WordPress 周末。你的网站上的GDPR

充分披露: 以下任何一项都不是法律意见。这是为了在我们的社区内引发关于 GDPR 影响的对话。

什么是 GDPR？

GDPR ("一般数据保护条例") 于5月25日在欧盟启动。这是一项旨在通过规范任何被认为是私人或个人身份的数据的处理、传输和存储来保护欧盟公民的法律。根据欧盟法律, 保护个人数据被视为一项基本权利。

欧洲公民访问的任何公司或公司财产 (如网站) 均归 GDPR 管辖。请允许我再次强调这一点:一位欧洲公民访问.他们身体上是否在欧洲并不重要。因此, 如果欧盟公民从巴里访问你的网站, 封锁来自欧洲的游客对你没有任何好处。

对不遵守行为的处罚很严厉: 高达 2 000万欧元 (约 3, 06亿加元), 占全球收入的4%。可以肯定地说, 这意在给全球企业施压, 要求它们步调一致。但俗话说, 安全总比遗憾好。

围绕执法和遵守的许多问题都是可以解释的。我们不会在这里挖掘他们, 因为这超出了我们的会议范围, 更重要的是, 我们不是法律专业人士。但我们看到的是, 世界各地的组织都采取措施, 使其符合 GDPR 的要求。

提示: 这就是那些 "我们更新了我们的隐私政策" 电子邮件的内容。

合规性很难确定。官方文本是神秘的, 难以理解。快速搜索 GDPR, 你会发现数千万条博客文章, 清单, 摘要等从律师事务所和顾问谁出现, 以解决混乱。

尽管存在模糊之处, 但 g d p r 背后的整体精神和意图是一件好事。我们的个人信息分布在整个网络上的应用程序、设备和服务器。GDPR 建立了一个框架来指导如何获取、存储、移动和管理这些信息。

GDPR 的快速开始

英国信息专员办公室 (ICO) 汇编一步一步快速入门指南帮助组织为 GDPR 做准备。这些步骤如下所示:

1. 认识到法律正在发生变化, 法律的意义及其对组织的影响.我们已经讨论了这一点的要点。GDPR 是一件大事, 影响着全球的组织。

2. 记录您已经拥有的个人数据、数据的来源以及与谁共享的数据.执行信息审核可能会有所帮助。这也可能是将您的信息整合到单个位置 (如 CRM) 的好时机。

GDPR 要求您维护处理活动的记录。

3. 查看和更新您的隐私政策和任何隐私声明.同样, 这也是那些 "我们更新了我们的隐私政策" 电子邮件的目的。

4.检查、更新和记录你处理个人数据的程序。文件，即使在一个小组织内，也是非常有益的。因此，如果你在小企业工作或与小企业合作，他们还没有团队知识库，现在是创建一个的好时机。它可以像Google Docs文件夹一样简单，也可以像一个自定义WordPress 网站一样复杂。

5. 及时检查、更新和记录处理数据请求的过程.要求必须在一个月内免费满足, 但如果要求过高或毫无根据, 可以拒绝或收取费用。同样, 这也是你应该在内部团队知识库中涵盖的--当有人提交请求时, 你会怎么做？

6. 记录您处理个人数据的方式和原因.换句话说, 你应该有一个合法的理由来收集你所要求的数据。这是团队知识库中需要涵盖的另一点, 因此每个人都被告知。

7. 查看和更新您寻求、记录和管理同意的方式.如果现有同意不符合 GDPR, 请刷新这些同意。相关内容: 收集同意的详细指南 (通过 ICO)

8. 确定您是否需要验证用户年龄, 如果需要, 如果需要, 如果处理属于未成年人的个人数据, 您将如何获得父母或监护人的同意.如果你正在建立一个以青春为预期受众的网站 (想想 1 6岁及以下的孩子), 这可能会适用于你。

9. 确保您有文件记录的过程来检测、报告和调查数据泄露情况.这也是一项要求, 根据加拿大的 PIPEDA 立法, 以及要添加到团队知识库中的其他内容。

10. 审查和实施隐私影响评估."在数据处理可能对个人造成高风险的情况下, 需要 DPIA。如果您正在与较大的组织合作或处理敏感数据, 查看 Dpia 的 ICO 指南.

