Olin odottanut pitkään sitä päivää, jolloin ehtisin selvittää yksinkertaisen asian: missä maassa Shopify käsittelee eurooppalaisten verkkokauppojen asiakkaiden henkilötietoja. Tämä päivä alkoi aurinkoisena; ei pitänyt sataa ollenkaan, mutta klo 14 paikkeilla alkoi sataa ja klo 16 satoi jo rakeita.
Päätin kysyä eräältä pollean oloiselta verkkokauppa-asiantuntijalta, joka on perustanut verkkokauppoja Shopifyllä ja toiminut omien sanojensa mukaan Tampereen yliopistossa kansainvälisen verkkoliiketoiminnan ja pilviteknologian kouluttajana, että siirtääkö Shopify verkkokauppojen asiakastietoja tai muuta dataa EU:n ulkopuolelle? Sain vastaukseksi, että EU:n alueelta ei siirretä pois mitään dataa ja että Shopifyllä on EU:n alueella omat palvelimet. Onkohan näin?
EDIT 16.6.2023 Jos et jaksa lukea loppuun asti, niin verkkokauppiaan ja Shopifyn välisessä DPA-sopimuksessa sovitaan tällä hetkellä, että Shopify saa käsitellä verkkokaupan asiakkaiden henkilötietoja Kanadassa, Australiassa, Intiassa, Japanissa, Singaporessa, Iso-Britanniassa ja Uudessa-Seelannissa, koska se on välttämätöntä, ja tietyissä tilanteissa myös Yhdysvalloissa.
Lähtökohdat
Shopify on kanadalainen yritys, joka tarjoaa verkkokauppiaiden käyttöön maksullista Shopify-nimistä verkkokauppapalvelua. Yhtiö toimii Euroopassa irlantilaisen tytäryhtiönsä, Shopify International, kautta.
Shopifytä käyttävä verkkokauppias toimii henkilötietojen rekisterinpitäjänä (controller) ja vastaa siitä, että tietoja käsitellään EU:n yleisen tietosuoja-asetuksen (GDPR) edellyttämällä tavalla. Verkkokauppias määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Shopify International toimii pääasiassa henkilötietojen käsittelijänä (processor) verkkokauppiaan ohjeiden mukaisesti ja hänen alaisuudessa.
Henkilötietoja saa siirtää kolmansiin maihin, eli EU-maiden ulkopuolelle, jos siirto ei vaaranna luonnollisten henkilöiden henkilötietojen suojan tasoa ja siirto tehdään kaikilta osin GDPR:n edellyttämällä tavalla. Tämä koskee myös henkilötietojen siirtämistä edelleen kyseisistä kolmansista maista.
Löysin tietosuojaselosteen
Shopifyn tietosuojaseloste koskee muun muassa Shopifyllä perustettujen verkkokauppojen asiakkaiden henkilötietojen käsittelyä. Selosteen mukaan eurooppalaisia henkilötietoja kontrolloi (controller) irlantilainen tytäryhtiö, Shopify International, jonka jälkeen tiedot siirretään muihin Shopify-yksiköihin, jotka voivat sijaita muilla alueilla, mukaan lukien Kanada ja Yhdysvallat.
Shopify toteaa selosteessaan, että kun se siirtää tietoja Euroopan ulkopuolelle, niin se tekee sen Euroopan lakeja noudattaen. Shopify jatkaa, että kun se on siirtänyt tiedot Kanadaan, niin tietoja suojelee sen jälkeen Kanadan laki ja että EU:n komissio on todennut Kanadan lainsäädännön riittäväksi tietojen suojaamiseksi. Shopify jatkaa, että jos se siirtää tiedot Kanadan ulkopuolelle, niin siirretyt tiedot suojataan sopimusperusteisesti ja että nämä sopimukset ovat verrattavissa EU:n komission Standard Contractual Clauses (SCC) -mallisopimuslausekkeisiin.
Selosteen perusteella on selvää, että Shopify International siirtää tiedot EU:n ulkopuolelle silloin, kun se toimii henkilötietojen rekisterinpitäjänä (controller). Entä siirtääkö se tiedot myös silloin, kun se toimii henkilötietojen käsittelijänä (processor)?
Löysin valkoisen paperin
Olin itse asiassa tekemässä klapeja ja multitaskasin tätä asiaa siinä samalla. Taivas aukesi ja ryntäsin sisään jatkamaan tätä Shopify-kysymystä. Melkein jo luovuttaessani näin linkin Shopifyn valkoiseen paperiin, joka käsittelee rajat ylittävää tiedonsiirtoa.
