网络隐私和 WordPress GDPR 合规性 – 权威指南
VPS1352主机测评网(www.vps1352.com)
本文链接:https://www.vps1352.com/7545.html
沙沙作响的网站的狂野牛仔时代已经一去不复返了.为避免巨额罚款,您的网站必须遵守令人眼花缭乱的网络可访问性、数据安全和用户隐私法.本指南向您展示了如何在我们以数据为驱动的数字世界中成为网络合规者,以避免触犯法律和银行.
信息时代.数字数据.人们.将这些放在一起,如果您的网站不正确地处理其用户的个人数据,您就会发现自己处于一个受伤害的世界.
无论您是拥有网站还是为使用 WordPress 的客户构建网站,本指南都将帮助您了解需要了解的一切,以使用通俗易懂的语言使您的 WordPress 网站符合隐私和 GDPR 法律法规.
我们将在本综合指南中介绍的内容:
- 为什么网络合规性很重要?
- 为什么要保护个人数据?
- 使您的网站符合 GDPR 要求
- 隐私政策
- 在您的网站上使用 Cookie
- WordPress 是否符合 GDPR 标准?
- 用于提高 GDPR 合规性的最佳 WordPress 插件
- 其他合规性解决方案
- 关于 WPMU DEV 插件
- 网络合规——这是法律
- 有用参考
让我们直接潜入……
为什么网络合规性很重要?
从广义上讲,网络合规性是指您的数字存在(例如您的网站)必须向提供商用户遵守的所有法律要求、政策、法规和标准:
- 可访问性
- 个人数据保护
本指南重点介绍管辖隐私、个人数据保护以及 GDPR 对企业和网站的全球影响的法律、规则和法规.
要了解有关管理网站可访问性和使您的 WordPress 网站可访问的法律法规的更多信息,请参阅我们全面的可访问性和 WordPress 指南.
为什么要保护个人数据?
我们现在所做的几乎所有事情都涉及个人数据的数字化处理.
如The Great Hack等电影中的例子,大型企业和公司出于各种目的收集和利用个人数据.
大多数小型企业也习惯于尽可能多地收集有关潜在客户和客户的数据,以改善营销.然而,大多数企业不知道如何处理收集到的数据或如何安全地存储这些信息.
因此,个人数据已成为一项关键的业务资产,而保护个人数据免遭滥用或滥用的权利在数字信息时代构成了严重的风险和担忧.
什么是 GDPR?
2016 年 4 月 14 日,欧盟委员会批准了一项隐私法,旨在保护所有欧盟公民(28 个成员国)的权利,并让公民重新控制自己的个人数据.
这项隐私法被称为一般数据保护条例或GDPR,它在全球范围内对任何在网上开展业务的人都有重大影响.
"通用数据保护条例 (GDPR) 是欧盟的一项条例,旨在保护自然人(称为数据主体)的个人数据的处理和自由移动."
来源:i-scoop.欧盟
GDPR 于 2016 年正式发布为"2016 年 4 月 27 日欧洲议会和理事会条例 (EU) 2016/679",并于 2018 年 5 月 25 日生效.
它取代了欧盟早先的数据保护指令,该指令自 1995 年起生效,当时很少有人使用互联网.
自 1995 年以来,数字格局发生了根本性转变,因此欧盟决定需要采取更适合应对大数据世界和日益数字化的个人数据挑战的方法,现在是改革现有数据框架的时候了保护规则.
"GDPR 是为单一数字市场而设计的,在这个市场中,处理个人数据的组织知道他们可以对个人数据做什么,不能做什么.这样,数据必不可少的数字经济应该会在数据日益密集的世界中蓬勃发展."
简而言之,GDPR 提供的监管框架旨在适应当今数字世界的现实,同时保护个人控制其个人数据的权利.
为确保遵守其法规,GDPR 有权对未能采取适当措施以符合 GDPR 的公司和企业处以罚款和处罚,这意味着我们没有任何理由不采取行动(对数据保护立法感到厌烦并不能算是一种辩护,恐怕).
虽然 GDPR 旨在保护欧盟公民的权利,但欧盟通用数据保护条例 (GDPR) 影响着全球数百万企业.它甚至会影响各种规模的个人、慈善机构和企业.
如果您的企业与欧洲公民有任何交易(即他们访问您的网站)并且您从事任何类型的个人数据处理,包括个人数据的存储、收集和收集个人数据(无论通过何种方式)、汇总、记录、交换、分析、公开、数字化、丰富、构建、更改、搜索、利用、删除、构建、销毁、上传或简单地使用/保留个人数据,那么您可能需要遵守 GDPR 法规或承担以下责任不符合 GDPR.
这只是锦上添花.GDPR 的范围比上述概述要广泛得多.与所有数据立法一样,它包含很多细节,但与网站所有者和网络开发者相关的要点是:
- 扩大地域范围.这意味着该立法不仅会影响在欧洲运营的企业和组织,还会影响"处理欧盟居民个人数据"的企业和组织.世界上最多的网站是哪一个.
- 同意.您收集数据的每个人都必须自愿同意您这样做(他们必须明确同意,而不仅仅是默示同意).这不仅适用于通过表单收集的数据,还适用于在后台收集的数据,例如 IP 地址(如果用于识别个人身份).
- 访问权.个人将有权访问他们的数据以及有关如何处理和使用数据的信息.
- 被遗忘的权利.个人将有权删除其数据,并使其不再被传播.
- 隐私源于设计.这意味着它必须从一开始就融入到系统设计中,而不是紧盯数据隐私.
GDPR 术语概述
GDPR 使用了一系列行话和术语.因此,在我们深入研究之前,了解如下所列的 GDPR 术语和概念非常重要:
GDPR 术语
问责制
实现数据合规性的第一步是了解并指定企业中谁拥有数据.
自然人
根据法律定义,一个人.
法人
任何拥有合法权利的个人、公司或实体.
数据主体
个人数据所涉及的个人.
个人资料
一个人的数据(姓名、ID、号码、位置数据、在线标识符,或一个或多个特定于自然人的身体、生理、遗传、精神、经济、文化或社会身份的因素.)
个人身份信息 (PII)
任何可让您识别个人身份的信息(数据).
同意
个人以口头或书面形式作出明确的指示、许可或明确的积极行动,表明他们同意处理其个人数据.注意: 用户必须在查看与其他条款和条件分开的明确措辞的信息后,通过肯定行动(即不通过预先勾选的表格)给予明确同意.
加工
对个人数据所做的任何事情都被归类为"处理".这包括但不限于:记录、结构化、存储和分析.
剖析
当您处理数据的目的是对个人做出明智的决定时.即,分析他们的偏好、兴趣、行为、位置或动作.
数据泄露
敏感、受保护或机密的个人信息和个人数据在未经授权的情况下被访问、窃取或使用的事件,可能会暴露个人的个人数据和/或危及他们的安全.这是 GDPR 旨在防止的.
数据保护机构
数据保护机构负责处理数据泄露报告,调解数据主体访问请求等问题,并致力于教育他们的国家了解保持数字数据安全的最佳实践.
监管机构
独立的公共数据保护机构负责监控 GDPR 的合规性,帮助组织遵守 GDPR,并在其管辖范围内执行合规性和开展调查(例如信息专员办公室 [ICO-UK]、数据保护专员 [DPC-爱尔兰]、等等.)
数据控制器
数据控制者是决定处理个人数据的目的和方式的一个人或一群人.
数据处理器
数据处理者是代表数据控制者持有和处理数据的任何人(数据控制者的员工除外).
数据保护官 (DPO)
组织中指定的个人或法人实体,负责确保组织履行 GDPR 规定的义务,并按照所有适用的数据保护措施处理其员工、客户、提供商或任何其他个人(数据主体)的个人数据规则.
数据保护影响评估 (DPIA)
在用于处理数据的方法中识别任何风险的方法.
数据处理协议
如果您的组织受 GDPR 的约束,则您必须与所有数据处理者(例如电子邮件客户端、云存储服务、网站分析软件等)签订书面数据处理协议.
合法权益
这是一个灰色区域,指的是公司根据其判断个人将合法地希望(或需要)接收信息来联系个人的权利.
