GDPR 和 WordPress
已發表: 2022-11-10GDPR 代表通用數據保護條例。 這是一項廣泛的歐盟(歐盟)法規,代表了處理歐盟公民數據的任何人的最低要求。 該條例共99條,分為11章。 雖然這聽起來令人生畏,但將其分解可以幫助我們了解其關鍵點以及它如何影響 WordPress 網站。
在歐盟頒布 GDPR 後,其他幾個國家和司法管轄區從該法規中汲取靈感更新了其法律,包括英國、日本、巴西、土耳其等。 尤其是加利福尼亞,有自己的版本,稱為 CCPA——加利福尼亞消費者隱私法。
在本文中,我們將探討 GDPR 的核心原則,特別關注它們與保護個人數據的關係。
免責聲明:本文不構成法律建議。 您應該認真對待隱私法。 違反 GDPR 規則的處罰可能非常嚴厲,最高可達 2000 萬歐元或總收入的 4%——以最高金額為準。 如有疑問,請尋求專業意見。
目錄
- 1. WordPress GDPR 簡介
- 2. 什麼是個人資料
- 3. WordPress 上的個人數據收集
- 4. GDPR 和數據安全
- 5. WordPress GDPR 合規嗎?
- 6. GDPR 技術合規入門
- 7. 幫助您實現 GDPR 合規性的 WordPress 插件
- 8. 常見問題
WordPress GDPR 簡介
WordPress GDPR 的工作方式與任何其他網站 GDPR 相同。 由於 GDPR 非常全面,您如何實施它在很大程度上取決於您運行的 WordPress 網站的類型。 雖然法規的某些方面是通用的,但其他方面將取決於您的實施和業務。 例如,電子商務網站的要求與運行博客的 WordPress 網站的要求有很大不同。
GDPR 的四位參與者
在我們開始研究 GDPR 的核心原則之前,有必要花幾分鐘時間了解參與者是誰。 將參與者視為 GDPR 認為對其實施至關重要的角色。 我們需要了解四個演員。 了解這些角色將有助於我們更好地了解誰對什麼負責,並使對法規的理解更加容易。
1.數據主體
對於 WordPress 網站,數據主體是來自歐盟的網站訪問者。 數據主體一詞直接指我們收集的數據所屬的人。
2. 數據控制者
作為收集數據的網站所有者,這就是您。 數據控制者有幾項職責。 在查看 GDPR 的七項原則時,我們將詳細介紹這些內容。
作為數據控制者,您需要能夠證明您符合 GDPR。 不這樣做會將您歸類為不符合所有意圖和目的。 為此,了解數據控制者在法律眼中的責任是有益的。
3.數據處理器
數據處理者是代表數據控制者(您)處理數據的個人或公司。
旁注:在這個階段,必須了解 GDPR 將什麼視為數據處理,因為處理數據的實體有一定的義務。 為此,GDPR 將對數據採取的任何行動視為數據處理,從簡單的收集和存儲到使用、組織和任何其他形式的處理。
4. 數據保護官 (DPO)
數據保護官(簡稱 DPO)是負責收集的個人數據的 GDPR 合規性的人。 雖然並非所有數據控制者和數據處理者都需要 DPO,但您始終可以在組織內指定一名 DPO,以確保遵守 GDPR。
GDPR 的七項原則
如前所述,GDPR 有七項管理個人數據處理的原則。 這些原則基於數據保護和問責制,從而確保遵守法律。 這些原則共同構成了一個框架,可以幫助您遵守 GDPR。
原則 1:合法、公平、透明的處理
您必須按照法律規定的規定處理數據,並對數據主體公平、透明地處理數據。 這意味著您必須清楚並預先了解您正在收集哪些數據、為什麼需要它以及如何使用它。 確保所有信息都以簡單的英語提供同樣重要。
原則 2:合法處理
您必須在數據主體同意的情況下處理數據。 如前所述,在收集和處理他們的數據之前,您必須徵得用戶/訪問者的同意。
原則 3:最少的數據收集
僅應收集處理直接需要且用戶同意的數據。 即使在 GDPR 之外,這也是一種很好的做法,因為它遵循減少移動部件的原則。
原則 4:數據的準確性
您必須及時更新收集的個人數據。 任何數據主體都可以請求刪除或更新他們的數據——您需要在 30 天內完成此請求。 在這種情況下,您必須採取“每一個合理的步驟”來滿足數據主體的意願。
原則 5:數據存儲
您應該只在需要時保留數據。 由於這可能非常主觀(客戶何時不再是客戶?),因此強烈建議您提供專業的法律建議,以確保您不會違反此原則。
原則 6:數據安全性、機密性和完整性
這個原則是所有七個原則中技術性最強的。 它讓數據控制者有責任確保防止未經授權的訪問、盜竊、丟失、破壞或損壞的保護措施到位,以確保個人數據的完整性和機密性。
原則 7:問責制
問責制對於確保您始終滿足 GDPR 的要求至關重要。 這意味著擁有必要的符合 GDPR 的流程文檔、程序、通知、記錄和評估。 GDPR 規定,數據控制者必須能夠證明他們遵守 GDPR。
什麼是個人數據?