”White paper on julkaisu, joka tyypillisesti käsittelee tiettyä kantaa tai ratkaisua ongelmaan. Termi on lähtöisin brittihallituksesta: ensimmäinen tätä nimeä käyttänyt dokumentti on Churchill White Paper vuodelta 1922, joka käsitteli poliittista konfliktia Palestiinassa. Myöhemmin termi on omaksuttu myös markkinoinnin käyttöön.” — Wikipedia
Valkoisen paperin mukaan Shopify on järjestellyt tiedonkulun niin, että se vastaanottaa ja käsittelee eurooppalaiset henkilötiedot Euroopassa (erityisesti Irlannissa), ja siirtää ne eteenpäin Kanadaan ja muihin sijainteihin.
Tiivistän valkoisen paperin sisällön seuraavasti. Nämä eivät ole omia tulkintojani. Kun esimerkiksi kirjoitan, että ”tämä on Shopifyn oma näkemys”, niin Shopify on kirjoittanut valkoiseen paperiin niin.
- Irlantilainen Shopify International vastaanottaa tiedot ja käsittelee niitä Euroopassa, eikä siirrä tietoja EU:n ulkopuolelle – alkujaan. Tämä on Shopifyn oma näkemys, eikä Shopify anna neuvoja sen suhteen, miten valkoisen paperin lukija voi täyttää tietosuojalakien asettamat vaatimukset.
- Seuraavaksi irlantilainen Shopify International siirtää tiedot kanadalaiselle Shopifylle, jotta Shopify voi tarjota maailmanlaajuista alustaansa. Siirto tapahtuu GDPR:n 45 artiklan perusteella; EU:n komissio on todennut kanadalaisen tietosuojalain, PIPEDA:n, tietosuojan tason riittävän (adequency decision).
- Seuraavaksi kanadalainen Shopify voi siirtää tiedot aliprosessoijille (subprocessors), jotka voivat sijaita ympäri maailman. Siirto aliprosessoijille tapahtuu PIPEDA:n vientivaatimusten edellyttämällä turvallisuuden tasolla.
- Kun Shopify siirtää tietoja Kanadasta Yhdysvaltoihin, niin se ei luota hiljattain Euroopan unionin tuomioistuimessa mitätöityyn turvasatamaan (privacy shield), eikä SCC-mallisopimuslausekkeisiin, koska näitä on mahdollista soveltaa vain tietojen siirtämisessä EU:n alueelta EU:n ulkopuolelle. Näiden sijaan se noudattaa Kanadan PIPEPA:n vientivaatimuksia ja suojaa tiedot sopimusperusteisesti.
- Shopify on juuri hyväksyttämässä GDPR:n artiklojen 47 ja 63 tarkoittamia yrityksen sisäisiä sääntöjä (binding corporate rules), jotka mahdollistavat uudentyyppisen tietojen siirtämisen konsernin yksiköiden välillä.
- Shopify on juuri keskustelemassa aliprosessoijien kanssa uusien SCC2.0-mallisopimuslausekkeiden allekirjoittamisesta.
- Shopify siirtää ja käsittelee lähes varmasti joitain valkoisen paperin lukijan asiakkaiden henkilötietoja Yhdysvalloissa toimiville aliprosessoijille.
- Shopify säilyttää kauppias- ja asiakastietoja pääasiassa Yhdysvalloissa ja Kanadassa.
Euroopan kokoinen tyhjiö
Rajat ylittävää tiedonsiirtoa koskeva valkoinen paperi vahvistaa, että Shopify siirtää verkkokauppojen asiakastiedot Irlannista Kanadaan, josta se voi siirtää niitä ympäri maailman. Shopify säilyttää kauppias- ja asiakastietoja pääasiassa Yhdysvalloissa ja Kanadassa.
Tietosuojaselosteen ja valkoisen paperin perusteella ei jää varteenotettavaa mahdollisuutta sille, että Shopify säilyttäisi eurooppalaisten verkkokauppojen asiakkaiden henkilötietoja EU:n alueella niin sanotuilla omilla palvelimilla silloin, kun se toimii henkilötietojen käsittelijänä (processor).
Artisti maksaa
EU:n yleisen tietosuoja-asetuksen (GDPR) noudattamisesta vastaa verkkokauppias itse. Vastuuta ei voi ulkoistaa. Shopify ilmaisee selosteissaan ja papereissaan hyvin selkeästi, että se on sitoutunut noudattamaan GDPR:ää, mutta vain omalta osaltaan; verkkokauppiaan tulee arvioida itse, voiko se käyttää Shopifytä laillisesti.