知情权
数据主体有权获得关于正在收集哪些数据、如何使用数据、将保留多长时间以及是否与任何第三方共享的充分和清晰的信息.这可以在清晰、公开和透明的隐私政策中说明.
通知权
如果数据主体被黑客入侵并且安全威胁暴露了他们的个人用户数据,则数据主体有权得到公司的书面通知.
访问权
数据主体有权免费向数据控制者询问他们持有的与他们有关的所有个人数据.公司通常会在发布任何个人数据之前要求提供身份证明,并有一个月的时间收集并向用户发送这些信息,但也有无根据、重复或过度要求的例外情况.
纠正权
如果信息不准确或不完整,数据主体有权要求更新其数据.与访问权一样,公司有一个月的时间来满足用户的要求,同样的例外情况也适用.
撤回同意的权利
数据主体有权随时撤回对处理其数据的同意.
删除权(被遗忘权)
数据主体有权要求公司从其系统(例如数据库)中"无不当延迟"永久删除其所有个人用户数据.在数据不再需要、数据被非法处理或不再符合收集数据的合法依据等情况下,用户可以要求删除他们的数据.注意:当数据库是抑制文件时,这可能有点违反直觉.目前,没有关于抑制的明确指导.
限制处理的权利
数据主体限制或阻止处理个人数据的权利.这是请求删除数据的替代方法,可在用户质疑其个人数据的准确性或当他们不再需要信息但公司需要保留这些信息以建立、行使或捍卫法律索赔时使用.注意:这并不意味着公司有权删除数据,但他们只能存储数据(并确保保留足够的信息以确保将来尊重用户"阻止"处理的愿望).
数据可移植性的权利
公司必须允许用户能够以机器可读或结构化数字(电子)格式(例如 CSV 文件)从其网站或数字平台下载数据.如果用户选择这样做,那么下载的数据可以与另一家公司共享.
反对权
数据主体可以反对处理基于合法利益或为了利益或行使官方权力执行任务而收集的个人数据.一旦行使此权利,公司必须停止处理信息,除非他们能够证明处理的令人信服的合法理由凌驾于个人的利益、权利和自由之上,或者如果处理是为了确立或行使法律主张的辩护.
投诉权
如果出于任何原因,数据主体对其个人数据的处理方式不满意,他们有权联系该组织或向相关控制机构投诉.
与自动决策相关的权利,包括分析.
GDPR 包括在没有人为参与的情况下做出的决定的规定,例如分析,它使用个人数据对个人进行计算假设.对于此类处理有严格的规定,如果个人认为未遵守规则,则允许他们质疑并要求对处理进行审查.
特殊类别的数据
有关种族或族裔出身、政治观点、宗教或哲学信仰、工会会员资格、基因数据、生物特征数据、有关个人健康或性生活或性取向的数据.
GDPR 意识与 GDPR 合规性
了解 GDPR 与遵守 GDPR 不同,但这是第一步.
"任何为遵守通用数据保护条例 (GDPR) 做准备的计划的第一阶段是 GDPR 意识,特别关注员工意识,这是实现个人数据保护的第一步."
来源: i-scoop.eu
GDPR 意识不仅仅是"意识到"GDPR 的存在.这意味着采取措施了解 GDPR 是什么、它对您的业务(以及不合规)有何影响,以及如何在您的组织中营造一种文化:
- 了解并重视个人和敏感数据的重要性(以及处理不当的后果)
- 让人们知道在 GDPR 下他们可以做什么,不可以做什么
- 能够证明在发生数据违规或数据泄露事件的情况下您已尽力而为
- 让所有利益相关者参与制定适当的战略计划.
GDPR 意识应促使高管层参与学习、理解、重视、尊重并承诺将符合 GDPR 的数据保护和处理措施纳入您组织的整体战略计划.
然后,这应该通过对所有员工进行 GDPR 教育,让他们了解受个人数据处理影响的所有领域,并确保他们也重视和尊重个人数据并承诺遵守所有相关流程,从而渗透到所有员工中保护和处理它.
此外,这种意识还必须扩展到审查和评估与您合作的每个合作伙伴,并了解他们如何处理个人数据.
简而言之,就 GDPR 合规性而言,保护企业中的个人数据是每个人的事.
GDPR 如何影响您的业务和网站
GDPR 意识之后的下一阶段是 GDPR 合规性.
这需要评估、审查、规划、制定战略并在您的业务中实施一系列流程以确保合规,包括通知、教育和培训您组织中的每个人了解、重视和遵循这些流程.
尽管愿意遵守 GDPR 合规性措施并投入大量资金,但许多企业仍在此领域苦苦挣扎.
例如,在 2019 GDPR.eu 小企业调查,西班牙、英国、法国和爱尔兰的 700 多位小企业领袖被问及他们的企业如何应对新的 GDPR 要求,并报告了调查结果,例如:
- 只有大约一半的受访企业认为他们的组织完全符合 GDPR.
- 不到一半的人表示,他们以清晰、通俗的语言向数据主体描述了他们的数据处理活动.
- 尽管渴望遵守 GDPR 并在顾问和 IT 解决方案上花费数万美元,但许多人仍然对数据安全的技术方面感到困惑.
- 相当多的人承认他们没有遵守法律的核心要求(例如声称使用端到端加密电子邮件提供商,但无法命名具有这种内置加密功能的服务)
- 近一半的受访者表示,在这样做之前,他们并不总是确定处理用户数据的合法依据(这是 GDPR 的一项关键规定).
使用 2350 万 仅欧盟的中小型企业,上述调查结果表明仍有大量企业尚未符合 GDPR 要求.
我的网站是否需要遵守 GDPR?
GDPR 影响网站所有者的主要方式有六种:
- 您如何通过表单(联系表单、简报注册等)收集数据
- 您如何收集分析数据
- 您如何处理这些数据
- 数据的存储位置
- 您如何与客户和联系人沟通
- 您使用的代码-插件和主题.
如果上述任何一个领域影响到欧盟公民,那么您的网站很可能需要遵守 GDPR.
在某些情况下,GDPR 可能不适用于企业/网站,(请记住,我们不是律师,这里提到的大多数文章作者也不是,所以如果您认为 GDPR 不适用于您,请务必咨询合适的律师!)
例如,如果您不在欧盟运营并且您不在欧盟提供商品和服务并且您没有监控欧盟人并且您不处理欧盟人的个人数据并且您没有使用自动或手动方法处理欧盟人的非结构化纸质记录,或您已获得豁免,那么 GDPR 可能不适用于您.
然而,这并不像听起来那么明确.
例如,GDPR 在以下情况下确实适用于您:
- 您在欧盟没有办公室或雇员,但欧盟公民可以从您那里在线获得商品和服务(付费或免费).
- 您的网站以欧盟国家/地区使用的货币(例如欧元)提供付款,或使用欧盟国家/地区使用的语言(例如波兰语),或提及欧盟客户或用户.
- 您的网站在其网站上使用跟踪 cookie 来运行 Facebook 重定向广告,并且有欧盟公民访问您的网站(因此您无意中监控了他们的行为).
- 您的网站记录了 IP 地址、化名或加密数据(所有这些都可以被视为个人数据).
- 您正在使用计算机(或其他电子设备)向欧盟公民发送电子邮件(自动处理个人数据).
- 您办公室的文件柜或办公桌的抽屉中包含签到表、员工记录、客户发票、联系方式或欧盟公民的合同,作为您业务记录的一部分(手动处理个人数据).
- 即使个人要求删除所有数据,企业仍可以继续存储某些类型的个人数据是有特定法律原因的.更多相关信息这里.
GDPR 豁免不适用于私营公司.这些通常授予执法机构、记者、大学等,以允许他们执行所需的活动.
即使您的企业无意向欧盟公民出售产品,当他们从 GDPR 生效的地区登陆您的 WordPress 网站时,您也必须能够遵守.服务器位置无关紧要.用户位置就是一切.因此,如果来自欧盟某处的用户从他们自己的土地访问您的网站,法律要求您遵守 GDPR.如果用户正在访问美国,并且他们访问了您的网站,那么 E.U.没有权限.主权就是一切.
