Full disclosure: Nessuna delle seguenti è una consulenza legale. Questo ha lo scopo di sollecitare la conversazione all'interno della nostra comunità sulle implicazioni del GDPR.
Che cos'è il GDPR?
Il GDPR ("Regolamento generale sulla protezione dei dati") è entrato in vigore il 25 maggio nell'Unione europea. Si tratta di una legge volta a proteggere i cittadini dell'UE regolando il trattamento, il trasferimento e l'archiviazione di tutti i dati considerati privati o personali. La protezione dei dati personali è considerata un diritto fondamentale ai sensi del diritto dell'UE.
Qualsiasi azienda o azienda, come un sito web, a cui accede un cittadino europeo rientra nella giurisdizione del GDPR. Vorrei sottolinearlo ancora: accessibile da un cittadino europeo. Non importa se sono fisicamente in Europa o no. Quindi bloccare i visitatori dall'Europa non ti farà bene se un cittadino dell'UE visita il tuo sito da Barrie.
Le sanzioni per inosservanza sono elevate: fino a 20 milioni di euro (30,6 milioni di dollari canadesi) pari al 4% del fatturato globale. E 'sicuro dire che questo è destinato a mettere la pressione sulle aziende globali a intervenire. Ma come dice il proverbio, è meglio essere sicuri che dispiaciuti.
Molte delle domande riguardanti l'applicazione e la conformità sono aperte all'interpretazione. Non approfondiremo in loro qui perché è al di là della portata del nostro meetup e, cosa più importante, non siamo professionisti legali. Ma quello che abbiamo visto sono le organizzazioni di tutto il mondo che adottano misure per diventare conformi al GDPR.
Suggerimento: È ciò che queste e-mail "abbiamo aggiornato la nostra politica sulla privacy" erano circa.
La conformità è difficile da determinare. Il testo ufficiale è criptico e difficile da capire. Fai una rapida ricerca su Google per il GDPR e troverai decine di milioni di post di blog, liste di controllo, riepiloghi, ecc. da studi legali e consulenti che sono sorti per affrontare la confusione.
Nonostante l'ambiguità, lo spirito generale e l'intento del GDPR è una buona cosa. Le nostre informazioni personali sono diffuse in tutto il web su applicazioni, dispositivi e server. Il GDPR mette in atto un quadro per guidare come tali informazioni vengono acquisite, archiviate, spostate e gestite.
Un rapido inizio del GDPR
L'Information Commissioner's Office (ICO) del Regno Unito ha compilato una guida rapida in dodici passaggi per aiutare le organizzazioni a prepararsi per il GDPR. I passaggi sono i seguenti:
1. Riconoscere che la legge sta cambiando, il suo significato e l'impatto sulla vostra organizzazione. Abbiamo già coperto il succo di tutto questo. Il GDPR è un grosso problema, che colpisce le organizzazioni a livello globale.
2. Documenta i dati personali che hai già, da dove provengono e con chi li condividi. Può essere utile eseguire un controllo delle informazioni. Questo potrebbe anche essere un buon momento per consolidare le informazioni in un unico luogo, come un CRM.
Il GDPR richiede di mantenere i record delle attività di elaborazione.
3. Rivedere e aggiornare l'Informativa sulla privacy e le eventuali informative sulla privacy. Ancora una volta, questo è ciò che quelli "abbiamo aggiornato la nostra politica sulla privacy" e-mail erano per.
4. 4. Controllare, aggiornare e documentare le vostre procedure per il trattamento dei dati personali. La documentazione, anche all'interno di una piccola organizzazione, è estremamente utile. Quindi, se lavorate in o con una piccola impresa e non hanno già una base di conoscenza del team, questo è un buon momento per crearne una. Potrebbe essere semplice come una cartella di Google Docs o elaborata come un WordPress sito personalizzato.
5. Controllare, aggiornare e documentare le procedure per la gestione tempestiva delle richieste di dati. Le richieste devono essere soddisfatte senza una tassa entro un mese, ma possono essere rifiutate o addebitate una tassa se sono eccessive o infondate. Ancora una volta, questo è qualcosa che si dovrebbe coprire in una knowledge base interna del team - cosa si fa quando qualcuno invia una richiesta?
6. Documenta come e perché elabori i dati personali che fai. In altre parole, dovresti avere un motivo legittimo per raccogliere i dati che stai chiedendo. Questo è un altro punto da coprire nella knowledge base del team, in modo che tutti siano informati.
