WordPress与GDPR合规性

您可能听说过网络上正在讨论的“GDPR”一词。这仍然是一个非常热门的话题,尤其是在新闻中发生的所有数据泄露和安全问题。简而言之,GDPR是一项旨在让公民重新控制其个人数据的隐私法。毫无疑问,GDPR正在影响整个互联网处理数据的方式。可怕的是截止日期是去年(2018年5月25日),许多关于GDPR的问题仍然困扰着人们:

  1. GDPR到底是什么?通俗地说。
  2. GDPR会影响我吗?
  3. 为了遵守GDPR,我需要做什么?

许多人倾向于推迟他们不理解的事情。税收就是一个很好的例子。对于我们很多人来说,GDPR在我们的清单上只是一个较低的优先级。但是GDPR的最后期限已经过去了,您真的应该花一些时间来确定您是否需要更改您的业务和/或网站的运营方式。如果你不这样做,可能会涉及巨额罚款。

不用担心,我们将尝试在下面解释您需要了解的有关GDPR的所有信息,以及您可以做些什么准备。但我们不是律师,所以我们会尽量不让您厌烦所有的法律细节。

请注意,这篇文章仅供参考,不应被视为法律建议。

  1. 通俗地说什么是GDPR?
  2. GDPR影响谁?
  3. 不遵守GDPR的后果
  4. 如何使您的WordPress网站符合GDPR
  5. 处理的合法性
  6. 有用的GDPR WordPress插件
  7. GDPR审查

通俗地说,什么是GDPR?

GDPR代表通用数据保护条例。这是欧盟委员会于2016年4月14日批准的隐私法,旨在保护所有欧盟公民(28个成员国)及其个人数据的权利。这取代了1995年10月24日的95/46/EC数据保护指令,并且比2011年的Cookie法更广泛(很快将被与GDPR并驾齐驱的新欧盟电子隐私法规取代)。该法规的推出计划定为两年,截止日期为2018年5月25日。

欧盟通用数据保护条例 (GDPR) 是20年来数据隐私法规中最重要的变化…… 欧盟GDPR

如果您想阅读法规的大量官方PDF(11章,99篇文章),我们建议您查看gdpr-info.eu,因为它们的所有内容都在一个排列整齐的网站中。

有几个关键术语可以处理:

  • 控制者确定处理个人数据的目的和方式。
  • 处理者负责代表控制者处理个人数据。
  • 个人数据是可用于识别个人身份的任何信息,甚至可以通过将该信息与其他信息相结合来间接识别个人身份。

什么是处理?

如果以任何方式访问、存储或使用个人数据,则视为处理。GDPR对处理的完整定义包括对个人数据采取的所有以下构成数据处理的行动:收集、记录、组织、结构化、存储、改编、更改、检索、咨询、使用、传输、披露、传播、组合、对齐、限制、擦除或破坏。

GDPR的基本原则

GDPR下适用于控制者的七项基本原则:

  1. 数据已得到合法、公平和透明的处理。 要求给予同意
  2. 必须出于特定、明确和合法的目的收集个人数据,并且只能用于该目的。
  3. 个人数据必须充分、相关,并将收集限制在必要的范围内。
  4. 个人数据必须准确并保持最新。
  5. 个人数据只能以可识别的形式保存尽可能短的时间。
  6. 个人数据的处理方式应确保数据的安全。
  7. 控制者有责任证明遵守这些原则。

GDPR下的个人权利

受GDPR保护的个人(欧盟公民)在GDPR下拥有处理者必须准备维护的七项权利:

  1. 知情权: 赋予一个人知道正在存储哪些关于他们的信息的权利。
  2. 访问权和可移植性: 一个人可以随时以易于下载的格式请求他们的信息,以及使用或将数据传输到其他服务。(第20条
  3. 整改权。
  4. 被遗忘的权利:允许一个人要求完全删除他们的个人信息(除非有正当理由,例如银行贷款)。(第17条)。
  5. 限制处理的权利。
  6. 反对的权利。
  7. 在进行自动决策和分析时获得公平待遇的权利。