注意: GDPR 中没有任何内容要求欧盟的访客或客户不得在欧盟境外托管或将数据带离欧盟.只要遵守 GDPR,在包括美国在内的其他国家/地区托管欧盟客户的数据完全没有问题.
以上表明最好谨慎行事.如果您认为您的网站需要遵守 GDPR,它可能会遵守(如果您认为不需要,请咨询精通 GDPR 的律师以确保).
英国脱欧和 2020 年怎么样……GDPR 仍然是一项要求吗?
英国于 2019 年 1 月 1 日离开欧盟后,有一个过渡期,在此期间欧盟法律在英国适用.当过渡期于 2020 年 12 月 31 日结束时,欧盟法律不再直接适用.
DPPEC(数据保护、隐私和电子Communications)随后修订了欧盟 GDPR,以制定国内数据保护法:英国通用数据保护条例 (UK GDPR).
英国 GDPR 是英国脱欧后的欧盟 GDPR 版本.它与欧盟 GDPR 非常相似,因此遵守后者的组织很可能也遵守前者.
有趣的是,GDPR 不仅影响了英国等欧盟以外的国家,还影响了欧洲地区以外的国家,例如 巴西形成自己的 GDPR (LGPD) 版本.
由此,我们可以期待世界各地出现更多类似 GDPR 的法规,这些法规将扩展到每个国家/地区,并影响我们在全球数字经济中开展在线业务的方式.
换句话说,如果您处理欧盟、英国、巴西等国居民的个人数据,您的企业(和您的网站)将必须遵守各种法规,例如欧盟 GDPR、英国 GDPR、LGPD 等.
不遵守 GDPR 的后果
为了强制执行 GDPR 合规性,欧盟成员国的 GDPR 监管机构可以处以高额罚款,确保不遵守 GDPR 的成本高于遵守 GDPR.
如官方 GDPR 网站所述,
"GDPR 罚款旨在使不合规行为成为大型和小型企业的代价高昂的错误."
来源:gdpr.eu
官方网站接着说:"任何不符合 GDPR 规定的组织,无论其规模大小,都将面临重大责任."
由于 GDPR 适用于从跨国公司到微型企业的所有类型的企业,因此 GDPR 可以根据公司类型以及性质、严重性、持续时间、意图和数量等因素对侵权行为处以灵活的行政罚款发现该组织违反规定的情况.
例如
第83条 , 指出规模较高的公司可能因不遵守 GDPR 法规而被处以最高 2000 万欧元的罚款,或其上一财政年度全球年总营业额的 4%,以较高者为准.>
例如,在 2020 年初,意大利监管局 (ISA) 对一家意大利电力和天然气供应商处以两项总计 1150 万欧元的巨额罚款,原因是两项单独的 GDPR 违规行为.其他与不遵守 GDPR 相关的重罚 被抛给了谷歌(5000 万欧元)、H&M(3500 万欧元)、英国航空公司(2200 万欧元)、万豪(2040 万欧元),而就在最近,亚马逊被罚款 7.46 亿欧元违反 GDPR.
监管机构也不只是为了大鱼.各种规模的企业都会受到较小的罚款和处罚,从打腕和警告到数百或数千欧元不等.尽管目前只有欧盟内的企业被罚款,但根据 GDPR,欧盟以外的企业也可能被罚款.
什么是 GDPR 审计?
正如我们刚刚看到的,如果您的业务属于 GDPR 的范围,您必须做很多工作才能符合 GDPR.
很多此类工作都在您的企业内部进行,例如了解 GDPR、任命数据保护官 (DPO) 等.这可以通过进行 GDPR 审计来评估.
GDPR 法规要求所有数据处理活动都具有透明度和合法基础.
根据GDPR 要求:
- 拥有至少 250 名员工或进行高风险数据处理的组织需要保留其处理活动的最新详细清单,并准备好应监管机构要求向监管机构展示该清单.证明 GDPR 合规性的最佳方法是使用 数据保护影响评估,
- 员工少于 250 人的企业也应进行评估,因为这样可以更轻松地遵守 GDPR 的其他要求.
为了遵守 GDPR 法规,企业应对其数据处理活动进行信息审核,以确定以下事项:
- 处理的目的.
- 收集、使用和存储个人数据的法律依据.
- 组织正在/将要处理哪些信息和数据类型.
- 谁有权/将有权访问组织中的数据.
- 如何保护数据(例如加密).
- 如何安全地存储数据以保护数据主体的权利(以及数据存储/将要存储的所有位置).
- 何时以及如何删除数据(如果可能).
- 如何将有关数据处理活动的信息传达给用户和监管机构.
- 哪些第三方(以及他们所在的位置)可以/将可以访问数据
- 还有更多!
然而,仅执行 GDPR 审计是不够的.企业还必须能够回答以下问题:
- 我们是否已找到组织中所有个人数据的数字存储?
- 我们是否定期检查我们的数据中是否有个人或敏感信息?
- 我们是否以支持持续数据质量管理的方式收集个人数据?
- 是否有机会最大限度地减少我们的数据?
- 我们能否在合理的时间范围内处理多个用户同时提出的访问其数据信息的请求?
- 是否有针对数据泄露的计划?此计划是否经过测试?
我们建议您通过此 GDPR 检查清单开始审核流程.如果您在 GDPR 审计方面需要额外帮助,您可能还需要聘请合格顾问和律师提供服务.
如您所见,确保您的企业符合 GDPR 要求需要做大量工作.
现在让我们将注意力转移到您可以做些什么来使您的网站符合 GDPR 的规则和法规.
使您的网站符合 GDPR 要求
企业已经习惯于尽可能多地收集有关潜在客户和客户的数据,以改进营销.
然而,大多数企业不知道如何处理收集到的数据或如何安全地存储这些信息.
此外,为保护个人用户数据和隐私权而引入的 GDPR 法律规定了严厉的惩罚措施,这意味着之前在网站设计等领域被视为"最佳实践"的做法可能充满滥用和滥用用户数据的机会.
>
尽管大多数 Web 开发人员和 Web 设计人员不直接使用从网站或数字资产收集的用户数据,但他们负责创建处理数据的网站.
然后,需要创建和实施符合 GDPR 的新网站规划、设计和开发最佳实践.
GDPR 如何影响网站规划和功能
GDPR 显着影响网页设计和网页开发.网站现在正在整合一种称为隐私设计的内容,以确保合规性.
"GDPR 催生了一个新的设计概念,简称为隐私设计.设计原则规定,任何收集或使用私人数据的数字产品都必须在网站设计和开发过程中实施严格的隐私措施."
企业已经习惯于尽可能多地收集有关潜在客户和客户的数据,以改进营销.
然而,大多数企业不知道如何处理收集到的数据或如何安全地存储这些信息.
即使大多数 Web 开发人员和 Web 设计人员不直接使用从网站或数字资产收集的用户数据,他们也有责任创建将处理这些数据的网站.
因此,设计一个可访问且符合 GDPR 的网站,尊重所有网络用户的隐私和数据权利,因此从网站规划阶段开始.
这涉及:
- 创建易于访问、易于理解和可用的界面设计.
- 在了解和实施网站和数据库设计中的数据安全和隐私方面发挥积极作用.
- 制定计划,将数据隐私和数据安全措施"融入"设计和开发流程的各个方面.
- 创建/更新网站的隐私政策、隐私措施、用户数据收集、cookie 同意等.
GDPR 法规要求控制者实施适当的技术和组织措施,以确保仅处理每个特定处理目的所需的个人数据.
由于此义务适用于收集的个人数据量、处理范围、存储期限和可访问性,因此网站设计人员和网络开发人员在制定数据隐私计划时应提出以下问题:
网站应该收集哪些数据?
不同类型和级别的数据可以从网站.例如:
- 零方数据——这是客户在完全同意的情况下自由和自愿提供给企业的数据,以创造更个性化和更有价值的在线体验.
- 第一方数据——这是企业使用自己的在线(例如网站)或离线渠道直接从用户那里收集的独特且可识别的数据.此类数据包括交易数据、人口统计数据、行为数据、从客户服务处获得的信息等.