7. Rivedere e aggiornare il modo in cui si cerca, registrare e gestire il consenso. Aggiorna il consenso esistente se non sono in linea con il GDPR. Correlata: Indicazioni dettagliate per la raccolta del consenso (tramite ICO)
8. Identificare se è necessario verificare l'età dell'utente, e in caso affermativo, come si otterrà il consenso dei genitori o tutori se il trattamento di dati personali appartenenti a minori. Se stai costruendo un sito con i giovani come pubblico previsto (pensa ai bambini dai 16 anni in su), questo probabilmente si applicherà a te.
9. Assicurarsi di aver documentato i processi in atto per rilevare, segnalare e analizzare le violazioni dei dati. Questo è anche un requisito Legislazione PIPEDA del Canadae qualcos'altro da aggiungere alla Knowledge Base del team.
10. Rivedere e implementare le valutazioni di impatto sulla privacy. "Un DPIA è necessario in situazioni in cui l'elaborazione dei dati può comportare un rischio elevato per gli individui." Se si lavora con un'organizzazione più grande o si tratta di dati sensibili, consulta la guida ICO ai DPIA.
11. Designare qualcuno nell'organizzazione come responsabile della conformità. Come con i DPIA, avere un Data Protection Officer è fondamentale per le organizzazioni di grandi dimensioni che si occupano di un elevato volume di dati personali o organizzazioni che elaborano dati sensibili come le informazioni sanitarie.
12. Se l'organizzazione opera in più Stati membri dell'UE, deve essere presente un'autorità a livello di vigilanza responsabile di tutto il trattamento dei dati nell'organizzazione. Fondamentalmente, "il dollaro si ferma qui" - sono responsabili di come l'organizzazione gestisce i dati personali.
Questo è molto, anche per una guida rapida, in modo da riassumere ancora di più:
- Comprendere l'ambito e l'impatto del GDPR.
- Fai un controllo dei dati personali che già possiedi.
- Aggiorna la tua Informativa sulla privacy e le Informative sulla Privacy.
- Aggiornare e documentare le procedure per l'utilizzo dei dati personali.
- Avere una persona punto responsabile della gestione della privacy dei dati.
Ora esaminiamo le implicazioni pratiche per il lavoro che stiamo facendo online.
Una (molto) panoramica ad alto livello del GDPR in relazione ai siti web
Da un lato hai un business con un sito web. Usano quel sito web per mostrare i loro servizi, condividere aggiornamenti e annunci, e ricevere richieste tramite moduli di contatto.
Dall'altra parte hai gli utenti del sito web. Vanno al sito web per conoscere il business, leggere informazioni, e forse anche entrare in contatto.
L'azienda utilizza una manciata di strumenti di terze parti sul loro sito. Hanno analisi web; live chat; acquisizione e-mail per le loro newsletter; e il monitoraggio per la pubblicità.
Tra i moduli e gli strumenti di terze parti, l'azienda potrebbe raccogliere un sacco di dati personali dai loro utenti. Ma prima di ritirarlo, hanno bisogno di ottenere il consenso. È qui che entra in gioco l'Informativa sulla privacy. Indica agli utenti quali dati vengono raccolti, con chi vengono condivisi (dove vengono archiviati) e come vengono utilizzati.
Sotto il GDPR, l'azienda è considerata il Data Controller. Se un utente desidera apportare una modifica, esportare o cancellare i propri dati personali, l'azienda è responsabile di fornire all'utente un modo per effettuare tale richiesta. L'azienda è anche responsabile per soddisfare tale richiesta in modo tempestivo.
Gli strumenti di terze parti sono considerati processori di dati. Memorizzano i dati, ma il Data Controller (l'azienda) è responsabile della gestione. I processori forniranno anche al Controller (l'azienda) i mezzi per modificare, esportare e cancellare i dati, se necessario.
Inoltre, attraverso l'uso di informative sulla privacy e controlli di autorizzazione, il sito web consente all'utente di fornire e modificare il proprio consenso.
Come lo applichiamo come WordPress utenti?
Quando costruiamo siti web con WordPress, stiamo creando nuove applicazioni dove i dati personali delle persone possono essere memorizzati. E come sviluppatore o proprietario di queste applicazioni, abbiamo la responsabilità di proteggere i dati dei nostri utenti.
In un sito baseWordPress , senza alcun plugin, i dati personali possono essere acquisiti e conservati attraverso la registrazione dell'utente e i commenti. Con l'installazione di ulteriori plugin, la quantità di informazioni raccolte può crescere in modo esponenziale. Ad esempio:
- Plug-in di sicurezza che utilizzano gli indirizzi IP dei visitatori per blacklist traffico.
- Plugin di analytics che monitorano il comportamento degli utenti.
- Contattare i plug-in dei moduli che salvano le voci.
- plug-in di eCommerce che memorizzano gli indirizzi di spedizione.
- Plug-in di marketing che raccolgono gli indirizzi e-mail.
