopify将依靠欧洲委员会有关澳大利亚隐私法的正确性决策，该法律可拓展至澳大利亚企业ShopifyInc.。

Shopify商家官方网站全文详细信息：

GDPRFAQ

LearnaboutfrequentlyaskedquestionsrelatedtoGDPR.Theseexplanationsareforinformationalpurposesonly,anddonotconstituteprofessionallegaladvice.Consultindependentlegaladviceforinformationspecifictoyourcountryandcircumstances.

Onthispage

WhydoesShopifynotincludeanAgreetoTermsandConditionsandPrivacyPolicycheckboxatcheckout?

WhycantIsignaDataProcessingAgreement(DPA)withShopify?

WhatdoIdoifIhavemorequestionsabouttheGDPRormylocalprivacylaws?

WhocanIcontactformoreinformationonShopifyspractices?

IfIuseShopifytohostmystore,doesmybusinesscomplywithGDPR?

WillShopifysignStandardContractualClauses?

WhydoesShopifynotincludeanAgreetoTermsandConditionsandPrivacyPolicycheckboxatcheckout?

ShopifyhasthoughtabouttheGDPRverycarefullyandwehavedesignedourplatformtoprovideourmerchantswithabest-in-classcommerceexperiencethatcancomplywithprivacyanddataprotectionlawsliketheGDPR.

Obtainingexplicit,affirmativeconsentfromcustomerstoprocesstheirdatacan,whenimplementedproperly,beahelpfulwaytoprovidetransparencytoandgainthetrustofthecustomer.Butwhennotimplementedappropriatelycheckboxescanbeconfusingtothecustomer,cancreatemismatchedexpectations,andcanevencreatelegalissuesformerchantsundertheGDPR.WehavechosennottomodifyourcheckoutworkflowtoincludeanAgreetoTermsandConditionsandPrivacyPolicycheckboxduringcheckoutbecauseoftheseconcerns.

Inparticular,theGDPRmakesclearthatmerchantscancollectandprocesscustomerpersonaldataformanyreasons,includingifthecustomerhasprovidedtheirinformedconsent.ButtheGDPRrecognizesthattheremaybemanycircumstancesinwhichpersonaldatamightneedtobeprocessedseparateandapartfromthecustomersconsent,suchas:

Toperformacontract.

Tofulfillalegalobligation.

Topromotealegitimateinterestofaparty,balancedwithanyriskstothecustomersfundamentalrighttoprivacy.

Merchantsarelikelytorelyonmanyoftheselegalgroundswithrespecttothedifferentwaysthattheymightprocesstheircustomersdata.Forexample,amerchantmightneedtouseacustomersshippingaddresstoactuallyfulfilltheorderandsatisfythemerchantscontractwiththecustomer.Similarly,amerchantmaybelegallyrequiredtoprocesspersonaldatatorespondtoasubpoenaorinthecontextofataxaudit.Andamerchantmayprocesspersonaldataforanynumberofotherlegitimateinterests.

Atthesametime,Europeanregulatorshavemadeclearthatconsentisthemostimportantofthesedifferentjustifications.Inparticular,regulatorshavesuggestedthat,onceamerchantasksforconsenttoprocessdataforaparticularpurpose,theymaynolongerbeabletorelyonthelegalgroundsabove(suchascontractsorlegitimateinterests).Additionally,regulatorshavecautionedthatconsentcannotbemadeaconditiontoreceivinggoodsorservices.

Whydoesallofthismatter?LetsthinkaboutwhatwouldhappenifamerchantdidaddanAgreetoTermsandConditionsandPrivacyPolicycheckboxatcheckout.Ifthecustomerdoesnotchoosetoconsent(or,ifthecustomerconsentsandthenwithdrawstheirconsent--whichisarightprovidedtoindividualsundertheGDPR),thenamerchantmaynolongerbeabletorelyontheotherjustificationslistedabove.SothemerchantmaybeinapositionwhereundertheGDPRthemerchantcannotlegallyprocessthecustomerspersonaldatatoprocessorfulfillanorder.Atthesametime,ifthemerchantmodifiescheckoutsothischeckboxwasmandatorytocompletethetransaction,consentwouldbeapreconditiontoreceivingthegoodsorservicesandsomaynotbevalidundertheGDPRinthefirstplace.

Thiscomplexityhasledanumberofregulatorstocautionagainstaskingfororrelyingonconsentwhereitmaynotbeappropriate.Forexample,theUKInformationCommissionersOfficehasadvised:

Consentisappropriateifyoucanofferpeoplerealchoiceandcontroloverhowyouusetheirdata,andwanttobuildtheirtrustandengagement.Butifyoucannotofferagenuinechoice,consentisnotappropriate.Ifyouwouldstillprocessthepersonaldatawithoutconsent,askingforconsentismisleadingandinherentlyunfair.