GDPR 並不能保護所有類型的數據。 其主要目的是保護個人數據。 為此,個人數據包括可以直接或間接識別個人身份的任何數據。 由於個人數據的定義相當開放,因此建議採取謹慎行事的策略。
WordPress 上的個人數據收集
根據您配置 WordPress 網站的方式,您可能會從您的用戶和網絡訪問者那裡收集各種類型的個人數據。 作為數據控制者,您有責任確定正在收集哪些個人數據,並確保所有相關流程都符合 GDPR。
當您既是數據控制者又是數據處理者時,這可能很容易。 這方面的一個例子是沒有使用外部服務的 WooCommerce GDPR 合規性。 但是,當使用分析和廣告等第三方服務時,事情可能會變得有些模糊。
雖然 GDPR 不禁止收集任何個人數據,但它制定了有關如何收集、處理和存儲數據的具體規定。 雖然建議您全面了解法規,但歐盟提供了七項指導原則來幫助您制定數據戰略以符合 GDPR 要求。
GDPR 和數據安全
數據安全是 GDPR 的一個重要方面,鼓勵採取技術和組織措施來確保數據保護和安全。 為了遵守 GDPR,數據保護必須是“按設計和默認設置”。 這意味著您應該將數據保護考慮納入您所做的所有事情中,而不是事後才考慮。
技術措施
GDPR.EU 提供了兩個可用於保護用戶數據的技術措施示例。 第一個是雙重身份驗證,幸運的是,對於 WordPress 管理員來說,由於 WP 2FA,它很容易實現。 這個 WordPress 2FA 插件支持多個身份驗證通道。 它捆綁了許多有用的功能,可幫助您確保 2FA 部署持續成功。
第二個例子是端到端加密。 需要注意的是,GDPR 並未完全強制要求加密。 相反,它強調保護個人數據的適當措施——加密就是這種措施的一個例子。 這些措施,無論它們是什麼,都應該涵蓋兩種數據狀態——傳輸中的數據和靜止的數據。
了解傳輸中的數據和靜態數據
傳輸中的數據是通過網絡發送的數據。 另一方面,靜態數據是指靜止的數據,例如數據庫中的數據。 在您的 WordPress 上使用 SSL/TLS 證書將幫助您確保傳輸中的數據是加密的。 電子郵件和其他通信渠道的加密同樣重要。
靜止的個人數據稍微複雜一些。 首先,您需要確定您在 WordPress 數據庫中存儲的個人數據類型。 我們在前面的部分中介紹了這一點。 雖然 WordPress 默認不收集個人數據,但自定義表單和第 3 方插件可能會收集此類數據。
WordPress 目前不提供數據加密。 因此,您必須採取其他措施來確保數據盡可能安全。 強大的 WordPress 密碼策略是您可以採取的步驟之一,以確保訪問盡可能安全。 當然,這應該伴隨著符合最小特權原則的訪問策略。
數據收集和同意
您應該將[a] 數據收集最小化到絕對必要的數據收集目的,並且在可能的情況下,您應該將其匿名[b]。 即便如此,必須始終獲得數據主體的同意——解釋您收集數據的原因以及您將如何使用它。
同意是 GDPR 的重要組成部分。 同意必須是明確的,這意味著您不能將其隱藏在細則中。 您必須確保以清晰明了的語言編寫所有政策。 此外,您必須單獨獲得同意——因為您不能將其包含在其他聲明中。
數據主體也有權隨時撤回同意。 撤回同意必須像給予同意一樣容易。 此外,數據主體保留刪除權,他們可以要求刪除與其相關的所有個人數據。
數據處理
典型的 WordPress 網站以各種方式收集和處理數據。 雖然幾乎不可能涵蓋所有網站上收集和處理數據的所有方式,但我們可以查看一些典型示例來了解 GDPR 如何影響這些。
分析
Google Analytics 和 Hotjar 等分析工具代表您處理客戶數據。 在 GDPR 看來,這使他們成為了第 3 方數據處理器。 即便如此,您仍應對該數據發生的情況負責,這意味著您必須採取一些預防措施以確保合規性。
擁有一件非常重要的事情是所謂的數據處理協議。 雙方必須簽署的這份書面協議明確規定了各方的責任。 這份文件具有法律約束力,簽署它可以為您省去很多麻煩。
如果您與第三方集成,無論是通過分析插件還是直接集成,這一點尤其重要。 無論哪種方式,都必須了解正在收集哪些數據,無論是其地理位置信息,