- 第二方数据——这是另一家公司的第一方数据,在没有第三方参与的情况下打包出售给其他企业.企业使用这些数据来更好地了解自己的客户群.
- 第三方数据——这些数据通常从多个来源收集,汇总到一个数据集中,并通过数据交换市场打包和销售.
还要记住,如果有人要从各种来源收集多组数据并将它们拼凑在一起,那么如果该信息能够与活着的个人联系起来,那么您就是不遵守法律.就是这么严格.事实上,如果您前往受法律约束的国家,并根据您的业务在咖啡店的餐巾纸上写下某人的电子邮件地址,那么 GDPR 就适用于您.严重地.阅读法律.
如何收集这些数据?
收集数据的典型方法包括客户在结帐或注册时事通讯时输入付款详细信息.但是,也可以通过网络分析工具(例如 Google Analytics)收集数据,跟踪电子邮件和通讯中的像素、网站 cookie 和登陆页面上的鼠标跟踪热图、调查、民意调查、测验、社交媒体活动、与 CRM 的集成等.
根据 GDPR 和其他隐私法,在用户完全知情和同意的情况下收集数据非常重要.例如,电子隐私指令要求公司在放弃之前获得同意访问者设备上的跟踪器或 cookie 并在线跟踪.
网站数据将如何处理?
由于 GDPR 合规要求公司采取一切必要措施来保护客户的数据(包括与第三方共享的数据),因此如果使用第三方处理器,企业必须在其隐私政策中通知客户(并且所有第三方也必须遵守 GDPR 的规则和规定).
网站数据将如何存储?
在构建网站时,制定数据存储工作流程,然后确保在网站的隐私政策中将其传达给用户.
例如,在下面的屏幕截图中,该公司明确告知其用户数据的存储方式和位置,以及用于保护其个人数据的安全措施.
数据将存储多长时间?
GDPR 第 5 条部分 定义存储从用户收集的所有数据的限制原则.合规要求企业确保实施数据存储流程,例如:
- 保留个人数据的时间不超过所需时间.
- 定期审查以识别和处理超出预期用途存储的数据(注意:企业可以存储超出最初规定用途的个人数据,用于公共利益归档、科学或历史研究或统计目的)
- 如果个人数据的存储超出其最初目的和保留期限,则实施匿名化或假名化等措施以保护数据主体的权利.
不再需要的个人数据将如何处理?
在个人数据超过其初始目的和保留期限后,企业可以删除、匿名化或假名化数据.
数据匿名化通过以下方式保护私人或敏感信息删除或加密将个人连接到存储数据的标识符.尽管很严格,但 GDPR 允许公司在未经同意的情况下收集匿名数据,将其用于任何目的,并无限期地存储它——只要从数据中删除所有标识符.法律规定,除非匿名化是不可逆的.
Pseudonymization 允许企业执行数据分析和数据处理,但使数据记录不易识别.
网站将实施哪些数据安全措施?
GDPR 的一项关键原则是保护您网站用户的个人数据.用于确保保护个人数据的数据安全措施包括使用安全网络托管服务器、防火墙、数据加密、单点登录 (SSO) 和两个-因素身份验证.
获取客户建议的数据有哪些风险?
企业在获取数据时需要考虑许多与安全、隐私和合规性相关的问题.
例如,对于第二方数据,企业需要信任提供数据的供应商,并确保他们有权收集和与他人共享该数据.
对于第三方数据,更难知道数据是否是在经过适当同意的情况下收集的.
其他问题:
在规划您的网站时,请务必考虑与合规性相关的其他问题,例如:
- 如果从 API 中提取个人数据,是否需要填写客户提出的所有字段?
- 如果计划使用地理位置服务(例如商店定位器),该网站是否真的需要使用用户的位置?
隐私政策
制定隐私政策有两个主要原因:
- 法律要求它们.如果您收集或使用个人信息,全球隐私法律要求隐私政策.
- 消费者希望看到它们.让您网站上的用户可以轻松访问您的隐私政策.从您的主菜单(例如在"合法页面"下)、您网站的页脚以及您计划要求提供个人信息的网站上的任何其他位置链接到它.
什么是隐私政策?
隐私权政策是用简单的语言解释组织或机构如何处理其用户个人信息的声明.
隐私政策中应包含的内容
世界各地的隐私法要求从网站访问者那里收集个人信息的企业和组织在其网站(和移动应用,如果适用)上发布隐私政策.
许多用于提高网站性能的第三方服务(例如广告程序、分析工具和支付处理器)也要求网站制定隐私政策.
尽管不同的司法管辖区在隐私政策要求方面可能有所不同,但大多数通常包括以下详细信息:
- 组织名称和联系方式
- 将收集和存储哪些类型的个人信息
- 个人信息的收集方式和存储位置
- cookies 的使用
- 收集个人信息的原因
- 将如何使用和披露个人信息
- 用户如何访问其个人信息或要求更正
- 如果用户认为自己的信息处理不当,如何提出投诉,以及如何处理投诉
- 该信息是否会或可能会披露给第三方数据处理合作伙伴(如果是的话,哪些)
- 其他信息.例如,个人信息保留多长时间以及是否必须对其进行扫描.
- 将隐私政策的任何更改通知用户的流程
关于 GDPR,以及在隐私政策中提供有关数据处理和法律依据的明确信息,第 12 条要求企业告诉人们他们正在收集他们的数据并解释原因.
如 GDPR 中所述,
你应该解释数据是如何处理的,谁可以访问它,以及你如何保证它的安全.此信息应包含在您的隐私政策中,并在您收集数据时提供给数据主体.它必须"以简洁、透明、易懂且易于理解的形式,使用清晰明了的语言……"
来源:GDPR.eu
GDPR 如何影响网站规划和合法性
除了确保您的网站在功能上符合 GDPR 法规之外,网站开发者还必须与合规专家合作,以确保网站的设计符合法律.
让我们来看看这意味着什么.
如何让用户轻松请求或删除他们的信息
设计网站以符合 GDPR 和隐私法要求用户界面能够让用户更轻松地导航到与隐私相关的信息,并以通俗易懂的语言清楚地解释隐私政策的实际含义,以便所有用户都能轻松理解.
我们稍后会看到,各种 WordPress 插件可以自动生成符合 GDPR 的数据请求页面.这使网站所有者(无需自定义开发-只需安装插件)和用户请求访问或删除他们的信息变得更加容易.甚至 WordPress 核心软件现在也包含内置数据导出和擦除工具.
通过向措辞明确的隐私政策页面添加可见的导航链接,可以轻松避免这方面的任何问题.
如何处理政策更新
管理个人隐私权和数据安全权的网络合规法律和法规不断变化.
- 您的企业如何跟上 GDPR、CalOPPA、CCPA、PIPEDA、UK DPA、LGPD 等全球、联邦、州和地方法规的变化?
- 您打算如何更新您的隐私政策以跟上这些变化?
您的企业不仅要认真考虑,还要有效地实施这一点.
您可以聘请内部专家来管理您的政策更新或使用隐私政策管理服务.
如何处理数据泄露
最常见的数据泄露类型包括:
- 网络攻击 – 恶意软件、网络钓鱼、窃取(捕获和窃取持卡人的个人支付信息)、社会工程(身份盗窃)等.
- 员工数据盗窃 – 虽然有些违规行为是由错误造成的,但其他违规行为可能涉及出于各种原因的故意滥用,例如身份盗用或将数据转移给新雇主.
- 人为错误 – 大多数数据泄露都是由可能可以避免的人为错误引起的(例如附加错误的文件、选择弱密码、点击可疑链接、在电子邮件中抄送错误的人等).
- 财产被盗/丢失 – 窃取包含敏感信息(例如用户凭据)的数字设备
虽然没有万无一失的方法来避免上面列出的数据泄露,但您应该采用的一些最低限度的基本安全协议包括强密码、全面的安全套件和跨计算机设备、安全服务器和防火墙的防病毒软件,数据加密、SSO 和多因素身份验证,并定期对员工进行最佳安全实践培训.
良好的监控和事件响应计划包括:
- 保留您保存任何个人数据的客户的最新电子邮件列表.
