WordPress Выходные: GDPR на вашем сайте

Полное раскрытие информации, ни одно из следующих юридических консультаций. Это призвано подсказать разговор в нашем сообществе о последствиях GDPR.

Что такое GDPR?

GDPR ("Общее положение о защите данных") стартовал 25 мая в Европейском Союзе. Это закон, предназначенный для защиты граждан ЕС путем регулирования обработки, передачи и хранения любых данных, которые считаются частными или лично идентифицируемыми. Защита персональных данных считается одним из основных прав в соответствии с законодательством ЕС.

Любая компания или компания собственности - как веб-сайт - доступ к европейскому гражданину подпадает под юрисдикцию GDPR. Позвольте мне еще раз подчеркнуть, что еще раз, доступ к европейскому гражданину. Это не имеет значения, если они физически в Европе или нет. Таким образом, блокирование посетителей из Европы не будет вам никакой пользы, если гражданин ЕС посещает ваш сайт из Барри.

Штрафы за несоблюдение являются крутыми, до 20 миллионов евро (30,6 миллиона канадских долларов) или 4% от глобальной выручки. Можно с уверенностью сказать, что это призвано оказать давление на глобальные корпорации, чтобы встать в очередь. Но, как говорится, лучше быть в безопасности, чем сожалеть.

Многие вопросы, которые связаны с обеспечением соблюдения и соблюдением, могут быть устными. Мы не будем копаться в них здесь, потому что это выходит за рамки нашей встречи и, что более важно, мы не юристы. Но мы видим, что организации по всему миру предпринимают шаги, чтобы стать совместимыми с GDPR.

Подсказка, это то, что эти "мы обновили нашу политику конфиденциальности" письма были о.

Соответствие трудно определить. Официальный текст загадочный и трудно понять. Сделайте быстрый поиск Google для GDPR и вы найдете 10 миллионов столбов блога, контрольных списков, резюме, etc. от юридических фирм и консультантов которые возникли вверх для того чтобы адресовать запутанность.

Несмотря на двусмысленность, общий дух и намерения, лежащие в основе GDPR, это хорошо. Наша личная информация распространяется по всему Интернету через приложения, устройства и серверы. GDPR создает рамки для руководства тем, как эта информация приобретается, хранится, перемещается и управляется.

Быстрое начало GDPR

Управление Комиссара по информации Великобритании (ICO) составило Двенадцатиступенчатый Быстрый Запуск руководство чтобы помочь организациям подготовиться к GDPR. Шаги следующие действия таковы.

1. Признать, что закон меняется, значение его, и влияние на вашу организацию. Мы уже рассмотрели суть этого. GDPR является большим делом, затрагивающих организации во всем мире.

2. Задокументируйте, какие личные данные у вас уже есть, откуда они взялись и с кем вы делитесь ими. Может быть полезно провести информационный аудит. Это также может быть хорошее время для консолидации вашей информации в одном месте, как CRM.

GDPR требует от вас вести учет вашей перерабатывающей деятельности.

3. Просмотрите и обновите свою политику конфиденциальности и любые уведомления о конфиденциальности. Опять же, это то, что эти "мы обновили нашу политику конфиденциальности" письма были для.

4. Проверьте, обновите и документируйте ваши процедуры работы с персональными данными. Документация, даже внутри небольшой организации, приносит огромную пользу. Поэтому, если Вы работаете в малом бизнесе или с ним, и у них еще нет базы знаний команды, сейчас самое время ее создать. Она может быть как простой, как папка Google Docs, так и сложной, как пользовательский WordPress сайт.

5. Проверьте, обновите и задокументируйте процедуры своевременного обработки запросов данных. Запросы должны быть выполнены без платы в течение месяца, но они могут быть отклонены или взимается плата, если они чрезмерны или необоснованными. Опять же, это то, что вы должны охватывать во внутренней базе знаний команды - что вы делаете, когда кто-то подает запрос?