餅乾
分析工具、WordPress、一些插件和主題使用 cookie 來存儲和跟踪用戶和訪問者信息。 作為數據控制者,您需要了解每個 cookie 的作用,並獲得每個 cookie 數據收集的明確許可。
此外,用戶必須能夠選擇他們同意的內容,並且同樣能夠隨時撤回他們的同意。 同意必須每年更新,並且必須作為法律文件保存。
GDPR Cookie 同意
自 2002 年以來,Cookie 一直受到其自己的歐盟法規的約束——當時 ePrivacy 指令(也稱為 cookie 法)生效。 歐盟於 2009 年進一步修訂了該法律。它是對歐盟 GDPR 的補充,在某些情況下,它會覆蓋它。
ePrivacy Directive,簡稱 EPD,即將被 EPR – ePrivacy Regulation 取代。
指令和法規之間的區別是技術上的區別。 指令必須由歐盟內每個國家的政府納入法律,而法規是歐盟範圍內的法律。
無論哪種方式,要遵守,您必須:
- 在使用任何 cookie 之前徵求用戶的明確同意
- 在用戶選擇加入時,向用戶提供有關被跟踪的每個數據的簡明語言信息
- 即使用戶拒絕某些 cookie,也允許用戶進行全方位服務訪問
- 記錄用戶同意
- 允許用戶撤回同意
WordPress GDPR 合規嗎?
WordPress 在 4.9.6 版本中引入了一些功能,使遵守 GDPR 變得更加容易。 雖然這些功能不一定使您符合 GDPR(稍後會詳細介紹),但它們將幫助您確保您已涵蓋基礎知識。
個人數據導出
如果用戶提出數據請求,您可以輕鬆導出所有用戶的數據。 要導出用戶的個人數據,只需導航到工具 > 導出個人數據,然後在提供的文本框中輸入用戶的用戶名或電子郵件地址。
您還可以通過選中確認電子郵件複選框來發送確認電子郵件。
個人數據擦除
為了遵守被遺忘的權利,WordPress 還提供了個人數據擦除功能。 您可以通過導航到工具 > 刪除個人數據來訪問此功能。 與個人數據導出功能一樣,還有發送確認電子郵件的選項。
隱私政策
擁有隱私政策頁面只是邁向 GDPR 合規性的一小步,但卻是非常重要的一步。 雖然擁有自定義隱私政策是理想的,因為這可以讓您考慮所有事情,但擁有模板可以幫助您更快地開始 - 這正是 WordPress 提供的。
您可以通過導航到設置 > 隱私並按照提供的說明訪問此功能。
同意複選框
為了幫助遵守 GDPR cookie,WordPress 帶有一個內置的 cookie 同意複選框,默認情況下啟用。 請記住,這僅對評論用戶有效 - 如果您配置任何其他丟棄 cookie 的內容,您需要處理其餘部分。
您可以通過導航到設置 > 討論來啟用此設置。
遵守 GDPR
遵守 GDPR 並不是一個一次性的過程,您可以完成一次就扔到最後。 雖然最初的合規工作將是最費力的,但在這裡投入一些額外的時間將在未來產生紅利。
它不僅可以使您的網站保持合規性,而且還可以確保維護和更新花費盡可能少的時間。 為此,您需要:
盤點——您需要採取的第一步是評估您正在收集哪些個人數據以及這些數據的存儲位置。 存儲在 cookie 中的電子郵件營銷列表、用戶配置文件和用戶數據是您需要考慮的一些事項。 確保您記下可識別信息,包括化名、IP 地址等。實際列表將取決於您收集的數據以及處理方式。
安裝同意插件並確保每個數據處理都有一個同意複選框。 雖然我們將在短時間內更多地討論此類插件,
用戶友好的法律頁面- 確保所有政策頁面,例如您的隱私政策頁面,都以任何人都可以理解的簡單英語書寫。
Cookie 同意橫幅- 添加 cookie 通知橫幅,告知用戶或訪問者您正在收集哪些數據以及為什麼要收集,同時提供選擇加入或退出的選項。
GDPR 技術合規性入門
遵守 GDPR 需要技術和運營方面的努力。 雖然您的義務將取決於您的具體設置和情況,但基本內容往往是相同的。 這些包括:
- 強化 WordPress 網絡服務器
- 強化 PHP 以提高 WordPress 安全性
- 強化 WordPress 網站