”Each merchant is ultimately responsible for ensuring that their business complies with the laws of the jurisdictions in which they operate or have customers.” — Shopify
”Using Shopify alone does not guarantee that a merchant or partner complies with the GDPR – merchant and customers must analyse their own business practices to ensure their compliance.” — Shopify
Artikla 13 merkitsee sitä, että verkkokauppiaan on kerrottava henkilötietoja kerättäessä asiakkaalleen, että aikooko hän siirtää henkilötietoja kolmanteen maahan, eli EU:n ulkopuolelle. Verkkokaupan asiakkaalle on kerrottava myös, että onko kyseistä tiedonsiirtoa koskien olemassa tietosuojan riittävyyttä koskeva komission päätös (adequency decision).
Artikla 28 merkitsee, että Shopifyn on täytettävä GDPR:n vaatimukset niin, että verkkokaupan asiakkaiden oikeuksia suojellaan. Shopifyn ja verkkokauppiaan on sovittava, että Shopify käsittelee henkilötietoja ainoastaan verkkokauppiaan antamien dokumentoitujen ohjeiden mukaisesti, mikä koskee myös henkilötietojen siirtämistä kolmanteen maahan, eli EU:n ulkopuolelle.
Toimi seuraavasti
Jos olet verkkokaupan asiakas ja jos epäilet verkkokauppiaan tehneen tietoturvaloukkauksen, niin voit tehdä ilmoituksen tietosuojavaltuutetulle. Ilmoituksen voi tehdä verkkolomakkeella osoitteessa https://tietosuoja.fi/ilmoitus-tietosuojavaltuutetulle.
Jos olet verkkokauppias ja jos epäilet tehneesi tietoturvaloukkauksen, niin sinun on ilmoitettava asiasta 72 tunnin kuluessa tietosuojavaltuutetun toimistolle. Ilmoituksen voi tehdä verkkolomakkeella osoitteessa https://tietosuoja.fi/ilmoitus-tietoturvaloukkauksesta.
Jos tarjoat palveluitasi verkkokauppiaalle ja jos epäilet tehneesi tietoturvaloukkauksen, niin sinun on ilmoitettava asiasta verkkokauppiaalle viipymättä, jotta hän voi tehdä ilmoituksen tietoturvaloukkauksesta.
Näin tunnistat Shopify-kaupan
Tunnistat Shopifyllä toteutetun verkkokaupan ”Powered by Shopify” -merkinnästä tai katselemalla verkkoselaimessa sivun html-lähdettä ja etsimällä sieltä shopify-sanoja. Windows-tietokoneilla html-lähde näkyy klikkaamalla Ctrl-U tai hiiren oikeaa painiketta ja sitten ”näytä sivun lähde”.
Olenko tosissani?
En minä ole, mutta GDPR:n laatineet poliitikot ovat. Minä haluan edistää verkkokaupankäyntiä. Jos saisin kirjoittaa GDPR:n uudelleen, niin siirtäisin päävastuun tietosuojasta henkilötietojen käsittelijöille (processor), eli näille suurille yrityksille, joille pienet rekisterinpitäjät (controller) ovat ulkoistaneet henkilötietojen käsittelyn – tulipa vaan mieleen.
Lähteet
- Shopify Privacy Policy 12.4.2021
- Shopify & Data Transfers (White Paper) 15.10.2021
- Shopify GDPR Whitepaper 26.7.2021
- Shopify’s subprocessors for customer personal data 30.8.2022
- EU:n yleinen tietosuoja-asetus (GDPR) 27.4.2016
EDIT 16.6.2023 Valkoisia papereita koskevat lähteet (edellä) eivät enää toimi, koska Shopify poisti ne Internetistä kirjoitukseni julkaisemisen jälkeen. Alikäsittelijöitä koskeva linkki ohjautuu nyt uudelleen, mutta toimii edelleen. Verkkokauppiaan ja Shopifyn välisessä DPA-sopimuksessa sovitaan tällä hetkellä, että Shopify saa käsitellä verkkokaupan asiakkaiden henkilötietoja Kanadassa, Australiassa, Intiassa, Japanissa, Singaporessa, Iso-Britanniassa ja Uudessa-Seelannissa, koska se on välttämätöntä, ja tietyissä tilanteissa myös Yhdysvalloissa. Sopimuksen mukaan verkkokauppiaalla on 7 päivää aikaa reagoida, jos Shopify lisää luetteloon uusia maita.