GDPR и WordPress
Опубликовано: 2022-11-10GDPR расшифровывается как Общий регламент по защите данных. Это обширный регламент ЕС (Европейского Союза), который представляет собой минимальные требования для любого, кто обрабатывает данные граждан ЕС. Постановление состоит из 99 статей, разбитых на 11 глав. Хотя это может показаться пугающим, его разбор может помочь нам понять его ключевые моменты и то, как он влияет на веб-сайты WordPress.
После принятия ЕС GDPR несколько других стран и юрисдикций обновили свои законы, вдохновленные этим положением, включая Великобританию, Японию, Бразилию, Турцию и другие. Калифорния, в частности, имеет свою собственную версию под названием CCPA — Закон о конфиденциальности потребителей штата Калифорния.
В этой статье мы рассмотрим основные принципы GDPR, уделив особое внимание тому, как они связаны с защитой персональных данных.
Отказ от ответственности: эта статья не является юридической консультацией. Вы должны серьезно относиться к законам о конфиденциальности. Штрафы за нарушение правил GDPR могут быть очень суровыми и достигать 20 миллионов евро или 4% от общего дохода — в зависимости от того, какая сумма больше. Если вы сомневаетесь, обратитесь за профессиональной консультацией.
Оглавление
- 1. Введение в WordPress GDPR
- 2. Что такое персональные данные
- 3. Сбор личных данных на WordPress
- 4. GDPR и безопасность данных
- 5. Соответствует ли WordPress GDPR?
- 6. Начало работы с техническим соответствием GDPR
- 7. Плагины WordPress, которые помогут вам достичь соответствия GDPR
- 8. Часто задаваемые вопросы
Введение в WordPress GDPR
GDPR для WordPress работает так же, как GDPR для любого другого веб-сайта. Поскольку GDPR очень всеобъемлющий, то, как вы его реализуете, во многом будет зависеть от типа вашего веб-сайта WordPress. В то время как некоторые аспекты регулирования являются универсальными, другие аспекты будут зависеть от вашей реализации и бизнеса. Например, требования к веб-сайту электронной коммерции будут значительно отличаться от требований к сайту WordPress с блогом.
Четыре субъекта GDPR
Прежде чем мы начнем рассматривать основные принципы GDPR, стоит потратить несколько минут на то, чтобы понять, кто является действующими лицами. Думайте об участниках как о ролях, которые GDPR определяет как критически важные для его реализации. Есть четыре актера, о которых нам нужно знать. Понимание этих ролей поможет нам лучше понять, кто за что отвечает, и сделает понимание регулирования более доступным.
1. Субъект данных
В случае веб-сайтов WordPress субъектами данных являются посетители нашего веб-сайта из Европейского Союза. Термин субъект данных напрямую относится к лицу, которому принадлежат данные, которые мы собираем.
2. Контролер данных
Как владелец веб-сайта, который собирает данные, это вы. Контроллеры данных имеют несколько обязанностей. Мы рассмотрим их при рассмотрении семи принципов GDPR.
Как контроллер данных, вы должны быть в состоянии продемонстрировать, что вы соответствуете GDPR. Невыполнение этого требования классифицирует вас как несоответствующего во всех смыслах и целях. С этой целью полезно понимать, за что контролеры данных несут ответственность в глазах закона.
3. Обработчик данных
Обработчики данных — это люди или компании, которые обрабатывают данные от имени контроллера данных (вас).
Примечание: на данном этапе важно понимать, что GDPR рассматривает как обработку данных, поскольку лицо, которое обрабатывает данные, имеет определенные обязательства. С этой целью GDPR рассматривает любые действия, предпринимаемые с данными, как обработку данных, от простого сбора и хранения до использования, организации и любой другой формы обработки.
4. Сотрудник по защите данных (DPO)
Сотрудник по защите данных, сокращенно известный как DPO, — это человек, который берет на себя ответственность за соблюдение GDPR в отношении собранных персональных данных. Хотя не всем контролерам и обработчикам данных требуется DPO, вы всегда можете назначить его в своей организации, чтобы обеспечить соответствие GDPR.
Семь принципов GDPR
Как упоминалось ранее, в GDPR есть семь принципов, регулирующих обработку персональных данных. Эти принципы основаны на защите данных и подотчетности, что обеспечивает соблюдение законодательства. Вместе эти принципы выступают в качестве основы, которая может помочь вам соблюдать GDPR.