6. Задокументируйте, как и почему вы обрабатываете личные данные, которые вы делаете. Другими словами, у вас должна быть законная причина для сбора запрашиваемых данных. Это еще один момент для покрытия в базе знаний команды, так что все информированы.

7. Просмотрите и обновите, как вы ищете, записываете и управляете согласием. Освежить существующее согласие, если они не соответствуют GDPR. Связанные с этим вопросы, связанные с получением подробного руководства по сбору согласия (через ICO)

8. Определите, если вам нужно проверить возраст пользователя, и если да, то как вы получите согласие родителей или опекунов при обработке персональных данных, принадлежащих несовершеннолетним. Если вы строите сайт с молодежью в качестве предполагаемой аудитории (думаю, дети 16 и младше), это, вероятно, относится к вам.

9. Убедитесь, что вы задокументировали процессы для обнаружения, отчета и расследования нарушений данных. Это также является требованием в соответствии с Законодательство Канады по ППЕИДА, и что-то еще, чтобы добавить к вашей команде базы знаний.

10. Обзор и внедрение оценки воздействия на конфиденциальность. "DPIA требуется в ситуациях, когда обработка данных может привести к высокому риску для физических лиц". Если вы работаете с более крупной организацией или имеете дело с конфиденциальными данными, проверить руководство ICO по DPIAs.

11. Назначить кого-либо в организации ответственным за соблюдение. Как и в делах DPIAs, наличие сотрудника по защите данных имеет решающее значение для крупных организаций, которые имеют дело с большим объемом персональных данных, или организаций, которые обрабатывают конфиденциальные данные, такие как медицинская информация.

12. Если организация действует в нескольких государствах-членах ЕС, то за обработку всех данных в организации должен отвечать орган наблюдательного уровня. В принципе, "доллар останавливается здесь" - они отвечают за то, как организация обрабатывает личные данные.

Это много, даже для руководства Быстрый старт, так что обобщить его еще больше,

Получите представление о масштабах и воздействии GDPR.
Провести аудит уже хранятих личных данных.
Обновите свои уведомления о политике конфиденциальности и конфиденциальности.
Обновление и документирование процедур работы с персональными данными.
Иметь точечного лица, ответственного за управление конфиденциальностью данных.

Теперь давайте рассмотрим практические последствия для работы, которую мы делаем в Интернете.

(очень) обзор GDPR высокого уровня по отношению к веб-сайтам

С одной стороны у вас есть бизнес с веб-сайта. Они используют этот веб-сайт, чтобы продемонстрировать свои услуги, обмениваться обновлениями и объявлениями, и получать запросы через контактные формы.

С другой стороны у вас есть пользователи веб-сайта. Они идут на сайт, чтобы узнать о бизнесе, читать информацию, и, возможно, даже войти в контакт.

Бизнес использует несколько инструментов третьей стороны на своем сайте. Они имеют веб-аналитики; живой чат; захват электронной почты для своих информационных бюллетеней; и отслеживание рекламы.

Между формами и инструментами третьей стороны, бизнес может собрать много личных данных от своих пользователей. Но прежде чем они соберут его, они должны получить согласие. Это где политика конфиденциальности приходит дюйма Он сообщает пользователям, какие данные собираются, с кем они хранятся (где они хранятся) и как они используются.

В соответствии с GDPR, бизнес считается контроллером данных. Если пользователь хочет внести изменения, экспортировать или удалять свои личные данные, компания несет ответственность за предоставление пользователю способа сделать этот запрос. Предприятие также несет ответственность за своевременное выполнение этого запроса.

Инструменты третьей стороны считаются процессорами данных. Они хранят данные, но контроллер данных (бизнес) отвечает за управление ими. Процессоры также предоставят контроллеру (бизнесу) средства для изменения, экспорта и удаления данных в случае необходимости.