其他GDPR说明

不幸的是,当涉及到这样的事情时,并不是所有的事情都是黑白的,所以这里有一些额外的事情需要记住:

  • 适用于任何个人数据(PII – 与某人相关或可用于识别某人的任何数据)。

个人数据是指与已识别或可识别的自然人(数据主体)有关的任何信息;可识别的自然人是可以直接或间接识别的人,特别是通过参考诸如姓名、社会保险号、位置数据、在线标识符(IP地址或电子邮件地址)或一个或多个因素等标识符特定于该自然人的身体、生理、遗传、心理、经济、文化或社会身份;它还控制个人信息可以做什么(第4 条)。

  • 适用于任何敏感的个人数据 ,例如种族、民族、性取向和健康状况。(Recital 51, 第9条
  • 设计和默认隐私:确保个人信息得到适当保护。新系统必须设计有保护措施,并且对数据的访问受到严格控制,并且仅在需要时才提供(第25条)。
  • 如果数据丢失、被盗或未经许可被访问,则必须在72小时内通知当局(第33条)以及数据被访问者(第34条)。
  • 数据只能用于收集时给出的原因,并在不再需要后安全删除。
  • 允许国家当局对违反规定的公司处以罚款。
  • 为在线服务处理16岁以下儿童的个人数据需要家长同意;可能因成员国而异,但不得低于13岁(第8条)。

GDPR影响谁?

虽然新的GDPR法规旨在保护欧盟公民的权利,但它从本质上影响了网络上的每个人。没错,大家!这 与企业在哪里建立或在线活动发生在哪里无关。如果您的网站正在处理或收集来自欧盟公民的数据,那么您必须遵守GDPR规定。

GDPR影响每个人

GDPR影响每个人

以下是一些受影响的位于欧盟以外的网站示例:

  • 一个WordPress社区站点,用于收集每个用户配置文件的个人信息。
  • 一个WordPress主题商店,让客户注册帐户以购买主题或插件(销售和计费数据)。
  • 具有时事通讯订阅小部件或允许访问者发表评论的WordPress博客。
  • 在线销售产品的电子商务(WooCommerce或Easy Digital Downloads)商店。
  • 一个使用分析软件的WordPress网站。

您可能会看到我们的目标。除非您明确阻止所有欧盟流量(大多数人可能没有),否则您的网站属于GDPR法规。

如果您想知道您的公司是否已经符合GDPR,Mailjet的团队创建了一个方便的GDPR检测。我们还建议查看GDPR清单

不遵守GDPR的后果

根据data.verifiedjoseph的数据,截至2019年3月20日,GDPR生效后,欧盟仍有1,129个网站无法访问。其中许多包括大型新闻机构。

为什么?因为他们无法遵守GDPR的技术实施,因此不想面临罚款。因此,他们只是完全阻止了来自欧盟的流量。

如果您的企业不遵守GDPR,您可能会受到高达全球年度营业额4%的处罚或最高2000万欧元的罚款(两者中的较高者),每次违规。还有一种分层的罚款方法。例如,一家公司可能会因未按顺序整理记录、未将违规行为通知监管机构和数据主体或未进行影响评估而被处以2%的罚款。(第83条

2019年1月,法国数据隐私监管机构根据GDPR对谷歌处以5700万美元的罚款。截至2019年2月,已报告超过59,000起数据泄露事件和91起罚款。

GDPR实施1年后的疯狂统计数据:* 约6000万美元的罚款* 美国公司的合规成本估计为150美元(罚款金额的2500 倍!)* 小公司的损失远大于大公司。GOOG居然有好处!* 投资于欧盟初创企业的VC美元大幅下降

监管成功!

— Leo Polovets (@lpolovets) 2019年5月25日

 

查看隐私事务中的GDPR罚款跟踪器以获取最新统计数据。不用说,如果您是小型电子商务商店或WordPress开发人员,这些罚款可能是毁灭性的!

