WordPress عطلة نهاية الأسبوع: GDPR على موقع الويب الخاص بك

الكشف الكامل: لا شيء من بين ما يلي هو المشورة القانونية. ويهدف هذا إلى دفع الحوار داخل مجتمعنا حول الآثار المترتبة على GDPR.

ما هو الناتج المحلي الإجمالي؟

بدأ القانون العام لحماية البيانات ("اللائحة العامة لحماية البيانات") في 25 مايو في الاتحاد الأوروبي. إنه قانون يهدف إلى حماية مواطني الاتحاد الأوروبي من خلال تنظيم معالجة ونقل وتخزين أي بيانات تعتبر خاصة أو شخصية. وتعتبر حماية البيانات الشخصية حقا أساسيا بموجب قانون الاتحاد الأوروبي.

أي شركة أو شركة الملكية - مثل موقع على شبكة الإنترنت - الوصول إليها من قبل مواطن أوروبي يقع ضمن اختصاص GDPR. واسمحوا لي أن أؤكد ذلك مرة أخرى: الوصول إليها من قبل مواطن أوروبي. لا يهم إذا كانوا جسديا في أوروبا أم لا. حتى منع الزوار من أوروبا لن تفعل لك أي خير إذا كان مواطن الاتحاد الأوروبي يزور موقعك من باري.

والعقوبات المفروضة على عدم الامتثال شديدة: تصل إلى 20 مليون يورو (30.6 مليون دولار كندي) أو 4 في المائة من الإيرادات العالمية. ومن الآمن القول إن الغرض من ذلك هو الضغط على الشركات العالمية لكي تتماشى. ولكن كما يقول المثل، فمن الأفضل أن تكون آمنة من آسف.

وكثير من الأسئلة المتعلقة بالإنفاذ والامتثال عرضة للتفسير. نحن لن نتعمق فيها هنا لأنه خارج نطاق لقاءنا، والأهم من ذلك، نحن لسنا محترفين قانونيين. ولكن ما رأيناه هو أن المنظمات في جميع أنحاء العالم تتخذ خطوات لتصبح متوافقة مع الـ GDPR.

تلميح: هذا ما كانت تلك "لقد تحديث سياسة الخصوصية لدينا" رسائل البريد الإلكتروني حول.

من الصعب تحديد الامتثال. النص الرسمي خفي ويصعب فهمه. قم بالبحث السريع في Google عن GDPR وستجد عشرات الملايين من مشاركات المدونات والقوائم المرجعية والملخصات، وما إلى ذلك من الشركات القانونية والاستشاريين الذين نشأوا لمعالجة هذا الارتباك.

على الرغم من الغموض، فإن الروح العامة والنية وراء GDPR شيء جيد. تنتشر معلوماتنا الشخصية عبر الويب عبر التطبيقات والأجهزة والخوادم. يضع GDPR إطاراً لإرشاد كيفية الحصول على تلك المعلومات وتخزينها ونقلها وإدارتها.

بداية سريعة لـ GDPR

مكتب مفوض المعلومات في المملكة المتحدة (ICO) تجميع دليل "البدء السريع" من اثني عشر خطوة لمساعدة المنظمات على الاستعداد لـ GDPR. الخطوات التالية:

1. الاعتراف بأن القانون يتغير، وأهميته، وتأثير ذلك على منظمتكم. لقد غطينا جوهر هذا بالفعل. إن ّ GDPR هو أمر مهم، ويؤثر على المنظمات على الصعيد العالمي.

2. قم بتوثيق البيانات الشخصية التي لديك بالفعل، ومن أين أتت، ومن تشاركها معه. قد يكون من المفيد إجراء تدقيق للمعلومات. قد يكون هذا أيضًا وقتًا مناسبًا لدمج معلوماتك في مكان واحد، مثل CRM.

يتطلب منك GDPR الاحتفاظ بسجلات لأنشطة المعالجة الخاصة بك.

3. مراجعة وتحديث سياسة الخصوصية الخاصة بك وأي إشعارات الخصوصية. مرة أخرى، وهذا هو ما كانت تلك "لقد تحديث سياسة الخصوصية لدينا" رسائل البريد الإلكتروني ل.

4. تحقق من إجراءاتك الخاصة بالعمل مع البيانات الشخصية، وتحديثها، وتوثيقها. والوثائق، حتى داخل منظمة صغيرة، مفيدة للغاية. حتى إذا كنت تعمل في أو مع الأعمال التجارية الصغيرة وليس لديهم بالفعل قاعدة المعرفة فريق، والآن هو الوقت المناسب لإنشاء واحدة. يمكن أن يكون بسيطًا مثل مجلد محرّر مستندات Google أو وضعًا كعرف WordPress الموقع.