- 准备在任何违规行为发生后的 72 小时内撰写和发送电子邮件,详细说明可能采取的措施、采取的时间和方式,以及您已采取哪些措施来缓解这种情况.
- 联系您需要通知任何违规行为的政府机构或当局.如果您在欧盟,您将拥有您所在国家/地区的当地 DPA.
如何轻松撤销权限或选择退出
GDPR 要求确保个人始终知道他们有权撤回他们的同意并选择退出他们的权限,因此您的网站必须使取消同意与授予同意一样容易.
有关如何设计合规隐私政策页面的示例、要包含的内容和要说的内容,请查看我们自己的 符合 GDPR 的隐私政策页面,此基于欧盟的招聘公司,以及Termageddon等政策模板网站,TermsFeed、PrivacyPolicies.com 等.
WordPress 数据保留政策最佳做法
您是否希望您的医生在接下来的 15 年或 20 年内保留您的数据?火种呢?你曾经注册过的那个奇怪的时事通讯怎么样了? GDPR 通过对该实体说"您需要删除这些数据"来提高您的安全性.如果您为人们留出收集数据的空间,并且没有明确告诉他们必须将其清除,那么很多人就不会这样做.
以下是数据保留政策解决的问题:
- 在一定时间(例如 3-6 个月)后完全删除所有不活跃用户.
- 3 个月后删除所有备份.
- X 年后删除所有财务记录/交易(许多国家/地区可能要求保留财务记录以进行审计约 7 年)
WordPress 以及与欧盟工人的内部沟通
WordPress 为远程工作者和协作开辟了许多可能性,它通常与 Slack 等系统配对.在这些情况下,数据保留甚至适用于与工作人员在工作期间和之后的通信工具.这包括从您在欧盟的员工那里获得的所有员工和承包商数据、付款和发票、人力资源记录以及任何个人联系信息.
在您的网站上使用 Cookie
Cookie 是一种重要工具,可帮助您的企业深入了解用户的在线活动并改善他们在您网站上的体验.
例如,使用来自广告解决方案的 Cookie 可以向您的用户提供更有针对性的广告.您的用户会收到更符合他们搜索内容的广告,这有助于提高您的转化率.
什么是 cookie?
Cookie 是网站在访问者浏览您的网站时存储在其网络浏览器上的小文本文件.当访问者返回您的网站时,他们的浏览器会将存储在该 cookie 中的信息字符串提供给您的网站,以便执行某些功能,例如记住您以前的使用详细信息.
用户通常可以在浏览器的设置中轻松查看和删除 Cookie.
Cookie 类型
"一般来说,cookie 分为三种不同的分类方式:它们的用途、持续时间和来源."
来源:GDPR.eu
请参阅下表以详细了解这些类型的 Cookie:
期间
会话 Cookie
这些 cookie 是临时的,一旦您关闭浏览器(或会话结束)就会过期.
持久性 Cookie
此类别包括保留在您硬盘上的所有 cookie,直到您将它们或您的浏览器删除,具体取决于 cookie 的到期日期.所有持久性 cookie 的代码中都写入了到期日期,但其持续时间可能会有所不同.根据电子隐私指令,它们的持续时间不应超过 12 个月,但实际上,如果您不采取行动,它们可能会在您的设备上停留更长时间.
出处
第一方 cookie
您正在访问的网站直接放置在您的设备上的 Cookie.
第三方 cookie
Cookie 不是由您访问的网站放置在您的设备上,而是由广告商或分析系统等第三方放置.
目的
绝对必要的cookies
这些 cookie 对您浏览网站和使用其功能至关重要,例如访问网站的安全区域.允许网上商店在您在线购物时将您的商品保存在购物车中的 cookie 是绝对必要的 cookie 的一个示例.这些 cookie 通常是第一方会话 cookie.虽然不需要获得这些 cookie 的同意,但应向用户解释它们的作用以及为什么需要它们.
偏好 cookie
也称为"功能性 cookie",这些 cookie 允许网站记住您过去所做的选择,例如您喜欢的语言、您想要的天气报告或您的用户名和密码是什么,以便您可以自动登录.
统计cookies
也称为"性能 cookie",这些 cookie 收集有关您如何使用网站的信息,例如您访问了哪些页面以及您单击了哪些链接.这些信息均不能用于识别您的身份.它都是聚合的,因此是匿名的.它们的唯一目的是改进网站功能.这包括来自第三方分析服务的 cookie,只要 cookie 仅供所访问网站的所有者使用.
营销饼干
这些 cookie 会跟踪您的在线活动,以帮助广告商投放更相关的广告或限制您看到广告的次数.这些 cookie 可以与其他组织或广告商共享该信息.这些是持久性 cookie,几乎总是来自第三方.
注意事项:
- 以上是对 cookie 进行分类的主要方式,尽管某些类型的 cookie 不属于这些类别或可能符合多个类别.
- 一般来说,当人们抱怨 cookie 的隐私风险时,他们指的是第三方、持久性的营销 cookie.这些 Cookie 可以存储有关用户在线活动、偏好和位置的大量信息.
- 自 GDPR 法律生效以来,第三方 Cookie 的使用正在减少,因为访问第三方 Cookie 的数据会变得复杂并增加滥用的可能性.
Cookie 和 GDPR
就其本身而言,cookie 是无害的.但是,由于 Cookie 可以存储足够的数据以在未经用户同意的情况下识别用户身份,因此它们的使用必须遵守 GDPR 和其他隐私法.
例如,电子隐私指令 (EPD),也称为"cookie 法",规定在获得用户事先同意之前不得放置任何 cookie 和跟踪器,除了为网站的基本功能,即网站必须保留所有 cookie,无论它们是否包含个人数据,直到用户同意.
尽管 GDPR 是迄今为止任何监管机构通过的最全面的数据保护立法,但它仅提及一次 cookie 以说明它们有资格作为个人数据,因为它们用于识别用户,因此受 GDPR 法规的约束. >
因此,管理 cookie 的法规分为 GDPR 和电子隐私指令.
EPD 补充(并且在某些情况下会覆盖)GDPR,解决了有关电子通信保密性和更广泛跟踪互联网用户的关键方面.
注意: EPD 将很快被电子隐私法规 (EPR) 取代,该法规将扩展并涵盖来自其他领域的数据隐私,例如浏览器指纹识别、元数据和新的通信方法.
Cookie 合规性
根据 GDPR,公司有权处理其用户的数据,只要他们获得同意或拥有合法权益.
法律还规定,如果 Cookie 是网站运营所必需的,则网站可以将 Cookie 存储在用户的设备上.对于所有其他类型的 cookie,网站需要获得用户的许可.
要遵守 GDPR 和电子隐私指令下的 cookie 管理规定,您必须:
- 在使用任何 cookie 之前征得用户的同意,绝对必要的 cookie 除外.
- 在获得同意之前,以通俗易懂的语言提供有关每个 cookie 跟踪的数据及其用途的准确和具体信息.
- 记录和存储用户的同意.
- 允许用户访问您的服务,即使他们拒绝使用某些 cookie.
- 让用户可以轻松地撤回他们的同意,就像他们首先表示同意一样.
Cookie 声明
在您的隐私政策中加入关于在您的网站上使用 cookie 的信息.
上面的屏幕截图提供了一个很好的例子,说明您必须做的各种事情才能遵守 GDPR 和隐私法:
- Cookie 通知使用清晰明了的语言解释其目的,引用用于跟踪用户在网站上的在线活动的特定 Cookie 列表,并说明用户如何在使用网站前选择拒绝 Cookie (以及拒绝接受 cookie 的弊端)
- Cookie 通知也包含在网站的隐私政策中.
- 同意书通知访问者该网站使用 cookie,并要求他们在继续使用该网站之前确认并同意隐私政策的条款.
- 隐私政策的链接显示在同意按钮旁边的表单中.
查看此示例 cookie 政策模板 有关如何制作自己的 Cookie 通知的其他想法.
如 GDPR 官方网站所述......