如何使您的WordPress网站符合GDPR

现在,您可能都在阅读这篇博文,这就是如何使您的WordPress网站符合GDPR的原因。不幸的是,与我们的普通教程不同,我们无法为您提供简单的分步教程,因为每个站点的合规性各不相同。但这里有一些建议可以让您走上正确的道路,以及需要注意的其他事项。

1.聘请律师

如果您对GDPR合规性有任何疑虑(大多数人可能会这样做),我们始终建议您聘请律师,即使只是暂时的。这是我们强烈敦促您不要尝试自行解决的领域之一。律师可以为您提供专门针对您的情况的法律建议。如果你弄错了,可能会导致巨额罚款。

2. 检查您的数据收集和处理工作流程

我们建议您浏览整个WordPress网站,确定数据收集和处理的位置、信息的存储位置以及存储时间。这包括以下内容:

  • 在电子商务结帐页面或WordPress注册页面上收集个人信息。
  • IP地址、cookie标识符和GPS位置。
  • Google Analytics、Hotjar等各种服务。

在确定所有这些之后,您需要确认您正在请求访问者的许可,并披露收集的数据是如何使用的。

3. GDPR项目已并入WordPress Core for Developers

Dejlig Lama和Peter Suhm最初开始致力于一个名为GDPR for WordPress的项目。这将为插件开发人员提供一个简单的解决方案来验证他们的插件,并为网站管理员提供概述和工具来处理与GDPR兼容所涉及的管理任务。然而,好消息是它现在已经成为WordPress核心的一部分

要查看已完成的工作,您可以查看GDPR Trac Tickets以及GDPR合规性路线图。这对WordPress用户和对开发人员一样重要,因为GDPR合规性是一条双向的道路。WordPress用户需要在他们已经使用的插件中内置新功能,例如复选框、提示等,以确保它们在收集数据时合规。

现在是使用GDPR更新您的条款和条件页面、隐私页面、附属条款以及您可能拥有的任何其他法律文件或协议的时候了。您不能再拥有没有复选框的表单,除非它们都在合法处理之下。换句话说,必须有一种方式让用户明确同意。仅仅在底部的链接中添加术语并假设用户会阅读它们的日子已经一去不复返了。

同意条件已得到加强,公司将不再能够使用充满法律术语的冗长难以辨认的条款和条件,因为同意请求必须以易于理解且易于访问的形式给出,并且数据处理的目的附于同意。同意必须清晰明了,与其他事项有区别,并使用清晰明了的语言以易于理解和易于理解的形式提供。撤回同意必须像给予同意一样容易。(来源:欧盟GDPR

同样,这是我们建议聘请律师的领域。如果您只是运行一个简单的博客,至少使用iubenda之类的工具 或类似的工具来生成更强大的隐私政策。

WordPress 4.9.6中添加了新的隐私页面功能。您现在可以在您的网站上指定一个隐私页面,它将显示在您的登录和注册页面上。我们还建议将其放在页脚中。

WordPress隐私页面

WordPress隐私页面

这是现在由WordPress生成的默认隐私政策页面的示例。这应该用作模板和/或起点,它不会包含您网站所需的一切。

WordPress中的隐私政策页面示例

WordPress中的隐私政策页面示例

5. 提供数据可移植性

根据Art. 20,任何收集数据的企业还必须为用户提供下载数据并将数据带到/转移到其他地方的能力。

数据主体有权以结构化、常用和机器可读的格式接收他或她提供给控制者的与他或她有关的个人数据,并有权将这些数据传输给另一个控制者,而无需向其提供个人数据的控制者的阻碍。

确保您有一个适当的系统,如果用户请求(.csv、.xml 等),则可以为用户提供可下载的数据文件。如果您目前无法提供此服务,您可能需要聘请WordPress开发人员。

WordPress 4.9.6中添加了有关数据处理的新功能。网站所有者现在可以导出包含用户个人数据的ZIP文件,也可以删除用户的个人数据。他们还可以使用一种新的基于电子邮件的方法来确认个人数据请求。

