Sluit Trusted Shops met het lid van de winkel een overeenkomst inzake de verwerking van bestellingen in de zin van art. 28 AVG?
In het kader van de overeenkomst verleent Trusted Shops geen diensten als verwerker in de zin van art. 28 AVG. Er is veeleer sprake van gegevensverwerking onder gezamenlijke verantwoordelijkheid. Daarom komt een overeenkomst voor gezamenlijk beheer, d.w.z. een overeenkomst over gezamenlijke verantwoordelijkheid overeenkomstig artikel 26 AVG, in de plaats van een in opdracht gegeven verwerkingscontract. De JCA maakt integraal deel uit van de Algemene Voorwaarden van Trusted Shops en bevat uitgebreide regelingen voor de gegevensverwerking bij gebruikmaking van de door Trusted Shops aangeboden diensten.
In het kader van de lidmaatschapsovereenkomst met Trusted Shops sluit Trusted Shops een overeenkomst conform art. 26 AVG (gezamenlijke verantwoordelijkheid) met het shoplid. U kunt de voorwaarden hier vinden:
Gezamenlijke verantwoordelijkheid overeenkomstig de AVG, alsmede de technische en organisatorische maatregelen.
De verwerkingen waarop de overeenkomst betrekking heeft, worden in de overeenkomst met name genoemd.
Deze omvatten met name
- de integratie van de trustbadge in de onlineaanwezigheid,
- het doorgeven van persoonsgegevens voor het afsluiten van de kopersbescherming voor gedane bestellingen
- het namens u verzenden van evaluatie-uitnodigingen in het kader van de kopersbescherming bij gebruik van de tools Review-Collector en AutoCollection alsmede de Trusted Shops API, alsmede
- het verzamelen van beoordelingen via het beoordelingsplatform, alsmede het becommentariëren ervan.
Gezamenlijke verantwoordelijkheid
| Proces | Trusted Shops | Winkel lid |
|---|---|---|
|
Gebruik van het B2B-onlinesysteem Trusted Shops |
Alleen verantwoordelijk |
|
|
Gebruik van het B2C-onlinesysteem Trusted Shops |
Alleen verantwoordelijk |
|
|
Gebruik van het reviewsysteem Trusted Shops |
Alleen verantwoordelijk |
|
|
Inhoud van de Trustbadge / Gebruik van Trusted Shops-diensten. |
Gezamenlijke verantwoordelijkheid |
Gezamenlijke verantwoordelijkheid |
|
Vertoning van de Trustbadge in de webwinkel |
Alleen verantwoordelijk |
|
|
Review invites via e-mail |
Gezamenlijke verantwoordelijkheid |
Gezamenlijke verantwoordelijkheid |
|
Review collector Online shop |
Gezamenlijke verantwoordelijkheid |
Gezamenlijke verantwoordelijkheid |
|
Auto-Collect Online shop |
Gezamenlijke verantwoordelijkheid |
Gezamenlijke verantwoordelijkheid |
|
Trusted Shops API |
Gezamenlijke verantwoordelijkheid |
Gezamenlijke verantwoordelijkheid |
Voor meer details, zie Gedeelde verantwoordelijkheidsovereenkomst onder AVG.
Waarom is de informatie over de ontvangers van de beoordeling-uitnodigingen gedeeltelijk verborgen in het controlecentrum?
Er zijn twee overzichten in het controlecentrum:
- de uitnodigingsgeschiedenis, d.w.z. het overzicht van de verzonden beoordeling-uitnodigingen,
- en de beoordelingen-inbox, dat wil zeggen het overzicht van ontvangen beoordelingen.
Uitnodigingen met een rating die in uw naam zijn verzonden (zie hierboven), kunnen worden weergegeven in de uitnodigingsgeschiedenis, samen met de bijbehorende informatie over de ontvangers.
Uitnodigingen tot beoordeling die uitsluitend door Trusted Shops worden verzonden, kunnen echter niet worden weergegeven met de bijbehorende informatie over de ontvangers, omdat dit een wijziging van het doel van de verwerking zou betekenen en er ook persoonsgegevens aan een derde zouden worden doorgegeven, waarvoor geen rechtsgrondslag bestaat.
Trusted Shops verstuurt deze ratinguitnodigingen als verantwoordelijke partij in het kader van de nakoming van de overeenkomst met de eindgebruiker en verkrijgt hiervoor derhalve geen afzonderlijke toestemming.
In de inbox van de rating kan het e-mailadres van de beoordeler worden getoond in verband met de ingediende ratings, aangezien de weergave noodzakelijk is opdat de handelaar de authenticiteit van de transactie en de authenticiteit van de rating kan controleren.
Moet ik mijn privacy beleid aanpassen als ik de Trustbadge gebruik?