"监管 cookie 的规则仍在制定中,cookie 本身也在不断发展,这意味着维护当前的 cookie 政策将是一项持续的工作.但是,正确告知用户您的网站正在使用的 cookie,并在必要时获得他们的同意将使您的用户满意并让您符合 GDPR."
来源:GDPR.eu
WordPress 是否符合 GDPR 标准?
是的,WordPress 核心软件符合 GDPR.
将 WordPress 更新到最新版本
我们建议将您的 WordPress 核心软件更新到最新版本,以确保其符合 GDPR.
在 4.9.6 版中,WordPress 为自托管 WordPress 网站(即 WordPress.org)引入了以下 GDPR 增强功能:
隐私政策生成器
如果您登录 WordPress 网站并转到"设置"菜单,您将看到"隐私"部分……
在这里您将找到内置的 WordPress 隐私政策生成器,其中包含一个可编辑的隐私政策模板(预填充了 WordPress 相关数据,例如 Gravatars 的使用和有关 cookie 的信息)、政策指南以及页面编辑和预览选项.
如果您已有想要使用的隐私政策页面而不是内置模板,则可以使用下拉选择器进行选择.
否则,请按照建议的指南并使用模板添加您的联系方式和其他信息,例如您如何处理和保护用户数据、数据泄露程序、第三方服务、自动决策、用户数据分析和任何必需的行业监管披露.
注意:在 WordPress 中,只有您网站的注册和登录页面会自动链接到隐私页面.由于大多数隐私法(包括 GDPR)要求您的隐私政策可以在整个网站上轻松访问,因此您需要通过菜单、小部件或其他集成方法手动将网站的其他区域链接到您的隐私页面.
评论隐私复选框
当用户在您的网站上发表评论时,WordPress 会将姓名、电子邮件地址和网站 URL 等个人信息存储在浏览器 cookie 中.这允许 WordPress 在用户下次访问时自动在评论字段中填写用户信息.
从 4.9.6 版开始,WordPress 在使用默认 WordPress 评论表单的主题上显示一个评论隐私选择复选框.
如果您在网站上看不到选择加入复选框,请确保:
- 您已将 WordPress 更新到最新版本(必须高于 4.9.6)
- 您在浏览评论部分时未登录
- 您已在 讨论设置 > 中启用了"显示评论 cookie 选择加入复选框,允许设置评论作者 cookie"选项.其他评论设置.
如果您仍然看不到此隐私功能,那么您当前的主题可能会覆盖默认的 WordPress 评论表单.联系您的主题开发者的支持人员.
导出和删除个人数据
在 4.9.6 版本中,WordPress 还引入了两个方便的合规性功能,允许您处理用户的数据请求以及导出或删除他们的个人数据.
这两个工具都可以从 WordPress 工具菜单访问.
使用导出个人数据功能以.zip 文件的形式通过电子邮件向用户发送他们请求的数据.
只需输入他们的用户名或电子邮件地址,勾选复选框以发送个人数据导出确认电子邮件,然后点击发送请求按钮.
表格部分可让您查看、处理、搜索和排序用户请求.它显示请求的状态和日期以及"后续步骤"工作流列.
擦除个人数据功能可让您根据要求删除用户的个人数据.它还对需要保留在 WordPress 数据库中的数据进行匿名化处理(例如插件数据).这很有用,因为 WordPress 允许插件开发人员 将他们的插件连接到个人数据擦除功能.
擦除个人数据工具的工作方式与导出数据工具一样.
根据 WordPress 的说法,使用这些内置工具是确保请求访问数据的用户确实是他们所说的人的最佳方式.
如他们网站上所述......
"我们强烈建议您使用导出工具中内置的电子邮件验证功能.此确认过程将有助于防止滥用行为,例如恶意用户假装不是他们的人."
WordPress 还发出了以下警告:
"由于此工具仅从 WordPress 和参与的插件收集数据,因此您可能需要超越以遵守导出请求."
换句话说,这些内置功能将有助于使您的网站更符合 GDPR,但它们不足以保证 100% 符合 GDPR.
让我们看看您还可以在 WordPress 中做什么来提高 GDPR 合规性.
使 WordPress 网站完全符合 GDPR
GDPR 会影响 WordPress 网站的其他区域.
这些领域包括但不限于以下:
- 分析
- 联系表格
- 电子邮件营销
- 会员网站
- 电子商务商店
- 媒体
- 广告
- 论坛
- 目录
- 聊天
- 等
幸运的是,上述大部分功能都可以使用插件添加到 WordPress,其中许多插件现在都包含符合 GDPR 的增强功能.
让我们看看其中的一些:
分析
如果您使用分析工具来收集网站统计信息(例如 Google Analytics),那么您很有可能正在收集或跟踪个人数据(例如 IP 地址、用户 ID、cookie 和其他数据以分析行为).
如果是这样,您可能需要向您的网站访问者披露您的分析插件可能会向用户的浏览器添加 cookie、将个人信息存储在您的数据库中或与第三方应用程序集成.
清单:
- 不要使用分析软件来跟踪个人数据.将您的报告和分析保持在匿名组数据级别.
- 不要使用分析软件来跟踪 IP 地址.
联系表格
大多数网站都使用联系表格.如果您的网站存储表单条目或将他们收集的任何数据用于营销目的(例如,将他们的详细信息添加到电子邮件列表中),则必须通知用户.
联系表单的本质和目的使其成为 GDPR 合规问题的潜在复杂雷区.
例如,在 WordPress 中使用联系表单时需要考虑的一些方面包括:
- 告知用户您将如何处理他们的数据以及您将如何存储这些数据,并获得他们使用和存储他们的信息的明确同意.
- 禁用 Cookie、用户代理和 IP 跟踪.
- 与表单提供商(如果使用 SaaS 表单解决方案)和任何第三方提供商签订了数据处理协议.
- 遵守用户的权利(例如撤销同意的权利).
- 遵守用户的数据访问和数据删除请求.
许多 WordPress 表单插件不会将您的表单条目存储在他们的网站上,而是存储在您的 WordPress 数据库中.在这种情况下,您不需要与这些提供商签订数据处理协议,只需在您的隐私政策中提及即可.
在许多情况下,您只需添加一个带有明确解释的必需同意复选框,即可使您的 WordPress 表单符合 GDPR 要求.
例如,使用我们的表单插件 Forminator,您可以轻松添加和在创建表单时自定义符合 GDPR 的通知.
GDPR 部分随后会自动显示在您的联系表单上给访问者.
清单:
- 在表格中说明您收集数据的原因以及将如何使用这些数据.
- 提供双重选择以确保您获得知情同意.
- 发送电子邮件时,请说明您为何向他们发送电子邮件以及您如何获取他们的数据.
- 发送电子邮件时,请提供取消订阅选项和"忘记我"选项.如果有人要求被遗忘,请删除他们的数据-不要只是停止向他们发送电子邮件.
- 如果您共享数据,请告知数据所有者并征得他们的同意.未经同意,请勿分享.
- 使用符合 GDPR 的表单插件和邮件列表提供商.
- 在您的网站上加入隐私政策,详细说明您处理和持有的数据、您如何处理数据、是否共享数据、人们如何访问他们的数据以及他们如何删除或删除数据.
立>
电子邮件营销选择加入表单
就像联系表格一样,电子邮件营销选择加入表格需要先征得用户同意,然后才能将他们的详细信息添加到您的列表中.
您可以通过添加用户必须在选择加入之前同意的必需复选框或使用具有必需的双重选择加入的电子邮件列表(这包括通过注册表单收集电子邮件地址并发送确认电子邮件)来实现此目的到用户的地址,他们必须点击以验证他们的联系信息,然后才能将其添加到您的列表中).
例如,使用我们的选择加入插件 Hustle,您可以创建弹出窗口、幻灯片和内嵌表单等选择加入表单,并通过单击按钮将可配置的 GDPR 批准字段插入到您的表单中.
然后,这将自动显示符合 GDPR 的通知,其中包含用户必须同意并点击的必需复选框.
电子商务和会员网站
如果您在 WordPress 上经营电子商务商店或会员网站,那么确保您的网站符合 GDPR 绝对重要.