WordPress导出个人数据

WordPress导出个人数据

6. 隐私保护框架下的自我认证

由于许多网站从全球收集数据并且对个人数据的限制更加严格,许多公司现在都在欧盟-美国和瑞士-美国隐私保护框架下进行认证。这些是由美国商务部、欧盟委员会和瑞士政府设计的,旨在为大西洋两岸的公司提供一种机制,以在将个人数据从欧盟和瑞士传输到美国时遵守数据保护要求支持跨大西洋贸易。

阅读更多关于隐私盾下自我认证的好处。

7. 加密您的数据/HTTPS

在加密方面,有不同的部分:网络流量加密(HTTPS)数据存储位置加密。无论GDPR如何,我们始终建议您加密您的网络流量。迁移到HTTPS的好处远大于弊,这就是网络的发展方向。

术语加密本身实际上在GDPR中只提到过几次,并不一定是强制性的。

为了维护安全并防止处理违反本法规,控制者或处理者应评估处理过程中固有的风险,并采取措施降低这些风险,例如加密Recital 83)。

因此,虽然看起来加密在法律上不是遵守GDPR的要求,但强烈建议您这样做,因为您对数据负责。阅读有关GDPR加密的更多信息。

8. 检查您的WordPress主题、插件、服务、API

您安装的任何收集或存储个人数据的WordPress插件或主题特定功能都必须更新,您的网站才能完全符合GDPR投诉。如果您是WordPress开发人员,希望您已经为用户进行了GDPR更改。我们将在下面包含一些流行的插件和配置,以及它们如何处理GDPR的直接链接。

联系表格插件

遵守GDPR的最简单方法之一是在您的联系表单中添加一个必需的复选框,允许用户同意收集和存储他们提交的数据。然而,这里重要的部分是“最简单的”。并非所有联系表格都必须获得同意。这可能属于所谓的处理合法性。

Contact Form 7 GDPR

Contact Form 7 GDPR

查看其他WordPress联系表单插件

评论插件

甚至评论插件也在收集个人信息。因此,就像联系表格一样,确保您合规的最简单方法之一是添加同意复选框。但同样,这可能属于所谓的处理合法性。

最近在最新的WordPress 4.9.6隐私和维护版本中添加了一个同意复选框(如下所示)。

WordPress原生评论GDPR

WordPress原生评论GDPR

营销插件和服务

从邮件订阅插件、调查插件、测验插件、推送通知插件到您的电子邮件营销软件,一切都会受到GDPR的影响。

分析、跟踪、再营销

任何收集数据的第三方服务或插件。这包括诸如谷歌分析、A/B测试插件、热图服务、再营销平台等。关于谷歌分析本身,可能建议匿名IP。

在Google Analytics中匿名 IP

在Google Analytics中匿名 IP

截至4月,Google为Google Analytics推出了新的数据保留设置。这些控件使您能够设置从Google Analytics的服务器中自动删除Google Analytics存储的用户级和事件级数据之前的时间量。您可以在Admin → Property →  Tracking Info → Data Retention下访问这些设置。

谷歌分析数据保留

谷歌分析数据保留

如果您只使用Google Analytics报告而不显示广告,是否需要cookie提示?这取决于。查看Jeff的这篇关于Google Analytics的GDPR合规性的精彩文章——您需要Cookie同意吗?

电子商务解决方案和支付处理器

任何类型的WordPress电子商务解决方案当然都会受到GDPR的严重影响,因为它们会收集销售数据、个人信息、用户帐户数据,并与第三方支付处理器集成。

除了上述文档之外,我们还强烈建议您查看这篇很棒的博客文章,了解12种使您的WooCommerce网站符合GDPR的方法

社区插件

除了集成的WordPress注册流程之外,社区插件、论坛插件和会员插件通常会存储其他个人信息。

第三方API

甚至第三方API也会收集数据。一个很好的例子是谷歌字体。你们中的大多数人可能都在使用Google字体,无论是嵌入到WordPress主题中还是手动添加它。您确实必须查看每个API并找出提供者正在收集的数据。在某些情况下,允许在未经同意的情况下出于合法偏见收集数据( Recital 49)。