Bij het tonen/gebruiken van de Trustbadge voor het bestelproces op uw website, bent u - als verantwoordelijke voor de verwerking - verplicht om:
- de informatie in uw administratie over verwerkingsactiviteiten up-to-date te houden;
- te zorgen voor de afweging van belangen overeenkomstig artikel 6 lid 1 sub f AVG; en
- uw Privacy beleid aan te passen.
Voor deze vereiste aanpassingen kunt u de volgende hulpmiddelen gebruiken:
- Gegevensbeschermingsrichtlijn - weergave van Widgets van Trusted Shops
- Gegevensbeschermingsrichtlijn - herkenning van geregistreerde Trusted Shops klanten
- Gegevensbeschermingsrichtlijn - verstrekking van de vereiste bestelgegevens
- Data protection guideline – Review Collector, AutoCollection and API
- Data protection guideline - Generation of review links via API
- Voorbeeldtekst voor jouw privacyverklaring (Trustbadge / widgets)
Welke gegevens van onze klanten worden verwerkt en opgeslagen?
De minimale omvang van de vereiste gegevens: Voor de weergave van de Trustbadge wordt het IP-adres van de klant verwerkt. Deze wordt echter onmiddellijk geanonimiseerd. Voor het verzenden van e-mails met uitnodigingen voor beoordelingen via de Review Collector, de functie voor het automatisch verzenden van e-mails met uitnodigingen voor beoordelingen, of API, omvat de minimale omvang het e-mailadres, het ordernummer en de orderdatum. Optioneel kunnen andere gegevens, zoals voor- en achternaam en productgegevens (alleen voor productbeoordelingen) worden verzonden en verwerkt.
Voor welke doeleinden worden gegevens verwerkt - alleen voor e-mails met beoordeling-uitnodigingen?
Als gebruik wordt gemaakt van de Review Collector, Auto-Collect of API, verzendt Trusted Shops namens u e-mailberichten met uitnodigingen voor beoordelingen. De gegevens worden door Trusted Shops niet voor andere doeleinden gebruikt of opgeslagen. Alleen door een beoordeling toe te voegen, gaat de klant die een uitnodiging voor een beoordeling per e-mail heeft ontvangen, akkoord met de gebruiksvoorwaarden van Trusted Shops en het verdere gebruik van zijn gegevens ten behoeve van de uitvoering van de overeenkomst.
Worden er gegevens aan Trusted Shops doorgegeven wanneer een klant op de link voor de beoordeling in het beoordelingsverzoek van de handelaar klikt?
Als u op een beoordelingslink van Trusted Shops klikt, worden uw e-mailadres en bestelnummer aan Trusted Shops doorgegeven om het beoordelingsformulier vooraf in te vullen.
Dit is noodzakelijk voor de behartiging van onze doorslaggevende legitieme belangen en die van Trusted Shops bij het verlenen van de aan de specifieke bestelling gekoppelde transactionele beoordelingsdiensten en het vermijden van invoerfouten overeenkomstig art. 6 lid 1 sub f AVG.
Indien u het beoordelingsformulier daarna niet meer indient, worden de doorgegeven gegevens automatisch gewist en verder door Trusted Shops uitsluitend gebruikt voor de afwikkeling van de overeenkomst over het gebruik van het beoordelingssysteem.
De bovenstaande verklaringen zijn alleen van toepassing op ratinglinks die handmatig door het shoplid zijn aangemaakt en via welke een shoprating en niet een productrating moet worden ingediend.
Worden de gegevens doorgegeven - zo ja: aan welke derden? Ook naar derde landen?
Trusted Shops maakt gebruik van hosting- en infrastructuurdienstverleners. Daarbij wordt ook gebruik gemaakt van diensten van Amazon Web Services (AWS). AWS is gevestigd in de VS. Trusted Shops en AWS zijn het echter eens geworden over Duitsland als server- en verwerkingslocatie. Bijgevolg zijn de artikelen 44 AVG en volgende betreffende de doorgifte van persoonsgegevens naar een derde land niet van toepassing. Het arrest van het Hof van Justitie in de zaak Schrems II heeft derhalve geen rechtstreekse gevolgen voor de verwerking.
Een overdracht naar de Verenigde Staten kan alleen plaatsvinden in het volgende uitzonderlijke geval: Om de trustbadge correct weer te geven, wordt AWS gebruikt als CDN-provider. De hiervoor noodzakelijke verwerking vindt doorgaans plaats op servers in de Europese Unie, met name in Duitsland. Het kan echter voorkomen dat ook servers in derde landen worden gebruikt als de website vanuit zo'n land wordt opgeroepen.
Bovendien wordt, wanneer de website wordt opgeroepen en de trustbadge wordt getoond, een logbestand geschreven en opgeslagen op servers die door AWS worden geleverd. Ook in dit geval vindt de verwerking plaats binnen de Europese Unie.