如果您的 WordPress 电子商务商店在 WooCommerce 上运行,请查看他们的面向商店所有者的全面 GDPR 合规指南.
如果您运行基于 WordPress 的会员网站,请检查您的会员插件或软件中的 GDPR 合规设置.
例如,最受欢迎的 WordPress 会员网站插件之一,Wishlist Member,在其会员中提供了一系列符合 GDPR 的可配置设置 >数据隐私部分.
清单:
- 按照以上清单中的所有要点填写联系表格.
- 如果您将在销售过程中获得的数据用于其他目的,例如发送电子邮件推荐或特别优惠,请在收集数据时说明这一点,并让人们可以选择退出.
- 如果可能,请避免自己收集财务数据并使用第三方服务来接收付款,例如 Stripe 或 PayPal.
- 在您的网站上添加一个易于访问的"我的帐户"页面,人们可以在其中访问和删除他们的数据.
- 如果您的网站发生数据泄露(例如数据被盗或丢失),请尽快通知用户并让他们选择删除数据.
- 使用符合 GDPR 的电子商务插件.
媒体
在您的网站上使用 Gravatars、图像和嵌入内容可能会使您在 GDPR 合规性方面受到阻碍.
例如,Gravatar 是 PII(个人身份信息).
上传包含 EXIF GPS 位置数据的图像允许网站访问者下载和提取位置数据并将上传的媒体与特定用户相关联.
嵌入式内容可以让第三方服务收集您用户的 IP 地址、用户代理、在他们的浏览器上存储和检索 cookie、嵌入额外的第三方跟踪,并监控用户与该嵌入式内容的交互,包括将他们的交互与使用该服务的帐户的内容(如果用户已登录该服务).
确保在您的隐私政策中包含有关上述所有内容的信息.
广告
如果您的网站使用重新定位像素或重新定位广告,您需要告知用户并征得他们的同意.请参阅以下部分,了解有助于简化此过程的插件.
GDPR 如何适用于网络开发者
GDPR 不仅适用于处理数据的网站所有者.开发人员还有责任确保他们的代码合规.
这将适用于为客户构建网站的开发者以及以插件和主题形式编写代码以进行更广泛分发的开发者.GDPR 影响开发者的主要方式有:
- 在为客户创建网站时使用第三方主题和插件.
- 在创建包含用户输入个人数据的表单的插件或主题时.
- 链接到第三方 API 以访问或处理数据时.
- 编码分析功能或任何可以通过用户的 IP 地址、位置或其他方式识别用户的内容时.
使用第三方主题和插件
为从事客户工作的开发人员使用第三方主题和插件的指南与网站所有者的指南非常相似:确保您使用的主题和/或插件符合 GDPR,并且您以符合以下标准的方式配置它们合规.此外,您应该确保您的客户了解相关法律,并告诉他们他们的网站是否包含受影响的功能.这并没有免除网站所有者以合规方式管理数据的义务,但是:他们是数据的持有者,而不是您.
清单:
- 在安装和配置插件或第三方主题时,请遵循上述网站所有者指南.
- 告诉您的客户他们的网站是否包含受法律影响的功能,并为他们指明相关信息的方向.
- 如果您在开发和测试过程中收集了个人数据,请在此期间结束时将其全部删除.
- 当您将网站移交给客户时,请确保收集的任何数据都将发送给客户而不是您(很容易忘记在联系表单的设置中编辑电子邮件地址).
开发主题和插件
无论您是为特定客户项目还是为更广泛的分发开发主题或插件,如果您的代码包含收集个人数据的工具,则相关规定将适用.
您必须确保您的代码使您的客户或代码的用户能够遵守法律.这将包括任何数据捕获,无论是通过表单或电子商务公开的,还是通过 Cookie 或 API 进行的.
清单:
- 如果您的代码包含任何类型的个人数据输入(包括姓名、地址、电子邮件地址、社交媒体帐户详细信息、照片等),请确保其中包含网站所有者添加有关如何数据将被使用,并在相关时包括双重选择.
- 如果您的代码通过 cookie 跟踪数据,请确保这不能用于直接识别个人.
- 如果您的代码与第三方 API 相关联,请确保该 API 符合 GDPR.
- 如果您的代码向第三方 API 发送数据,请添加网站用户选择退出的选项.
- 如果您的代码受到法规的影响,请在您的文档中添加相关详细信息.包括有关网站所有者如何以符合 GDPR 的方式使用您的主题背景或插件的指南.
- 有关 WordPress 和 GDPR 工作的更多信息,请关注 WordPress GDPR 团队.
- 如果有疑问,并且收集特定数据对于您的代码工作不是绝对必要的,请不要收集数据.
用于提高 GDPR 合规性的最佳 WordPress 插件
您可以使用 WordPress 插件自动执行 GDPR 合规的某些方面.
然而,正如本文所述,没有任何解决方案可以保证 100% 合规,包括插件.因此,请注意并避免使用任何声称使您的网站完全符合 GDPR 的 WordPress 插件.
以下是我们推荐的最好的免费和付费 WordPress 插件,以提高您的网站对 GDPR 要求的合规性,没有特别的偏好:
Complianz – GDPR/CCPA Cookie 同意书
Complianz 提供功能齐全的隐私套件,可帮助您WordPress 网站符合欧盟、美国和/或英国的合规性要求(GDPR、电子隐私、CCPA、PECR 等!)
您可以使用插件的向导来配置您的网站以符合隐私法规.
该向导将指导您完成所有配置步骤,从决定您要为访问者设置的默认隐私法或指南,到设置 cookie 政策、隐私声明和免责声明,配置网站信息、安全和同意设置、运行 cookie 扫描以及创建任何丢失的文档页面.
该插件的免费版本提供了广泛的功能,包括有条件的 Cookie 通知和基于内置 cookie 扫描结果的自定义 Cookie 策略、具有自动 cookie 检测的定期扫描、可定制模板、同意证明、请勿出售我的 CCPA 个人信息页面、与 WordPress 隐私功能集成、导出和删除个人数据、Google Analytics 的 IP 地址自动匿名化、第 3 方 cookie 阻止以及与 Gutenberg 块和各种页面构建器的集成以及插件,包括我们自己的 Beehive Analytics 插件.
高级版添加了一系列高级功能、集成、协议,并支持许多额外的同意、隐私和合规性要求,以实现全球覆盖和保护,以及高级支持.
注意:WPMU DEV 会员可享受 所有 Complianz 计划 25% 的折扣.
下载此插件:Complianz
iubenda
iubenda 提供多合一有助于使您的网站(或应用程序)符合多种语言和立法的法律文件管理服务和一个免费的 WordPress 插件,用于连接有助于使您的网站更符合 GDPR 和电子隐私的两项服务:Cookie 解决方案 和 同意解决方案.
这些服务包括完全可定制的 cookie 横幅、阻止脚本、cookie 同意管理以及用于 GDPR 目的的全面记录.
该插件会自动将代码插入您网站的每个页面的头部以提供其 Cookie 解决方案,其中包括完全可定制的 cookie 横幅、动态生成的 cookie 策略以匹配您网站上使用的服务,以及完全管理 cookie-相关同意,包括根据 GDPR 和 ePrivacy 的要求在收到同意之前阻止最常见的小部件和第三方 Cookie.
该插件还检测和识别网站中嵌入的所有受支持的表单,并使用其内容解决方案服务维护有效和详细的同意记录.
注意:WPMU DEV 会员可享受所有 Iubenda 产品 20% 的折扣.
了解有关在线服务的更多信息,并在此处下载插件:iubenda
CookieYes
CookieYes 为您的网站添加可自定义的符合 GDPR 的功能,并且支持 cookie 符合 LGPD(巴西)、CNIL(法国)和加州消费者隐私法案 (CCPA).
此插件包括许多功能,包括选择法律类型、在页眉或页脚中显示 cookie 横幅、延迟或滚动后自动隐藏 cookie 栏、重新访问同意小部件、可自定义的 cookie 栏选项和 cookie 按钮短代码.
高级版提供额外的增强功能,例如单击自动扫描和 cookie 分类、脚本自动阻止、基于位置的欧盟国家/地区排除 cookie 通知、用户同意审核日志、cookie 栏预览、缓存插件支持、其他布局和模板,以及更多.