5. تحقق من الإجراءات الخاصة بك لمعالجة طلبات البيانات في الوقت المناسب، وتحديثها وتوثيقها. يجب تلبية الطلبات دون رسوم في غضون شهر، ولكن يمكن رفضها أو فرض رسوم عليها إذا كانت مفرطة أو لا أساس لها من الصحة. مرة أخرى، هذا شيء يجب أن تغطيفي قاعدة معارف الفريق الداخلي - ماذا تفعل عندما يقدم شخص ما طلبا؟

6. قم بتوثيق كيفية ومعالجة البيانات الشخصية التي تقوم بها وسبب معالجتها. وبعبارة أخرى، يجب أن يكون لديك سبب مشروع لجمع البيانات التي تطلبها. هذه نقطة أخرى لتغطية في قاعدة معارف الفريق، لذلك يتم إعلام الجميع.

7. مراجعة وتحديث كيفية طلب الموافقة وتسجيلها وإدارتها. تحديث الموافقة الحالية إذا لم تكن تتماشى مع GDPR. ذات الصلة: إرشادات مفصلة لجمع الموافقة (عن طريق ICO)

8. تحديد ما إذا كنت بحاجة إلى التحقق من عمر المستخدم، وإذا كان الأمر كذلك، كيف ستحصل على موافقة الوالدين أو الوصي إذا كان معالجة البيانات الشخصية الخاصة بالقاصرين. إذا كنت تقوم ببناء موقع مع الشباب كجمهور مقصود (فكر في الأطفال 16 وما دون)، فمن المحتمل أن ينطبق هذا على هذا.

9. تأكد من وجود عمليات موثقة للكشف عن انتهاكات البيانات والإبلاغ عنها والتحقيق فيها. وهذا أيضا شرط بموجب التشريعات الكندية في PIPEDA، وشيء آخر لإضافته إلى قاعدة معارف الفريق.

10. مراجعة وتنفيذ تقييمات تأثير الخصوصية. "يتطلب الأمر إدارة شؤون الإعلام في الحالات التي قد تؤدي فيها معالجة البيانات إلى مخاطر عالية للأفراد." إذا كنت تعمل مع منظمة أكبر أو تتعامل مع البيانات الحساسة، اطلع على دليل ICO إلى DPIAs.

11- تعيين شخص في المنظمة يكون مسؤولاً عن الامتثال. كما هو الحال مع إدارة شؤون الإعلام، فإن وجود موظف لحماية البيانات أمر بالغ الأهمية بالنسبة للمنظمات الكبيرة التي تتعامل مع كمية كبيرة من البيانات الشخصية، أو المنظمات التي تعالج البيانات الحساسة مثل معلومات الرعاية الصحية.

12- إذا كانت المنظمة تعمل في عدة دول أعضاء في الاتحاد الأوروبي، يجب أن تكون هناك سلطة على مستوى الإشراف مسؤولة عن جميع عمليات معالجة البيانات في المنظمة. في الأساس، "يتوقف المال هنا" - انهم مسؤولون عن كيفية تعامل المنظمة مع البيانات الشخصية.

هذا كثير، حتى بالنسبة لدليل "البدء السريع"، حتى لتلخيص ذلك أكثر:

  1. الحصول على فهم لنطاق وتأثير GDPR.
  2. قم بمراجعة البيانات الشخصية التي لديك بالفعل.
  3. تحديث سياسة الخصوصية الخاصة بك وإشعارات الخصوصية.
  4. تحديث وتوثيق الإجراءات الخاصة بك للعمل مع البيانات الشخصية.
  5. يكون الشخص المسؤول عن إدارة خصوصية البيانات مسؤولًا عن النقطة.

الآن دعونا ندخل في الآثار العملية للعمل الذي نقوم به على الانترنت.

A (جدا) لمحة رفيعة المستوى عن GDPR فيما يتعلق بالمواقع

على جانب واحد لديك عمل مع موقع على شبكة الانترنت. وهم يستخدمون هذا الموقع لعرض خدماتهم، وتبادل التحديثات والإعلانات، وتلقي الاستفسارات من خلال نماذج الاتصال.

على الجانب الآخر لديك مستخدمي الموقع. يذهبون إلى الموقع للتعرف على الأعمال التجارية، وقراءة المعلومات، وربما حتى الحصول على اتصال.