Принцип 1: Законная, справедливая и прозрачная обработка
Вы должны обрабатывать данные в соответствии с положениями, установленными законом, и справедливо и прозрачно для субъекта данных. Это означает, что вы должны четко и ясно представлять, какие данные вы собираете, зачем они вам нужны и как вы будете их использовать. Не менее важно убедиться, что вся информация предоставляется на простом английском языке.
Принцип 2: Законная обработка
Вы должны обрабатывать данные в соответствии с согласием субъекта данных. Как обсуждалось ранее, вы должны получить согласие пользователя/посетителя перед сбором и обработкой их данных.
Принцип 3: Минимальный сбор данных
Должны собираться только те данные, которые непосредственно необходимы для обработки и на которые пользователь дал свое согласие. Это хорошая практика даже за пределами GDPR, поскольку она следует принципу уменьшения числа движущихся частей.
Принцип 4: Точность данных
Вы должны поддерживать собранные личные данные в актуальном состоянии. Любой субъект данных может запросить удаление или обновление своих данных — и вам нужно будет выполнить этот запрос в течение 30 дней. В таких случаях вы должны предпринять «все разумные шаги» для выполнения пожеланий субъекта данных.
Принцип 5: Хранение данных
Вы должны хранить данные до тех пор, пока они необходимы. Поскольку это может быть очень субъективным (когда клиент перестает быть клиентом?), настоятельно рекомендуется профессиональная юридическая консультация, чтобы гарантировать, что вы не нарушите этот принцип.
Принцип 6: Безопасность данных, конфиденциальность и целостность
Этот принцип является наиболее техническим из всех семи. Он возлагает на контроллер данных ответственность за обеспечение защиты от несанкционированного доступа, кражи, потери, уничтожения или повреждения для обеспечения целостности и конфиденциальности личных данных.
Принцип 7: Подотчетность
Подотчетность имеет решающее значение для обеспечения того, чтобы вы всегда соответствовали требованиям GDPR. Это означает наличие необходимой технологической документации, процедур, уведомлений, записей и оценок, соответствующих GDPR. GDPR предусматривает, что контролер данных должен иметь возможность доказать, что он соблюдает GDPR.
Что такое персональные данные?
GDPR не предназначен для защиты всех типов данных. Его основная цель — защита персональных данных. С этой целью к персональным данным относятся любые данные, которые могут прямо или косвенно идентифицировать физическое лицо. Поскольку определение персональных данных довольно открытое, рекомендуется проявлять осторожность.
Сбор личных данных на WordPress
В зависимости от того, как вы настроили свой веб-сайт WordPress, вы можете собирать различные типы персональных данных от ваших пользователей и посетителей сети. Как контролер данных, вы несете ответственность за определение того, какие персональные данные собираются, и за обеспечение соответствия всех связанных процессов требованиям GDPR.
Это может быть достаточно просто, если вы одновременно являетесь контролером и обработчиком данных. Примером этого является соответствие WooCommerce GDPR без использования внешних сервисов. Однако при использовании сторонних сервисов, таких как аналитика и реклама, все может стать немного сложнее.
Хотя GDPR не запрещает сбор каких-либо персональных данных, он устанавливает конкретные правила сбора, обработки и хранения данных. Хотя рекомендуется полное понимание правил, ЕС предлагает семь руководящих принципов, которые помогут вам сформировать свою стратегию обработки данных в соответствии с требованиями GDPR.
GDPR и безопасность данных
Безопасность данных является важным аспектом GDPR, поощряющим технические и организационные меры для обеспечения защиты и безопасности данных. Чтобы соответствовать GDPR, защита данных должна быть «по умолчанию и по умолчанию». Это означает, что вы должны учитывать соображения защиты данных во всем, что вы делаете, а не задним числом.
Технические меры
GDPR.EU приводит два примера технических мер, которые вы можете предпринять для защиты данных ваших пользователей. Первый — двухфакторная аутентификация, которую, к счастью для администраторов WordPress, легко реализовать благодаря WP 2FA. Этот плагин WordPress 2FA поддерживает несколько каналов аутентификации. Он поставляется в комплекте со многими полезными функциями, которые помогут вам обеспечить постоянный успех развертывания 2FA.
Второй пример относится к сквозному шифрованию. Важно отметить, что GDPR не требует обязательного шифрования. Вместо этого в нем подчеркиваются надлежащие меры по защите персональных данных — примером такой меры является шифрование. Эти меры, какими бы они ни были, должны охватывать два состояния данных — данные в пути и данные в состоянии покоя.