Ifyoumakeconsentapreconditionofaservice,itisunlikelytobethemostappropriatelawfulbasis.

Publicauthorities,employersandotherorganizationsinapositionofpoweroverindividualsshouldavoidrelyingonconsentunlesstheyareconfidenttheycandemonstrateitisfreelygiven.

Wewanttodoourbesttosupportourmerchantsandhelpthemavoidproblematiclegalconsequences.Butatthesametime,weunderstandthatmerchantsultimatelyneedtofeelcomfortablethattheyhavethetrustoftheircustomers.Inthiscase,youcanhireaShopifyexperttohelpyoutoputanAcceptsTermsandConditionscheckboxontheCartpage(nottheCheckoutpage).

Note

ThisFAQdiscussesacheckboxtoobtainconsenttocompleteacheckout.Youmightalsowanttocollectconsentforotherreasons,forexamplemarketingorcollectingespeciallysensitivedata.

WhycantIsignaDataProcessingAgreement(DPA)withShopify?

TheGDPRrequiresthatdataprocessorsbeboundbyacontractinwriting(whichincludescontractsinelectronicformats)toeachdatacontrollerinordertoprocesspersonaldata.Thesecontractsshouldspecifywhatpersonaldataisbeingprocessed,andtheobligationsandrightsoftheprocessorandcontroller.ThesecontractsareoftencalledDataProcessingAgreements(DPA).Inessence,aDPAisanagreementthatShopifywillonlyprocessthepersonaldatagiventoitinthemannerthatthemerchantspecifies,becausethemerchantisthecontrollerofthedata.

Tofulfillthisrequirement,ShopifyhasaddedaDataProcessingAddendumtoourTermsofService.(ItiscalledanAddendumandnotanAgreementbecauseitisaddedontotheTermsofService,andisntanagreementonitsown.)

Asamerchant,youagreetotheTermsofServiceand,byextension,theDataProcessingAddendum,whenyousignupforShopifysservices,andyouagreetoanyupdatestotheTermsofService(forexample,ourupdatewhichaddedtheDataProcessingAddendum)bycontinuingtousetheservices.

ItisimportanttonotethattheTermsofServicearegovernedbyOntariolaw,andnotthelawofthejurisdictioninwhichyoureside.Sowhileotherregionallaws,liketheGDPR,maycertainlycoveryourbusinessandhowyouprocessdata,andmayrequireyoutohaveabindingcontractwithyourserviceproviders(likeShopify),thoseotherregionallawsdonotnecessarilydictatewhetheracontractisbindingornot.Incaseofyourcontractwithus,thatquestionofwhethertheDPAisabindingcontractisdeterminedbyreferencetoOntariolaw.

Asaresult,evenifyourjurisdictionrequiresthatacontract(liketheDPA)besigned,thatmaynotmatterwithrespecttoyourDPA.UnderOntariolaw,webelievethatbycontinuingtouseourserviceonceourtermsareupdated,bothShopifyandyouareboundbythenew,modifiedTermsofService.WhenyoucontinuetouseShopify,webelieveyouhaveenteredintoabindingcontractwithusthatincludesourDataProcessingAddendum,asrequiredbytheGDPR.

ShopifyPlus

IfyouareaShopifyPlusmerchantwhohassignedanegotiatedDPA,thenthatDPAwillsupersedeouronlineDPA.

WhatdoIdoifIhavemorequestionsabouttheGDPRormylocalprivacylaws?

Contactalocallawyerwhospecializesinprivacyordataprotectionlaw.

WhocanIcontactformoreinformationonShopifyspractices?

ContactShopifySupportformoreinformationonShopifyspractices.

IfIuseShopifytohostmystore,doesmybusinesscomplywithGDPR?

Notautomatically.WhileShopifysoperationswillcomplywiththeGDPR,andShopifywillprovidetoolstohelpitsmerchantscomply,itistheresponsibilityofeachmerchanttoensurethatitsbusinessiscompliantwiththelawsofthejurisdictioninwhichitoperates.

UsingShopifysplatformalonedoesnotguaranteethatacompanycomplieswiththeGDPR.

WillShopifysignStandardContractualClauses?

No.AsdescribedintheDatatransferssectionofourwhitepaper(inEnglish),ShopifyhasstructureditsdataflowssothatmerchantstransferdatatoShopifysIrishaffiliatewithinEurope.Forthatreason,StandardContractualClausesarenotappropriate,astheyareapprovedfortransfersbetweenaEuropeanpartyandanon-Europeanparty.

Inaddition,regardingtransfersdirectlytoShopifyInc.,ShopifywouldrelyinsuchcasesontheEuropeanCommissionsadequacydecisionregardingCanadasprivacylaw,whichextendstoShopifyInc.asaCanadiancorporation.

文章内容由来：Shopify商户官方网站