- Plug-in pubblicitari e social media che si connettono a tracker di terze parti.
Questi plugin memorizzeranno i dati localmente sul server del nostro sito web, oppure si connetteranno a un servizio di terze parti ("elaboratore di dati") per memorizzare i dati.
Nella versione più recente di WordPress, abbiamo ora la possibilità di identificare una pagina di Informativa sulla privacy. Questa è la pagina dove riveleremo tutti i dati che stiamo raccogliendo; come li stiamo usando; con chi sono condivisi i dati (se applicabile); e il processo per gli utenti di richiedere modifiche, esportazioni o cancellazione dei dati.
Nella versione più recente WordPress sono inclusi anche due nuovi strumenti per soddisfare le richieste di esportazione ed eliminazione dei dati. Per impostazione predefinita questi strumenti influiscono solo sui dati raccolti dal WordPress software di base, come gli account utente e i commentatori. Altri plugin intervengono per rispondere alle richieste di dati per servizi di terze parti, per l'autogestione dei dati e per aiutare con le notifiche di consenso. Daremo un'occhiata a questi strumenti in un attimo.
Nel frattempo, il tuo takeaway è questo: Crea la tua pagina Privacy Policy. Di' ai tuoi utenti esattamente cosa stai facendo con i loro dati. E dare loro un modo per inviare richieste di dati. Un modulo di contatto semplice va bene per cominciare.
WordPress Plugins GDPR
forma alternativa britannica di "all right". Parliamo dei plugin GDPR che possono aiutarci.
GDPR è stato sviluppato qui a Toronto dal team di Trew Knowledge. È un plugin abbastanza completo. Fornisce la gestione del consenso; gestione delle preferenze di privacy front-end; doppio consenso esplicito e-mail per il diritto di cancellazione; riassegnazione dei dati utente; ricerca back-end e amministrazione; registrazione; tracciamento della telemetria; e altro ancora. E 'ben documentato e si sente come un'estensione del nucleo WP.
Un altro popolare plugin GDPR, anche se non così ben documentato, e supporta WordPress solo core, commenti, WooCommerce, Gravity Forms e Contact Form 7 out of the box. La roadmap non copre nulla oltre il 3 giugno, quindi è difficile sapere quali siano i loro piani per la compatibilità futura. Inoltre, sembra molto simile a un plugin imbullonato.
Privacy WP adotta un approccio diverso. Invece di gestire i dati memorizzati sul server, Privacy WP integra gli strumenti integrati per l'esportazione/cancellazione della privacy con i dati memorizzati su provider di terze parti (i processori di dati trattati in precedenza). Dai un'occhiata al post di annuncio di Scott Deluzio.
Cookiebot non è un WordPress plugin, ma lo vedo apparire su altri siti web come una soluzione di drop-in per gestire il consenso GDPR. Esegue una scansione del sito per verificare la presenza di eventuali cookie e gestisce i controlli dei permessi. Hanno un piano gratuito che è adatto a siti di piccole dimensioni (sotto le 100 pagine), ma il prezzo sale rapidamente da lì.
Lettura correlata
Questo meetup non sarebbe stato possibile senza appoggiarsi alle seguenti risorse:
Regolamento generale sulla protezione dei dati (Wikipedia)
Che cos'è il GDPR? La guida sommaria alla conformità al GDPR nel Regno Unito (WIRED)
Protezione dei dati nell'UE (Commissione europea)
Guida al regolamento generale sulla protezione dei dati (GDPR) (ICO)
Preparazione per il GDPR: 12 passi da fare ora (ICO)
GDPR per i marketer canadesi: si applica? (Arte e Scienza)
Best practice di email marketing per CASL & GDPR (Art & Science)
Il Personal Information Protection and Electronic Documents Act (PIPEDA)
***
Hai domande o commenti su questo meetup? Fatecelo sapere nella pagina dell'evento, nel nostro gruppo Facebooko lasciare un commento qui sotto.
È stato fantastico Andy.
Come promesso, ecco il link alle risorse della Digital Analytics Association. Ho partecipato al workshop ospitato nel loro capitolo di Toronto. E, naturalmente, gli analisti sono abbastanza preoccupati per il GDPR perché stanno effettivamente gestendo i dati!
https://community.digitalanalyticsassociation.org/blogs/marilee-yorchak/2018/05/29/gdpr-daa-resources-for-you
Grazie Heather!
Ciao Andy, grazie per aver menzionato Cookiebot. Abbiamo un wordpress plugin - vedi: https://wordpress.org/plugins/cookiebot/. Tuttavia, imposta solo la casella di consenso. Devi taggare manualmente tutti i tuoi cookie per assicurarti di essere conforme.