Понимание данных в пути и данных в состоянии покоя
Данные в пути — это данные, которые передаются по сети. С другой стороны, данные в состоянии покоя относятся к данным, которые хранятся на бумаге, например к данным в базе данных. Использование сертификата SSL/TLS на вашем WordPress поможет вам обеспечить шифрование передаваемых данных. Шифрование электронной почты и других каналов связи не менее важно.
Личные данные в состоянии покоя немного сложнее. Во-первых, вам нужно определить, какие личные данные вы храните в своей базе данных WordPress. Мы рассмотрели это в предыдущем разделе. Хотя WordPress не собирает личные данные по умолчанию, пользовательские формы и сторонние плагины могут собирать такие данные.
В настоящее время WordPress не предлагает шифрование данных. Поэтому вы должны предпринять другие меры для обеспечения максимальной безопасности данных. Надежная политика паролей WordPress — это один из шагов, которые вы можете предпринять, чтобы обеспечить максимально безопасный доступ. Конечно, это должно сопровождаться политикой доступа, соответствующей принципу наименьших привилегий.
Сбор данных и согласие
Вы должны минимизировать[a] сбор данных до абсолютной необходимости для цели, для которой они собираются, и, по возможности, анонимизировать их[b]. Тем не менее, важно всегда получать согласие от субъекта данных, объясняя, почему вы собираете данные и как вы будете их использовать.
Согласие является важной частью GDPR. Согласие должно быть недвусмысленным, а это значит, что вы не можете скрыть его мелким шрифтом. Вы должны убедиться, что вы написали все политики ясным и простым языком. Кроме того, вы должны получить согласие отдельно, поскольку вы не можете включить его в другие заявления.
Субъекты данных также имеют право отозвать согласие в любое время. Отзыв согласия должен быть таким же простым, как и его предоставление. Кроме того, субъекты данных сохраняют за собой право на удаление, когда они могут потребовать, чтобы все личные данные, относящиеся к ним, были удалены.
Обработка данных
Типичный веб-сайт WordPress собирает и обрабатывает данные различными способами. Хотя практически невозможно охватить все способы сбора и обработки данных на всех веб-сайтах, мы можем рассмотреть несколько типичных примеров, чтобы понять, как на них влияет GDPR.
Аналитика
Инструменты аналитики, такие как Google Analytics и Hotjar, обрабатывают данные клиентов от вашего имени. С точки зрения GDPR это делает их сторонним обработчиком данных. Тем не менее, вы по-прежнему несете ответственность за то, что происходит с этими данными, а это означает, что вы должны принять некоторые меры предосторожности для обеспечения соответствия.
Очень важно иметь то, что известно как Соглашение об обработке данных. В этом письменном соглашении, которое должны подписать обе стороны, четко указаны обязанности каждой из сторон. Этот документ имеет обязательную юридическую силу, и его подписание может избавить вас от многих проблем.
Это особенно важно, если у вас есть интеграция со сторонними организациями, будь то через плагин аналитики или напрямую. В любом случае важно понимать, какие данные собираются, будь то информация о геолокации,
Печенье
Инструменты аналитики, WordPress, некоторые плагины и темы используют файлы cookie для хранения и отслеживания информации о пользователях и посетителях. Как контролер данных, вы должны знать, что делает каждый файл cookie, и получить явное разрешение на сбор данных каждого файла cookie.
Кроме того, пользователь должен иметь возможность выбирать, на что он дает согласие, и в равной степени иметь возможность отозвать свое согласие в любое время. Согласия должны продлеваться каждый год и храниться как юридическая документация.
Согласие на использование файлов cookie GDPR
Файлы cookie подлежат собственному регулированию ЕС с 2002 года, когда вступила в силу Директива о конфиденциальности, также известная как закон о файлах cookie. В 2009 году ЕС внес дополнительные поправки в этот закон. Он действует как дополнение к GDPR Европейского Союза, а в некоторых случаях имеет преимущественную силу.
Директива ePrivacy, сокращенно EPD, выходит из употребления и должна быть заменена EPR — Регламентом ePrivacy.
Разница между директивой и регламентом носит технический характер. Директивы должны быть включены в закон правительством каждой страны в пределах ЕС, в то время как Регламенты являются общеевропейскими законами.
В любом случае, чтобы соответствовать, вы должны:
- Спрашивайте у пользователей их явное согласие перед использованием любых файлов cookie.
- Предоставьте пользователям доступную информацию о каждой отслеживаемой информации, когда они соглашаются.
- Разрешить пользователям полный доступ к услугам, даже если они отклоняют определенные файлы cookie.