下载这个插件:CookieYes
Cookiebot
Cookiebot is a freemium plugin that delivers a cloud-driven solution to automatically control cookies and trackers, and ensure GDPR, ePrivacy and CCPA compliance.
The service delivers a customizable consent banner to handle consents and allows users to opt in and out of cookie categories, an automatically generated and updated cookie policy and cookie declaration, a Do Not Sell My Personal Information link on the cookie declaration allowing end-users to opt out of having their data sold to third parties, monthly website scans to detect first and third-party cookies, automatic cookie blocking until proper consent has been obtained, user controls for changing or withdrawing their consent, secure storage of user consent information, multiple language support, and more.
Note: The amount of subpages on your website will determine whether your site runs on the free plan or a premium plan.
Download this plugin: Cookiebot
WP GDPR Compliance
WP GDPR Compliance assists WordPress site owners to comply with the GDPR.
The plugin integrates with the native WordPress comments and registration forms and automatically adds a GDPR checkbox to those forms with customizable messages.It also allows users to control consent permissions and creates special pages allowing users to exercise privacy rights requests such as ‘Right to access’ and ‘Right to be forgotten’.
Additional plugin features include a built-in compliance checklist with tips and guides, and customizable settings for a range of compliance features, including Privacy Policy and consents.
Download this plugin: WP GDPR Compliance
GDPR Cookie Compliance (CCPA ready)
GDPR Cookie Compliance can help your site meet some of the following data protection and privacy regulations: GDPR, PIPEDA, CCPA, AAP, LGPD and others.
The free version of the plugin provides customizable and editable settings that allow you to match your branding and theme, configure notices for privacy overview, necessary cookies, 3rd party cookies, additional cookies, and Cookie Policy.
Users have full control over cookies stored on their computer, including the ability to revoke their consent.
The premium add-on includes additional options like full-screen layout, geo location, ability to hide cookie notice banner on selected pages and block users from viewing 3rd party resources until they accept cookies, export & import settings, WordPress Multisite extension, accept cookies on scroll, cookie declaration, consent log and analytics, language specific scripts and local data storage of user data.
The plugin is optimised for WCAG/ADA compliance and supports all major caching servers and plugins.
Download this plugin: GDPR Cookie Compliance
Cookie Notice & Compliance for GDPR/CCPA
Cookie Notice & Compliance combines a plugin that displays a cookie notice on your website to comply with EU GDPR and CCPA cookie laws and consent requirements and a free web application that provides automated compliance features using an intentional consent framework that incorporates the latest guidelines to data protection and consent laws from over 100+ countries.
Upon activation, the plugin performs an initial compliance check of your website and lets you customize your site’s cookie notice message, enable consent on click, scroll or close, set multiple cookie expiry options, enable a link to your Privacy Policy page, plus design controls and options, multiple banner positions, and language localization.
Enabling the Cookie Compliance module gives you access to the full suite of compliance features.This includes customizable GDPR & CCPA notice templates, consent analytics dashboard, cookie autoblocking, cookie categories, and proof-of-consent storage.
Download this plugin: Cookie Notice & Compliance
GDPR Cookie Consent Banner
GDPR Cookie Consent Banner helps your WordPress site comply with a number of privacy laws like the GDPR, UK GDPR, CCPA, the ePrivacy Directive (EU Cookie Law), and the UK’s Privacy and Electronic Communications Regulations (PECR).
You will need to sign up for a free account and obtain an API key to unlock the plugin’s features, which include automatic cookie scans, a customizable GDPR, CCPA, and ePrivacy-compliant cookie consent banner, automatic cookie consent & preference tracking, legal policy generator, automatic cookie configuration, auto-generated cookie descriptions and cookie categories, autoblocking of scripts, multilingual support, and access to additional policy, disclaimer, and terms and conditions generators.
The plugin adds a live cookie consent banner and compliant cookie policy to your site that automatically generates your cookie descriptions and categories from a database that is actively maintained and kept up to date by a team of engineers, designers, and data privacy attorneys.
Download this plugin: GDPR Cookie Consent Banner
EU Cookie Law for GDPR/CCPA
EU Cookie Law for GDPR/CCPA is a light and customizable GDPR and CCPA compliance plugin that lets you inform users that your site uses cookies, with a popup feature and options to lock scripts before acceptance.
The plugin can be easily configured from a one-page settings screen.
EU Cookie Law plugin’s settings page
The plugin also lets you use shortcodes in posts, pages and widgets to revoke cookie consent, show a list of cookies, and prevent cookies.
Download this plugin: EU Cookie Law for GDPR/CCPA
Additional Compliance Solutions
In addition to compliance plugins, you may want to check out some of the solutions below:
Termageddon
As stated on their website, Termageddon is "a generator of policies for websites and applications."
The service allows you to stay compliant for different privacy laws and regulations (e.g.US state privacy laws like CalOPPA, CCPA, DOPPA, VCDPA, Canada’s PIPEDA, and, of course GDPR) even when these laws change, by automatically keeping your Privacy Policies updated through code placed on your website.
Note: WPMU DEV members receive 30% off all Termageddon’s plans.
Learn more about this service: Termageddon
TermsFeed
TermsFeed provides customized legal agreements and policies for online businesses.
You can access agreements and policies for free using the site’s generators and templates and purchase optional premium agreements with additional clauses for a one-time fee, so you only pay for what you need.
TermsFeed monitors changes in laws, acts, and regulations across various jurisdictions (countries and states) and notifies you if any updates are required for your generated policies.
Learn more here: TermsFeed
PrivacyPolicies.com
If you are looking for an affordable compliance solution, PrivacyPolicies.com lets you generate, host, and edit a Privacy Policy for your website for free.
Their premium one-time payment service offers additional options like the ability to add various types of clauses and download your documents in various formats (HTML, DOCX, TXT).
Learn more here: PrivacyPolicies.com
About WPMU DEV Plugins
If you are a WPMU DEV member, we’ve put together lists of which of our plugins and services interact with our servers or may send data to 3rd parties.This information should be useful to you as you put together your own site’s privacy policy or do an audit of what data your site may share.We have also published statements about each of our plugins with respect to privacy in their "readme.txt" file.It should be enough to list WPMU DEV in your privacy policy and link to ours.
With the exception of Snapshot, none of our plugins store private user data.Defender can store IP addresses in the audit logs, but you can choose to disable that in the settings.You might also wish to disable exif data for images compressed using Smush.
With Snapshot, it depends on where you are actually storing the backups (with us or elsewhere).You’ll just want to disclose that it is stored, as it will be a copy of your site’s database and therefore include any personal data that you store as part of your site, and should be treated the same as your web host.
For more information on our plugins, cookies and personal data, see our privacy documentation.
Web Compliance – It’s The Law
GDPR laws and regulations were introduced to protect and safeguard personal user data from being misused and abused in an increasingly digital-driven and internet-connected world.
The implications of privacy laws and the GDPR for businesses are wide-ranging.It requires a radical change of thinking in how you do business online, from planning your website to marketing and promoting your products and services in a global economy.
The above information can help make your WordPress site more GDPR compliant.It’s important to note, however, that although we cover many areas in this comprehensive guide, it’s still not enough to guarantee 100% GDPR compliance for your business or your website.
Full GDPR compliance depends on things like the kind of website you have, what type of data you process and store, having a Privacy Policy on your site that meets all legal requirements in all jurisdictions where you operate, getting explicit user consent for cookies, using a GDPR-compliant web host and third-party services, plugins, and solutions (and making this information transparent to visitors), auditing how your site handles and processes personal data and user requests for their data, and so much more.
Ultimately, making your website compliant is not just a requirement by law, it’s also a good thing for all online users.After all, we are all each others’ online consumers and we all deserve to have our personal data valued, protected, and respected.
One final reminder: As stated throughout this article, we encourage you to seek the legal advice of web compliance experts.Don’t assume that GDPR does not apply to your business or website, or that all the measures you have implemented so far are enough to make you 100% compliant.
Privacy & GDPR – Useful References
For additional information check out the links below:
