GDPR:隱私政策要求

已發表: 2018-05-15

讓您的企業為 GDPR 做好準備並非易事,而且在法律於 5 月 25 日生效時,它並沒有結束。

第一步:為 5 月 25 日及以後的 GDPR 做好準備,您需要指定一名員工來監督合規工作並更新您的隱私政策。 這些不僅僅是法律要求——它們還為持續合規奠定了良好的基礎,並且可以影響銷售。

讓某人負責數據

數據保護官是 GDPR 要求正式角色。 如果您是一個人的商店,這取決於您,因此您需要留出一些時間來保持合規性。 無論是您還是您的一名員工,您都必須指定某人負責您的業務的數據保護策略和合規性,並且:

  • 決定客戶應如何提出特定於隱私的請求。 這可以通過您網站上的聯繫表格或通過特殊的電子郵件地址(例如, [email protected] )。
  • 更新您的隱私政策,說明您使用和存儲數據的方式以及原因 GDPR 要求您披露數據信息。 你能收集更少的個人數據嗎? 您的企業需要將州/省/聯邦稅記錄保留多長時間? 您何時以及如何備份並最終銷毀客戶和訂單記錄? 對於 WordPress 和 WooCommerce,這包括審查您的商店所依賴的插件和服務的數據實踐。 所有這些信息都應作為您的隱私政策發布。
  • 準備並響應刪除/訪問請求的權利 客戶可以要求您刪除他們的數據,您必須遵守。
  • 準備和應對安全漏洞 GDPR 要求您及時向客戶披露違規行為。
  • 隨時關注可能影響您業務的隱私法的未來變化

如何更新您的隱私政策

除了作為 GDPR 要求之外,精心編寫、易於理解的隱私政策可以幫助與越來越注重隱私​​的消費者達成銷售。 為您的 WooCommerce 商店匯總隱私政策涉及一些研究、一些寫作以及不時重新審視該政策的承諾。

從 WordPress 4.9.6 開始,您將能夠在您的網站上創建或指定一個頁面作為您商店的隱私政策。 您將在WP 管理 > 設置 > 隱私中找到此新功能:

wp-admin 中的隱私設置

如果您是第一次創建隱私政策頁面,WordPress 將提供一個模板來幫助您入門。 一般來說,一個好的隱私政策可以回答以下問題:

1. 這家商店收集關於我的哪些數據?

首先“自我測試”您自己的商店,並記下提示客戶輸入信息或做出選擇的所有字段(必填或可選)。 請注意明顯的個人數據,例如姓名和地址,以及您在他們結帳或成為您網站上的註冊用戶時從他們那裡收集的任何其他數據。

接下來,查看您的網站使用的不太明確的工具,例如 cookie 或分析。 檢查您安裝了哪些插件並查看其隱私信息。插件是否將數據發送到國外或歐盟以外? 這是您需要向客戶披露的另一件事。

利用 WordPress 中的新工具查看來自活動插件的隱私更新:從WordPress 4.9.6 開始,插件可以向 WordPress 本身註冊隱私信息,當您進行編輯時,您會在編輯器附近的一個特殊框中看到該信息您在 wp-admin 中的隱私政策頁面。 WordPress 本身還將提供有關從您網站的訪問者那裡收集的信息的信息,例如評論和 cookie。

新的隱私信息框可以將 WordPress 和插件中的隱私信息直接複製並粘貼到您的隱私政策中,您可以在其中將其編輯為您商店的詳細信息。 但是,由於很大程度上取決於您使用的特定設置以及插件之間的交互方式,因此您需要查看和編輯該文本以確保它適合您的商店。

如果插件不提供隱私信息,您可以訪問開發者的網站或直接聯繫他們,詢問他們的插件從您網站的訪問者那裡收集了哪些數據(如果有的話)以及他們如何處理這些數據。

2. 這家商店對我的數據做了什麼,為什麼?

在你知道你在收集什麼之後,你需要注意為什麼要收集它。

您收集的大部分數據的解釋很簡單:您需要他們的地址來向他們運送產品,或者您需要他們的電子郵件地址來更新他們的訂單狀態。

如果您正在收集實際上不需要履行訂單的任何個人數據,您需要向您的客戶解釋原因並為他們提供選擇退出此類“處理”的方法(請參閱“複選框是“不是唯一的方法”)。

3. 這家商店與誰共享我的數據?

在這裡,需要進行一些調查——您需要查看他們收集的數據是如何使用的。 幾種類型的插件更有可能共享數據:

  • 支付網關通常與支付提供商共享數據以處理支付。
  • 運輸擴展通常與運輸提供商共享數據以計算運費或打印運輸標籤。
  • 營銷和分析擴展通常共享數據以將客戶添加到列表或分析他們的行為。

本質上,如果插件連接到外部服務,它們可能會與該服務共享某種類型的數據。 您需要查看這些服務的隱私政策,以確保它們符合您的隱私優先級。

使用 WooCommerce.com 市場的擴展? 準確了解我們的擴展(包括支付和運輸網關)如何使用和存儲數據。

4. 這家商店會保留我的數據多長時間?

保留記錄的原因有很多,包括客戶對收費有爭議、稅務審計或其他法律問題。 雖然 GDPR 等法律具有“刪除權”,但您不需要刪除業務其他方面所需的記錄

也就是說,您的隱私政策以及您的條款和條件頁面應向客戶明確說明您保留其個人數據的時間以及原因。

5. 如何訪問、更新或刪除收集的數據?

除了知道您對個人數據做了什麼之外,客戶還需要知道如何更新他們的數據,包括:

  • 獲取他們數據的副本
  • 更新他們的數據
  • 刪除他們的數據

您的隱私政策應向客戶明確說明如何通過這些請求聯繫您或您指定的隱私權人。 如果您允許您的客戶編輯他們自己的一些信息,例如在我的帳戶下,您也可以在此處提及。

複選框不是唯一的方法

根據 GDPR,處理個人數據有多種法律方法。 您的隱私政策應說明您對個人數據進行各種處理的依據。 最適用於電子商務網站的包括:

  • 同意:用戶明確同意對其個人數據進行特定類型的處理(例如,同意參與第三方進行的市場研究)。
  • 合同必要性:個人數據的處理是履行合同所必需的(例如,運送他們的訂單)。
  • 遵守法律義務:出於法律原因(例如增值稅稅號),需要處理個人數據。
  • 合法利益:個人數據的處理是合法的、預期的企業行為(例如,在他們訂購了他們可能感興趣的其他產品後跟進電子郵件)。

一步一步地制定您的隱私政策

這是一個很長的清單,我們知道! 一步一步地解決它,不要擔心在第一天就制定一個完美的隱私政策。 讓您的隱私政策保持最新和最新,尤其是在您添加插件或插件添加功能時,這將是一項持續的活動,就像您所做的任何其他業務維護一樣。

下一個? 訪問權請求的長短。