这可能是一项繁重的工作,而且非常令人困惑,因为一些公司,甚至是谷歌,可能无法提供简单的“是”或“否”答案。查看开发人员之间关于Google字体是否符合GDPR的对话。您始终可以在自己的CDN上本地托管您的Google字体,这样就可以解决问题。

由于一些WordPress插件开发人员目前正在努力添加GDPR合规性功能,因此我们将持续更新这篇文章。或者更可怕的是,许多甚至还没有开始。如果您对正在运行的插件有疑虑,请直接与开发人员联系,了解他们计划如何处理GDPR。

处理的合法性

虽然如上所示简单地征求同意是遵守GDPR的最简单方法,但这并不是唯一的方法事实上,在某些情况下,由于被称为处理的合法性,未经同意就允许进行数据处理。这里只是几个例子:

合同必要性

如果有必要履行数据主体作为一方的合同,或者为了在签订合同之前应数据主体的要求采取措施,则允许数据处理(第6 (1) b条

合法权益

出于控制者或第三方追求的合法利益的目的,允许数据处理,除非此类利益被需要保护个人数据的数据主体的利益或基本权利和自由所凌驾,在特别是在数据主体是儿童的情况下。(第 6 (1) f 条

注意:这不适用于公共当局在执行任务时进行的处理。

如需更多示例,我们建议查看White & Case LLP关于处理的合法依据的文章

有用的GDPR WordPress插件

以下是一些有用的插件,我们还建议您查看它们可以提供帮助:

  • WP Security Audit Log:真正了解您的 WordPress 网站情况的最佳方法之一。出于安全原因,我们通常建议这样做,但它可能是查看正在收集数据的内容的绝佳方式,例如用户注册、评论、联系表单条目等。
  • WP GDPR Compliance:此插件通过提供常见提示来帮助网站和网店所有者与一些流行的插件(如Gravity Forms, Contact Form 7, WooCommerce和 WordPress原生评论)集成。WP GDPR合规性  WP GDPR合规性
  • GDPR:另一个帮助您合规的插件。具有服务条款和隐私政策注册同意管理、通过确认电子邮件删除和删除数据的权利、数据处理器设置和发布联系信息、从管理仪表板和导出访问数据的权利、cookie偏好管理等等。
  • GDPR Cookie Compliance:允许用户同意特定的cookie目的,并能够在粒度级别启用和禁用cookie。
  • iubenda Cookie Solution for GDPR:此插件是一种一体化方法,通过生成隐私政策文本、cookie横幅和cookie的阻止管理来帮助您的网站符合 GDPR。
  • Complianz GDPR:这个插件几乎可以满足GDPR合规性所需的一切!它会自动检测您是否需要cookie警告、与Google Analytics集成(您可能不需要警告)、扫描您的站点以查找cookie、能够阻止cookie、生成cookie策略等等。
  • GDPR Cookie Consent:此插件有助于在您的WordPress网站上显示cookie同意通知。只有在用户明确同意的情况下,它才允许将cookie安装在用户的浏览器上。用户也可以随时撤销他们的同意。此外,该插件还根据您网站的主题为同意栏的样式提供了多种自定义选项。

GDPR审查

超越困惑?别担心,GDPR可能会给您带来很多麻烦,而且它在个人数据收集方面是一个巨大的变化。如果您担心自己的WordPress网站,明智的做法是投资由专家进行GDPR审查,最好是仅与WordPress一起工作的专家。我们建议查看GreyCastle Security的GDPR审查

小结

正如您现在可能已经掌握的那样,GDPR非常重要!它影响了网络上几乎所有的WordPress网站。截止日期已经过去了,因此我们鼓励每个人花时间进行研究,并确保您的网站完全合规。如果你不这样做,你可能会面临一些相当高额的罚款(在面向欧盟的外贸网站尤其要注意这方面的合规性)!