Кроме того, с помощью уведомлений о конфиденциальности и элементов управления разрешениявеб веб-сайт позволяет пользователю предоставлять и изменять свое согласие.

Как нам применить это в качестве WordPress пользователей?

Когда мы создаем веб-сайтыWordPress, мы устанавливаем новые приложения, в которых могут храниться личные данные людей. И как разработчик или владелец этих приложений, мы несем ответственность за защиту данных наших пользователей.

На базовом WordPress сайте, без каких-либо плагинов, личные данные могут быть получены и сохранены посредством регистрации пользователей и комментариев. По мере установки дополнительных плагинов, объем собираемой информации может расти в геометрической прогрессии. Например:

Плагины безопасности, которые используют i-провайдеров для черных списков трафика.
Аналитические плагины, отслеживающие поведение пользователей.
Контактная форма плагинов, которые сохраняют записи.
плагины электронной коммерции, которые хранят адреса доставки.
Маркетинговые плагины, которые собирают адреса электронной почты.
Рекламные и социальные медиа плагины, которые подключаются к сторонним трекерам.

Эти плагины будут либо хранить данные локально на сервере нашего веб-сайта, либо они будут подключаться к сторонней службе ("обработчик данных") для хранения данных.

В новейшей версииWordPress, мы теперь имеем возможность идентифицировать страницу Политика конфиденциальности. Это страница, на которой мы раскрываем все данные, которые собираем; как мы их используем; с кем эти данные предоставляются (если применимо); а также процесс запроса пользователями изменений, экспорта или удаления данных.

Также в новейшую версию WordPress включены два новых инструмента для выполнения запросов на экспорт и удаление данных. По умолчанию эти инструменты влияют только на данные, собранные основным WordPress программным обеспечением, такие как учетные записи пользователей и комментарии. Другие плагины вмешиваются для обработки запросов на данные для сторонних служб, самообслуживания данных, а также для помощи с уведомлениями о согласии. Мы рассмотрим их через минуту.

В то же время, ваш вынос заключается в этом вопросе, создайте свою страницу политики конфиденциальности. Сообщите пользователям, что именно вы делаете с их данными. И дать им способ отправлять запросы данных. Простая форма контакта хорошо, чтобы начать с.

WordPress плагины GDPR

Все в порядке. Давайте поговорим о плагинах GDPR, которые могут нам помочь.

GDPR

GDPR был разработан здесь, в Торонто, командой Trew Knowledge. Это довольно полный плагин. Она обеспечивает управление согласием; фронт-энд управления предпочтениями конфиденциальности; двойной выбор в письмах за право на стирание; переназначение пользовательских данных; бэк-энд поиск и администрирование; лесозаготовки; телеметрическое слежение; и многое другое. Это хорошо документированы и чувствует, как расширение WP ядро.

Соответствие требованиям WP GDPR

Другой популярный плагин GDPR, хотя и не почти так хорошо документированный, поддерживает только WordPress ядро, комментарии, WooCommerce, гравитационные формы и контактную форму 7 из коробки. Дорожная карта не покрывает ничего после 3 июня, так что трудно знать, каковы их планы на будущую совместимость. Это также очень похоже на прикрученный плагин.

Конфиденциальность WP

Конфиденциальность WP использует другой подход. Вместо того, чтобы управлять данными, хранящимися на вашем сервере, Privacy WP интегрирует встроенные инструменты экспорта/erasure конфиденциальности с данными, хранящимися на поставщиках сторон (обработчики данных, охватываемые ранее). Заканчивать связь столб объявления от Scott Deluzio.

Cookiebot

Cookiebot не является WordPress плагином, но я вижу, что он появляется на большем количестве веб-сайтов как решение для обработки согласия GDPR. Он сканирует сайт на наличие любых куки-файлов и управляет контролем разрешений. У них есть бесплатный план, который подходит для небольших сайтов (до 100 страниц), но цена быстро растет оттуда.