يستخدم العمل حفنة من أدوات الطرف الثالث على موقعهم. لديهم تحليلات على شبكة الإنترنت؛ دردشة حية؛ التقاط البريد الإلكتروني لرسائلهم الإخبارية؛ وتتبع للإعلانات.

بين النماذج وأدوات الطرف الثالث، يمكن للأعمال التجارية جمع الكثير من البيانات الشخصية من مستخدميها. ولكن قبل أن يجمعوها، يجب أن يحصلوا على الموافقة. هذا هو المكان الذي تأتي فيه سياسة الخصوصية. وهو يخبر المستخدمين عن البيانات التي يتم جمعها، ومن يتم مشاركتها معه (حيث يتم تخزينها)، وكيفية استخدامها.

وبموجب قانون حماية الوحدة القومية، تعتبر الشركة هي "وحدة تحكم البيانات". إذا أراد المستخدم إجراء تغيير أو تصدير أو محو بياناته الشخصية، فإن النشاط التجاري مسؤول عن إعطاء المستخدم طريقة لتقديم هذا الطلب. كما أن الشركة مسؤولة أيضاً عن تلبية هذا الطلب في الوقت المناسب.

تعتبر أدوات الطرف الثالث معالجات البيانات. أنها تخزين البيانات، ولكن وحدة تحكم البيانات (الأعمال التجارية) هي المسؤولة عن إدارتها. كما أن المعالجات سوف تعطي وحدة التحكم (الأعمال) وسائل لتعديل وتصدير ومحو البيانات إذا لزم الأمر.

بالإضافة إلى ذلك، من خلال استخدام إشعارات الخصوصية وعناصر التحكم في الأذونات، يسمح الموقع للمستخدم بتقديم وتغيير موافقتهم.

كيف يمكننا تطبيق هذا على WordPress المستخدمين؟

عندما نقوم ببناء المواقع مع WordPress ، نقوم بإعداد تطبيقات جديدة حيث يمكن تخزين البيانات الشخصية للأشخاص. وعلينا، كمطور أو مالك لهذه التطبيقات، مسؤولية حماية بيانات المستخدمين.

في الأساسية WordPress الموقع ، دون أي إضافات ، يمكن الحصول على البيانات الشخصية وتخزينها من خلال تسجيل المستخدم والتعليقات. كما نقوم بتثبيت الإضافات الإضافية، يمكن أن تنمو كمية المعلومات التي نجمعها أضعافا مضاعفة. على سبيل المثال:

  • الإضافات الأمنية التي تستخدم IPs الزائر لقائمة سوداء حركة المرور.
  • التحليلات الإضافية التي تتبع سلوك المستخدم.
  • جهات الاتصال شكل الإضافات التي تحفظ الإدخالات.
  • إضافات التجارة الإلكترونية التي تخزن عناوين الشحن.
  • تسويق الإضافات التي تجمع عناوين البريد الإلكتروني.
  • الإعلان وملحقات وسائل الاعلام الاجتماعية التي تتصل بتعقب طرف ثالث.

هذه الإضافات إما تخزين البيانات محليا على خادم موقعنا على الانترنت، أو أنها سوف تتصل بخدمة طرف ثالث ("معالج البيانات") لتخزين البيانات.

في أحدث إصدار من WordPress ، لدينا الآن القدرة على تحديد صفحة سياسة الخصوصية. هذه هي الصفحة التي سنقوم فيها بالكشف عن كل البيانات التي نجمعها؛ كيف نستخدمها؛ من الذي يتم مشاركة البيانات معه (إن وجد)؛ والعملية للمستخدمين لطلب تعديلات البيانات أو تصديرها أو حذفها.

كما أدرجت في أحدث إصدار من WordPress هي أداتان جديدتان لتلبية طلبات تصدير البيانات والحذف. بشكل افتراضي تؤثر هذه الأدوات فقط على البيانات التي يتم جمعها من قبل الأساسية WordPress البرمجيات ، مثل حسابات المستخدمين والمعلّقين. الإضافات الأخرى تتدخل لمعالجة طلبات البيانات لخدمات الطرف الثالث ، والإدارة الذاتية للبيانات ، والمساعدة في إشعارات الموافقة. سنلقي نظرة على هذه في لحظة.

في هذه الأثناء، الوجبات الجاهزة الخاصة بك هي: إنشاء صفحة سياسة الخصوصية الخاصة بك. أخبر المستخدمين بالضبط ما الذي تفعله ببياناتهم. وإعطائهم طريقة لتقديم طلبات البيانات. نموذج اتصال عادي على ما يرام لتبدأ.