- Документировать согласие пользователя
- Разрешить пользователям отзывать согласие
Соответствует ли WordPress GDPR?
WordPress представил несколько функций в версии 4.9.6, которые значительно упрощают соблюдение GDPR. Хотя эти функции не обязательно обеспечивают соответствие GDPR (подробнее об этом позже), они помогут вам убедиться, что у вас есть базовые возможности.
Экспорт персональных данных
Вы можете легко экспортировать все данные пользователя, если он отправит запрос данных. Чтобы экспортировать личные данные пользователя, просто перейдите в «Инструменты» > «Экспорт личных данных» и введите имя пользователя или адрес электронной почты в соответствующем текстовом поле.
Вы также можете отправить электронное письмо с подтверждением, установив флажок Электронное письмо с подтверждением.
Удаление персональных данных
Чтобы соблюдать право на забвение, WordPress также предлагает функцию удаления личных данных. Вы можете получить доступ к этой функции, выбрав «Инструменты» > «Удалить личные данные». Как и в случае с функцией экспорта личных данных, существует также возможность отправить электронное письмо с подтверждением.
Политика конфиденциальности
Наличие страницы политики конфиденциальности — это всего лишь небольшой шаг к соблюдению GDPR, но очень важный. Хотя настраиваемая политика конфиденциальности идеальна, поскольку она позволяет вам учитывать все, наличие шаблона может помочь вам быстрее начать работу — именно это предлагает WordPress.
Вы можете получить доступ к этой функции, перейдя в «Настройки»> «Конфиденциальность» и следуя предоставленным инструкциям.
Флажок согласия
Чтобы помочь с соблюдением требований к файлам cookie GDPR, WordPress поставляется со встроенным флажком согласия на использование файлов cookie, который включен по умолчанию. Имейте в виду, что это действительно только для комментирующих пользователей — вам нужно позаботиться об остальном, если вы настроите что-нибудь еще, что сбрасывает cookie.
Вы можете включить этот параметр, перейдя в «Настройки» > «Обсуждения».
Соблюдение GDPR
Соблюдение GDPR — это не одноразовый процесс, который вы можете выполнить один раз и бросить на дно кучи. Хотя первоначальная процедура соблюдения требований будет самой трудоемкой из всех, потраченное на нее дополнительное время принесет дивиденды в будущем.
Он не только будет поддерживать ваш веб-сайт в соответствии с требованиями, но также гарантирует, что обслуживание и обновления будут занимать как можно меньше времени. Для этого вам необходимо:
Подведите итоги . Первый шаг, который вам нужно сделать, — это оценить, какие личные данные вы собираете и где они хранятся. Маркетинговые списки электронной почты, профили пользователей и пользовательские данные, хранящиеся в файлах cookie, — вот некоторые вещи, которые вам необходимо учитывать. Убедитесь, что вы записали идентифицируемую информацию, включая псевдонимы, IP-адреса и т. д. Фактический список будет зависеть от того, какие данные вы собираете и как вы их обрабатываете.
Установите плагин согласия и убедитесь, что для каждого процесса обработки данных установлен флажок согласия. Хотя вскоре мы еще поговорим о таких плагинах,
Удобные юридические страницы . Убедитесь, что все страницы политик, например страница политики конфиденциальности, написаны простым английским языком, понятным каждому.
Баннер согласия на использование файлов cookie. Добавьте баннер с уведомлением о файлах cookie, который информирует пользователя или посетителя о том, какие данные вы собираете и почему, а также предоставляет возможность подписаться или отказаться.
Начало работы с техническим соответствием GDPR
Соблюдение GDPR требует как технических, так и операционных усилий. Хотя ваши обязательства будут зависеть от вашей конкретной установки и обстоятельств, основы, как правило, одинаковы. Это включает:
- Укрепите веб-сервер WordPress
- Усильте PHP для безопасности WordPress
- Укрепите веб-сайт WordPress
Надежная политика паролей WordPress является еще одним важным аспектом соответствия GDPR, поскольку она обеспечивает лучшую общую безопасность учетной записи. Вы можете легко реализовать это с помощью WPassword, который включает в себя множество параметров безопасности паролей WordPress для обеспечения безопасности вашего WordPress. Точно так же включение 2FA в WordPress может приблизить вас к соблюдению GDPR, и многие исследования показывают, насколько эффективным может быть 2FA для предотвращения большинства атак.
Следует иметь в виду, что безопасность WordPress — это итеративный процесс — это не то, что вы настроили один раз и забыли, но требуется постоянный мониторинг и настройка, чтобы гарантировать, что она останется надежной по мере развития технологий.
