GDPR:隐私政策要求

已发表: 2018-05-15

让您的企业为 GDPR 做好准备并非易事,而且在法律于 5 月 25 日生效时,它并没有结束。

第一步:为 5 月 25 日及以后的 GDPR 做好准备,您需要指定一名员工来监督合规工作并更新您的隐私政策。 这些不仅仅是法律要求——它们还为持续合规奠定了良好的基础,并且可以影响销售。

让某人负责数据

数据保护官是 GDPR 要求正式角色。 如果您是一个人的商店,这取决于您,因此您需要留出一些时间来保持合规性。 无论是您还是您的一名员工,您都必须指定某人负责您的业务的数据保护策略和合规性,并且:

  • 决定客户应如何提出特定于隐私的请求。 这可以通过您网站上的联系表格或通过特殊的电子邮件地址(例如, [email protected] )。
  • 更新您的隐私政策,说明您使用和存储数据的方式以及原因 GDPR 要求您披露数据信息。 你能收集更少的个人数据吗? 您的企业需要将州/省/联邦税记录保留多长时间? 您何时以及如何备份并最终销毁客户和订单记录? 对于 WordPress 和 WooCommerce,这包括审查您的商店所依赖的插件和服务的数据实践。 所有这些信息都应作为您的隐私政策发布。
  • 准备并响应删除/访问请求的权利 客户可以要求您删除他们的数据,您必须遵守。
  • 准备和应对安全漏洞 GDPR 要求您及时向客户披露违规行为。
  • 随时关注可能影响您业务的隐私法的未来变化

如何更新您的隐私政策

除了作为 GDPR 要求之外,精心编写、易于理解的隐私政策可以帮助与越来越注重隐私的消费者达成销售。 为您的 WooCommerce 商店汇总隐私政策涉及一些研究、一些写作以及不时重新审视该政策的承诺。

从 WordPress 4.9.6 开始,您将能够在您的网站上创建或指定一个页面作为您商店的隐私政策。 您将在WP 管理 > 设置 > 隐私中找到此新功能:

wp-admin 中的隐私设置

如果您是第一次创建隐私政策页面,WordPress 将提供一个模板来帮助您入门。 一般来说,一个好的隐私政策可以回答以下问题:

1. 这家商店收集关于我的哪些数据?

首先“自我测试”您自己的商店,并记下提示客户输入信息或做出选择的所有字段(必填或可选)。 请注意明显的个人数据,例如姓名和地址,以及您在他们结帐或成为您网站上的注册用户时从他们那里收集的任何其他数据。

接下来,查看您的网站使用的不太明确的工具,例如 cookie 或分析。 检查您安装了哪些插件并查看其隐私信息。插件是否将数据发送到国外或欧盟以外? 这是您需要向客户披露的另一件事。

利用 WordPress 中的新工具查看来自活动插件的隐私更新:从WordPress 4.9.6 开始,插件可以向 WordPress 本身注册隐私信息,当您进行编辑时,您会在编辑器附近的一个特殊框中看到该信息您在 wp-admin 中的隐私政策页面。 WordPress 本身还将提供有关从您网站的访问者那里收集的信息的信息,例如评论和 cookie。

新的隐私信息框可以将 WordPress 和插件中的隐私信息直接复制并粘贴到您的隐私政策中,您可以在其中将其编辑为您商店的详细信息。 但是,由于很大程度上取决于您使用的特定设置以及插件之间的交互方式,因此您需要查看和编辑该文本以确保它适合您的商店。

如果插件不提供隐私信息,您可以访问开发者的网站或直接联系他们,询问他们的插件从您网站的访问者那里收集了哪些数据(如果有的话)以及他们如何处理这些数据。

2. 这家商店对我的数据做了什么,为什么?

在你知道你在收集什么之后,你需要注意为什么要收集它。

您收集的大部分数据的解释很简单:您需要他们的地址来向他们运送产品,或者您需要他们的电子邮件地址来更新他们的订单状态。

如果您正在收集任何您实际上不需要履行订单的个人数据,您需要向您的客户解释原因并让他们选择退出这种“处理”(请参阅​​“复选框是“不是唯一的方法”)。

3. 这家商店与谁共享我的数据?

在这里,需要进行一些调查——您需要查看他们收集的数据是如何使用的。 几种类型的插件更有可能共享数据:

  • 支付网关通常与支付提供商共享数据以处理支付。
  • 运输扩展通常与运输提供商共享数据以计算运费或打印运输标签。
  • 营销和分析扩展通常共享数据以将客户添加到列表或分析他们的行为。

本质上,如果插件连接到外部服务,它们可能会与该服务共享某种类型的数据。 您需要查看这些服务的隐私政策,以确保它们符合您的隐私优先级。

使用 WooCommerce.com 市场的扩展? 准确了解我们的扩展(包括支付和运输网关)如何使用和存储数据。

4. 这家商店会保留我的数据多长时间?

保留记录的原因有很多,包括客户对收费有争议、税务审计或其他法律问题。 虽然 GDPR 等法律具有“删除权”,但您不需要删除业务其他方面所需的记录

也就是说,您的隐私政策以及您的条款和条件页面应向客户明确说明您保留其个人数据的时间以及原因。

5. 如何访问、更新或删除收集的数据?

除了知道您对个人数据做了什么之外,客户还需要知道如何更新他们的数据,包括:

  • 获取他们数据的副本
  • 更新他们的数据
  • 删除他们的数据

您的隐私政策应向客户明确说明如何通过这些请求联系您或您指定的隐私权人。 如果您允许您的客户编辑他们自己的一些信息,例如在我的帐户下,您也可以在此处提及。

复选框不是唯一的方法

根据 GDPR,处理个人数据有多种法律方法。 您的隐私政策应说明您对个人数据进行各种处理的依据。 最适用于电子商务网站的包括:

  • 同意:用户明确同意对其个人数据进行特定类型的处理(例如,同意参与第三方进行的市场研究)。
  • 合同必要性:个人数据的处理是履行合同所必需的(例如,运送他们的订单)。
  • 遵守法律义务:出于法律原因(例如增值税税号),需要处理个人数据。
  • 合法利益:个人数据的处理是合法的、预期的企业行为(例如,在他们订购了他们可能感兴趣的其他产品后跟进电子邮件)。

一步一步地制定您的隐私政策

这是一个很长的清单,我们知道! 一步一步地解决它,不要担心在第一天就制定一个完美的隐私政策。 让您的隐私政策保持最新和最新,尤其是在您添加插件或插件添加功能时,这将是一项持续的活动,就像您所做的任何其他业务维护一样。

下一个? 访问权请求的长短。