強大的 WordPress 密碼策略是 GDPR 合規性的另一個重要方面,因為它可以確保更好的整體帳戶安全性。 您可以使用 WPassword 輕鬆實現這一點,其中包括許多 WordPress 密碼安全選項,以確保您的 WordPress 安全。 同樣,在 WordPress 上啟用 2FA 可以讓您更接近遵守 GDPR,許多研究表明 2FA 在阻止大多數攻擊方面的有效性。
要記住的一件事是,WordPress 安全性是一個迭代過程——它不是你設置一次就忘記的東西,但它需要不斷的監控和調整,以確保它隨著技術的發展而保持強大。
WordPress 插件可幫助您實現 GDPR 合規性
GDPR 優化不需要繁瑣。 借助 WordPress 插件,您可以輕鬆確保履行所有義務。 請記住,沒有一個插件可以確保完全合規。 由於不同網站的要求可能有所不同,因此您有責任確保滿足所有法律要求。 如有疑問,請諮詢律師/律師。
Cookieyes專注於幫助網站所有者實現符合 GDPR 要求的 cookie 合規性。 此外,它還支持遵守 aCCPA、CNIL 和 LGDP。
Complianz將自己標記為 WordPress 的隱私套件,提供一整套工具,包括 cookie 通知、法律頁面、同意記錄和許多其他功能。 MonsterInsights 是一個支持 GDPR 的插件,可讓您使 Google Analytics 符合 GDPR。 它提供了許多其他與 GDPR 無關的功能,包括分析和跟踪。
WPassword允許您為用戶實施密碼策略,確保使用強密碼。 擁有強大的 WordPress 密碼可以最大限度地降低您的違規風險,確保用戶數據始終安全。
WP Activity Log在您的 WordPress 網站上保留用戶和系統活動的活動日誌,記錄誰在何時做了什麼。 它還包括一個用戶會話模塊,可幫助您更好地管理用戶會話。
WP 2FA允許您在 WordPress 網站上輕鬆實施 2FA——這是 GDPR 和其他標準和法規(包括 PCI DSS)的要求。 它提供了多種身份驗證通道,可幫助您讓所有用戶都參與進來。
如何選擇 GDPR 插件
功能- 插件具有不同的形狀和大小,具有不同的功能集和不同的價格點。 雖然免費插件總是很好,但高級插件往往具有更多的業務功能,您的網站可能會發現這些功能對其成功至關重要。
集成- 您需要確保您選擇的任何插件都可以與您的 WordPress 主題和您可能正在運行的任何 3rd 方插件一起使用,例如聯繫表單插件。 最好的 WordPress 插件始終使用主要的 3rd 方插件進行測試,以確保在大多數情況下更順暢地實施。
定價——大多數插件都有高級版和免費版。 在大多數情況下,免費版將提供基本功能,而高級版將包括對您的網站和業務可能或可能不重要的插件。 免費版本可以從 WordPress.org 的官方 WordPress 存儲庫下載,高級插件通常從製造商的網站下載。
支持– 有時,事情會中斷,當它們發生時,擁有良好的支持對於最大限度地減少停機時間至關重要。 這可以通過電子郵件支持、文檔和 GDPR 常見問題解答的形式幫助您快速獲得重要問題的答案。 它還可以幫助您確保在您需要時隨時提供幫助。
經常問的問題
WP GDPR 是什麼意思?
WP GDPR 是一個首字母縮寫詞,代表 WordPress 通用數據保護條例。 它指的是 WordPress 網站上的 GDPR 合規性,這需要很好地了解 GDPR 以及您從網站訪問者和用戶那裡收集的用戶數據。
WordPress GDPR 合規嗎?
WordPress 提供符合 GDPR 的功能; 但是,這並不一定會使每個 WordPress 網站都符合 GDPR。 根據您設置 WordPress 網站的方式、您使用它的目的以及您收集的數據,您可能需要採取額外的步驟來實現 GDPR 合規性。
如何使 WordPress GDPR 兼容?
您需要做幾件事來使您的 WordPress GDPR 兼容。 不幸的是,沒有適用於所有人的萬能公式,因為 WordPress 網站可能彼此之間存在巨大差異。 請參閱我們的文章以了解您的職責是什麼以及您需要採取哪些步驟來實現 GDPR 合規性。