Плагины WordPress, которые помогут вам достичь соответствия GDPR
Оптимизация GDPR не должна быть сложной. Благодаря плагинам WordPress вы можете легко убедиться, что выполняете все свои обязательства. Имейте в виду, что ни один плагин не может гарантировать полное соответствие. Поскольку требования могут варьироваться от одного веб-сайта к другому, вы должны убедиться, что вы соответствуете всем требованиям законодательства. Если вы сомневаетесь, проконсультируйтесь с адвокатом/адвокатом.
Cookieyes фокусируется на том, чтобы помочь владельцам сайтов добиться соответствия файлов cookie требованиям GDPR. Кроме того, он также поддерживает соответствие требованиям aCCPA, CNIL и LGDP.
Complianz позиционирует себя как пакет конфиденциальности для WordPress, предлагая полный набор инструментов, включая уведомления о файлах cookie, юридические страницы, записи о согласии и многие другие функции. MonsterInsights — это плагин, готовый к GDPR, который позволяет вам привести Google Analytics в соответствие с GDPR. Он предлагает множество других функций, не связанных с GDPR, включая аналитику и отслеживание.
WPassword позволяет вам применять политики паролей для ваших пользователей, гарантируя использование надежных паролей. Наличие надежных паролей WordPress сводит к минимуму риск взлома, гарантируя, что пользовательские данные всегда будут в безопасности.
Журнал активности WP ведет журнал активности пользователей и систем на ваших веб-сайтах WordPress, записывая, кто что делал и когда. Он также включает модуль пользовательского сеанса, который поможет вам лучше управлять пользовательскими сеансами.
WP 2FA позволяет легко реализовать 2FA на вашем веб-сайте WordPress — требование GDPR и других стандартов и правил, включая PCI DSS. Он предлагает несколько каналов аутентификации, чтобы помочь вам подключить всех пользователей.
Как выбрать плагины GDPR
Особенности . Плагины бывают разных форм и размеров, с разными наборами функций и по разным ценам. В то время как бесплатные плагины всегда хороши, плагины премиум-класса, как правило, имеют больше бизнес-функций, которые могут оказаться критически важными для успеха вашего сайта.
Интеграция — вам необходимо убедиться, что любой выбранный вами плагин может работать с вашей темой WordPress и любыми сторонними плагинами, которые вы можете использовать, например, плагины контактной формы. Лучшие плагины WordPress всегда тестируются с основными сторонними плагинами, что в большинстве случаев обеспечивает более плавную реализацию.
Цены . Большинство плагинов выпускаются в премиальной и бесплатной версиях. В большинстве случаев бесплатная версия будет предлагать базовые функции, а премиум-версия будет включать дополнения, которые могут быть важны или не важны для вашего веб-сайта и бизнеса. Бесплатные версии можно загрузить из официального репозитория WordPress на WordPress.org, а премиум-плагины обычно загружаются с веб-сайта производителя.
Поддержка . Иногда что-то ломается, и когда это происходит, наличие хорошей поддержки имеет решающее значение для минимизации времени простоя. Это может быть поддержка по электронной почте, документация и часто задаваемые вопросы GDPR, которые помогут вам быстро получить ответы на важные вопросы. Это также может помочь вам убедиться, что помощь всегда под рукой, если она вам понадобится в любой момент.
Часто задаваемые вопросы
Что означает WP GDPR?
WP GDPR — это аббревиатура от Общего регламента защиты данных WordPress. Это относится к соблюдению GDPR на веб-сайтах WordPress, что требует хорошего понимания как GDPR, так и пользовательских данных, которые вы собираете от посетителей и пользователей веб-сайта.
Соответствует ли WordPress GDPR?
WordPress предлагает функции, соответствующие GDPR; однако это не обязательно делает каждый веб-сайт WordPress совместимым с GDPR. В зависимости от того, как вы настроили свой веб-сайт WordPress, для чего вы его используете и какие данные вы собираете, вам может потребоваться предпринять дополнительные шаги для обеспечения соответствия GDPR.
Как сделать WordPress совместимым с GDPR?
Вам нужно сделать несколько вещей, чтобы ваш WordPress соответствовал GDPR. К сожалению, универсальной формулы, подходящей для всех, не существует, поскольку веб-сайты WordPress могут сильно отличаться друг от друга. Обратитесь к нашей статье, чтобы понять, каковы ваши обязанности и какие шаги необходимо предпринять для достижения соответствия GDPR.