Een passend niveau van gegevensbescherming wordt ook gewaarborgd door het sluiten van contractuele standaardclausules van de EU.
Zijn de gegevens geanonimiseerd?
Voor de overdracht van persoonsgegevens wordt gebruik gemaakt van de modernste transportencryptie. Het IP-adres dat bij de weergave van de trustbadge wordt verwerkt, wordt onmiddellijk geanonimiseerd.
Hoe lang worden deze klantgegevens bewaard? Is er dan een automatische verwijdering? (Schrappen van periodes/concept?)
Wanneer de Trustbadge wordt opgeroepen, slaat de webserver automatisch een zogenaamd serverlogbestand op, dat ook uw IP-adres, de datum en het tijdstip van de oproep, de hoeveelheid overgedragen gegevens en de aanvragende provider (toegangsgegevens) bevat en de oproep documenteert. Het IP-adres wordt onmiddellijk na het verzamelen geanonimiseerd, zodat de opgeslagen gegevens niet aan u persoonlijk kunnen worden gekoppeld. De geanonimiseerde gegevens worden met name gebruikt voor statistische doeleinden en voor foutenanalyse.
De gegevens die zijn verwerkt voor het verzenden van de beoordeling-uitnodigingen, worden automatisch gewist nadat de termijn voor het indienen van een evaluatie is verstreken.
Indien de ontvanger een beoordeling geeft, zullen de ontvangen gegevens verder worden gebruikt in het kader van de gebruiksovereenkomst.
Hoe kunnen we voldoen aan het verzoek van de klant om zijn persoonsgegevens te wissen? Moeten we Trusted Shops van elk verzoek van de klant op de hoogte stellen, zodat de gegevens ook door Trusted Shops worden gewist?
Op grond van art. 19 AVG moeten alle ontvangers van de gegevens worden geïnformeerd over de uitoefening van de rechten van de betrokkene, d.w.z. ook Trusted Shops, indien het klanten betreft van wie de gegevens door Trusted Shops in opdracht of onder gezamenlijke verantwoordelijkheid worden verwerkt. Daarmee hebben we ook de weinige gevallen gedekt waarin nog sprake is van verwerking in opdracht.
Moet er een verwijzing worden opgenomen naar het recht van de klant om bezwaar te maken (artikel 21 AVG)?
De Trustbadge tonen
Voor het tonen van de Trustbadge, waarbij het lid optreedt als verwerkingsverantwoordelijke, moet het lid de betrokkene op de hoogte brengen van zijn recht op bezwaar. De eenvoudigste manier om dit te doen, is door een contactadres op te geven voor het verzenden van het bezwaar. Daarnaast kan de betrokkene facultatief worden gewezen op bepaalde hulpmiddelen die hij kan gebruiken om inhoud van derden op de website te blokkeren, bijvoorbeeld Privacy Badger of Ghostery.
Dit laatste is niet verplicht, want voordat het bezwaar van de klant van kracht wordt, moet de voor de verwerking verantwoordelijke kunnen nagaan of de gegevensverwerking noodzakelijk is voor de vaststelling, de uitoefening of de verdediging van een recht in rechte, dan wel of er dwingende legitieme gronden voor de verwerking bestaan die zwaarder wegen dan de belangen, rechten en vrijheden van de betrokkene.
Bijgevolg zal, zelfs in gevallen waarin de verwerking reeds heeft plaatsgevonden, de verwerking kunnen worden voortgezet op grond van artikel 21 lid 1 AVG. Zoals u kunt zien in de voorbeeldtekst voor uw privacybeleid, wordt het IP-adres (geen andere pb-gegevens worden beïnvloed) onmiddellijk na het verzamelen geanonimiseerd.
Gegevensverwerking in het kader van de herkenning van geregistreerde Trusted Shops kopers
Trusted Shops is in dit geval als verwerkingsverantwoordelijke verantwoordelijk voor deze vorm van gegevensverwerking en informeert de gebruikers hierover in haar eigen privacy beleid, waarnaar een link in de Trustbadge is opgenomen.
De gegevens die nodig zijn voor de herkenning van de klant (pseudoniem van het e-mailadres, hash-waarde) worden echter via de Trustbadge automatisch uit de bestelgegevens verzameld. Zoals blijkt uit de laatste versie van het voorbeeldtekst voor het privacy beleid, is ook deze verwerking gebaseerd op artikel 6 lid 1 sub f AVG.
Met betrekking tot het recht van verzet van de betrokkenen wordt verwezen naar de vorige alinea, die analoog van toepassing is.
De functionaris voor gegevensbescherming bij Trusted Shops SE:
Trusted Shops SE
Functionaris voor gegevensbescherming
Subbelrather Str. 15c
50823 Köln