11. 指定组织中的某人负责遵守规定.与 Dpia 一样, 拥有数据保护干事对于处理大量个人数据的大型组织或处理医疗保健信息等敏感数据的组织至关重要。

12. 如果本组织在多个欧盟成员国运作, 则必须有一个监督一级的当局负责本组织的所有数据处理.基本上, "责任就在这里"--他们负责组织如何处理个人数据。

这是一个很大的, 即使是快速入门指南, 所以要进一步总结它:

了解 GDPR 的范围和影响。
对您已有的个人数据进行审核。
更新您的隐私政策和隐私声明。
更新和记录您处理个人数据的程序。
有一个负责管理数据隐私的点人。

现在让我们来了解一下我们在网上所做工作的实际影响。

(非常) 关于网站的 GDPR 的高级别概述

一方面你有一个网站的业务。他们利用该网站展示自己的服务, 分享更新和公告, 并通过联系表格接受询问。

在另一边, 你有网站的用户。他们去网站了解业务, 阅读信息, 甚至可能联系。

该企业在他们的网站上使用一些第三方工具。他们有网络分析;实时聊天;电子邮件捕获他们的通讯;和跟踪广告。

在表单和第三方工具之间, 企业可以从用户那里收集大量的个人数据。但在他们收集之前, 他们需要得到同意。这就是隐私政策的来龙去脉。它告诉用户正在收集哪些数据, 与谁共享 (存储在哪里), 以及如何使用这些数据。

在 GDPR 下, 业务被视为数据控制器。如果用户想要进行更改、导出或擦除其个人数据, 企业有责任为用户提供发出该请求的方式。企业还负责及时满足这一要求。

第三方工具被视为数据处理器。它们存储数据, 但数据控制器 (业务) 负责管理数据。处理器还将为控制器 (业务) 提供在需要时修改、导出和擦除数据的方法。

此外, 通过使用隐私声明和权限控制, 网站允许用户提供和更改其同意。

作为WordPress 用户，我们该如何应用呢？

当我们用 WordPress，建立网站时，我们正在建立新的应用程序，在那里可以存储人们的个人数据。而作为这些应用程序的开发者或所有者，我们有责任保护用户的数据。

在一个基本WordPress 的网站中，在没有任何插件的情况下，可以通过用户注册和评论来获取和存储个人数据。随着我们安装额外的插件，我们收集的信息量会成倍增长。比如说

使用访问者 Ip 将流量列入黑名单的安全插件。
跟踪用户行为的分析插件。
保存条目的联系人窗体插件。
存储运输地址的电子商务插件。
收集电子邮件地址的营销插件。
连接到第三方跟踪器的广告和社交媒体插件。

这些插件要么将数据本地存储在我们网站的服务器上, 要么连接到第三方服务 ("数据处理器") 来存储数据。

在最新的版本中WordPress，我们现在能够识别一个隐私政策页面。在这个页面上，我们将披露我们正在收集的所有数据；我们如何使用这些数据；数据与谁共享（如果适用）；以及用户请求修改、导出或删除数据的流程。

最新版本中还包括两个新的工具来满足数据导出和删除请求.默认情况下，这些工具只影响核心WordPress 软件收集的数据，如用户账户和评论者。其他插件正在介入，以解决第三方服务的数据请求，数据自我管理，并帮助同意通知。我们一会儿就会看一下这些。

同时, 您的外卖是: 创建您的隐私政策页面。准确地告诉您的用户您正在使用他们的数据执行哪些操作。并为他们提供提交数据请求的方式。一个简单的联系表格可以开始。

WordPress GDPR插件

好。让我们来谈谈 GDPR 插件, 可以帮助我们。

GDPR

GDPR 是由 Trew 知识公司的团队在多伦多开发的。这是一个相当全面的插件。它提供同意管理;前端隐私偏好管理;双重选择加入电子邮件的权利擦除;重新分配用户数据;后端查找 & administration;日志记录;遥测跟踪;和更多。它有很好的文档记录, 感觉就像 WP 核心的延伸。

WP GDPR 合规性

另一个流行的GDPR插件，虽然没有那么好的文档，它只支持WordPress 核心、评论、WooCommerce、Gravity Forms和Contact Form 7开箱即用。路线图并没有涵盖6月3日以后的任何东西, 所以很难知道他们对未来的兼容性有什么计划.它也感觉很像一个螺栓连接的插件.

隐私工作方案

隐私工作方案采用不同的方法。隐私 WP 不是管理存储在服务器上的数据, 而是将内置的隐私导出工具与存储在第三方提供商 (前面介绍的数据处理器) 上的数据集成在一起。看看斯科特·德鲁齐奥的公告帖子。

Cookiebot

Cookiebot不是一个WordPress 插件，但我看到它出现在越来越多的网站上，作为处理GDPR同意的一个插入式解决方案。它可以扫描网站是否存在任何cookie，并处理权限控制。他们有一个免费的计划，适合小型网站（100页以下），但从那里开始，价格迅速上升。

WordPress 周末：您网站上的GDPR

什么是 GDPR？

GDPR 的快速开始

(非常) 关于网站的 GDPR 的高级别概述

作为WordPress 用户，我们该如何应用呢？

WordPress GDPR插件

相关阅读

3 thoughts on "WordPress Weekend:你的网站上的GDPR"