WordPress الإضافات الناتجة عن الناتج المحلي الإجمالي

حسنا. دعونا نتحدث عن الإضافات GDPR التي يمكن أن تساعدنا.

المنافية العامة

تم تطوير GDPR هنا في تورونتو من قبل الفريق في المعرفة Trew. انها البرنامج المساعد شامل إلى حد ما. وهي توفر إدارة الموافقة؛ إدارة تفضيلات الخصوصية في المقدمة؛ رسائل البريد الإلكتروني المزدوجة الاختيار في الحق في محو؛ إعادة توزيع بيانات المستعملين؛ البحث عن الخلفية والادارة؛ تسجيل الأشجار ، وعندما كان هناك ، تتبع القياس عن بعد؛ وأكثر من ذلك. انها موثقة جيدا ويشعر وكأنه امتدادا للWP الأساسية.

الامتثال للحماية العامة لحماية الالتزامات

آخر الناتج المحلي الإجمالي المساعد شعبية، وإن لم يكن تقريبا كما موثقة جيدا، وأنه يدعم فقط WordPress الأساسية ، والتعليقات ، WooCommerce ، أشكال الجاذبية ، والاتصال 7 شكل من خارج منطقة الجزاء. لا تغطي خارطة الطريق أي شيء بعد 3 يونيو ، لذلك من الصعب معرفة خططهم للتوافق في المستقبل. كما أنه يشعر كثيرا مثل البرنامج المساعد انسحب على.

حماية الخصوصية

سياسة الخصوصية تأخذ نهجاً مختلفاً. بدلاً من إدارة البيانات المخزنة على الخادم، تقوم Privacy WP بدمج أدوات تصدير/محو الخصوصية المضمنة مع البيانات المخزنة على موفري الطرف الثالث (معالجات البيانات التي تم تغطيتها في وقت سابق). تحقق من إعلان آخر من سكوت ديلوزيو.

كوكيبوت

كوكيبوت ليس WordPress المساعد ، ولكن أنا أرى أنها تظهر على المزيد من المواقع باعتبارها في انخفاض في حل للتعامل مع موافقة GDPR. يقوم بفحص الموقع بحثًا عن وجود أي ملفات تعريف ارتباط ويعالج عناصر التحكم في الإذن. لديهم خطة مجانية مناسبة للمواقع الصغيرة (تحت 100 صفحة) ، ولكن السعر سرعان ما يصعد من هناك.

القراءة ذات الصلة

هذا اللقاء لم يكن ممكنا ً بدون أن يتكئ على الموارد التالية:

اللائحة العامة لحماية البيانات (ويكيبيديا)

ما هو الناتج المحلي الإجمالي؟ الدليل الموجز للامتثال لـ GDPR في المملكة المتحدة (WIRED)

حماية البيانات في الاتحاد الأوروبي (المفوضية الأوروبية)

دليل اللائحة العامة لحماية البيانات (GDPR) (ICO)

التحضير لـ GDPR: 12 خطوة يتعين اتخاذها الآن (ICO)

GDPR للمسوقين الكنديين: هل ينطبق؟ (الفن والعلوم)

أفضل الممارسات التسويقية عبر البريد الإلكتروني لـ CASL وGDPR (الفن والعلوم)

قانون حماية المعلومات الشخصية والوثائق الإلكترونية (PIPEDA)

***

هل لديك أي أسئلة أو تعليقات حول هذا اللقاء؟ أخبرنا على صفحة الحدث, في مجموعتنا الفيسبوك، أو اترك تعليقًا أدناه.

3 أفكار حول " WordPress عطلة نهاية الأسبوع: GDPR على موقع الويب الخاص بك"

  1. (كان هذا عظيماً يا (أندي

    كما وعدت هنا هو الرابط إلى الموارد من جمعية التحليلات الرقمية. حضرت حلقة العمل التي استضافها فرعتورنتو. وبطبيعة الحال، فإن المحللين قلقون جدا حول GDPR لأنهم في الواقع إدارة البيانات!

    https://community.digitalanalyticsassociation.org/blogs/marilee-yorchak/2018/05/29/gdpr-daa-resources-for-you

  2. مرحباً (أنـدى) شكراً لذكركِـر (كوكيبوت) لدينا wordpress المساعد – يرجى الاطلاع على: https://wordpress.org/plugins/cookiebot/. ومع ذلك، فإنه يحدد فقط مربع الموافقة. يجب وضع علامة على جميع ملفات تعريف الارتباط الخاصة بك يدوياً للتأكد من أنك متوافق.

التعليقات مغلقة.