响应数据请求

GDPR 扩展了个人访问和控制其个人数据的权利。本节将为您介绍：

• 这些权利的细分。
• 如何使用 Shoplazza的平台来响应针对每项权利的请求。
• 针对您收到的各项权利的请求，您可能需要独立于 Shoplazza 执行哪些操作。

了解主体申请访问和便携性请求

在某些情况下，GDPR 为个人提供请求公司当前处理的其个人数据的副本的权利。因此，GDPR 要求您能够以下列格式向您的客户提供他们个人数据的副本：

• 常用
• 易于阅读
• 便携

这允许客户将他们的数据用于不同的服务提供商。Shoplazza 允许您直接从后台以 CSV 或 Excel 格式导出大部分数据（例如，订单和客户信息）。

通常，您应在 30 天内回复请求。如果请求特别难以实现，可延长回复时长。

响应主体申请访问和便携性请求

如果您收到访问或便携性请求，您首先需要验证请求者的身份（以便您不会无意中向他人提供您客户的私人信息）。

步骤：

• 登录您的Shoplazza后台，点击顾客
• 点击导出

客户信息的副本将以 Excel 格式生成。然后，您可以将信息提供给提出请求的客户。GDPR 第 15 条还要求您提供有关如何使用您提供的数据的其他背景信息，包括:

• 处理客户数据的目的。
• 接收此数据的第三方。
• 任何相关的保留期。
• 此信息的收集来源（如果不是直接来源于客户）。
• 数据是否用作任何自动决策的一部分。

此外，您还需要能够确保：

• 客户请求更正或清除信息的权利。
• 客户反对其信息处理方式的权利。
• 客户向监管机构投诉的权利。

考虑以下问题：

• 您是否能够应客户要求提供与其数据相关的所有必要背景信息？尝试通过维护您（或您使用的服务提供商，如 Shoplazza）存储的所有客户个人数据的映射，提前针对请求进行规划。
• 您是否考虑过可能有其他服务提供商有权使用和访问客户个人数据？这些服务提供商可能包括第三方应用、渠道和支付网关。
• 您是否拥有您使用的且可能存储客户个人数据的所有第三方服务的联系信息？

您可以在隐私声明中提供所需的上下文和第三方服务提供商信息。有关如何响应访问请求的更多信息，您可以阅读英国信息专员办公室的文章。

响应删除请求

GDPR 赋予个人在某些情况下要求删除个人数据或要求公司限制处理个人数据的权利。“个人数据”指可用于识别个人的任何数据，包括：

• 名称
• 地址
• 电子邮件
• IP 地址
• 信用卡号。

个人数据不包括单纯的财务信息以及无法关联至个人的信息，例如：

• 特定商品的出售次数
• 您的店铺收入

如果您收到删除请求（有时称为编校或删除），应该先验证客户的身份。 您还应确保无理由条件的保留客户的数据（例如，在某些司法管辖区，您可能有法律义务出于税收或其他法律原因维护订单记录）。

步骤：

向我们的客户支持团队(global_cs@shoplazza.com )发送一封电子邮件，说明您的店铺信息、客户姓名、身份验证材料、删除请求规范。

在您通过后台发送删除请求后，Shoplazza 会将您的删除请求传输到您在提出请求时已安装的所有应用程序，这些应用程序可能有权访问该客户的数据。

一旦您在后台中请求删除，将有 10 天的缓冲期，在此期间您可取消请求，防止您不小心提出了请求。若要取消待处理的删除请求，请联系 Shoplazza客户支持，并提供您的店铺信息和相关的客户 ID。

当您请求删除时，Shoplazza 将仅编辑个人信息（例如姓名和地址）。您的匿名订单信息将保持不变，以防您需要这些信息用于会计和法务用途。删除相关的个人数据后，我们将立即向您发送一封确认电子邮件。

默认情况下，如果客户在过去的 6 个月（180 天）内下过订单，Shoplazza 将不会删除个人数据，以防出现退款的情况。如果您在该时间范围内提交删除请求，则请求将处于待处理状态，Shoplazza 会在合理的时间后对其执行操作。您不需要再次提交请求。

考虑以下问题：

• 您将所有客户数据都存储在自己的个人计算机上还是通过硬件拷贝存储？
• 您是否可能需要联系第三方（例如渠道或支付网关）以请求他们删除客户个人信息？
• 是否有任何当地规定（如税法）可能要求即使在客户要求删除其个人信息的情况下，您仍需保留这些信息？

请考虑咨询当地的数据保留要求资深律师来帮助回答这一问题。