GDPR și WordPress

Publicat: 2022-11-10

GDPR înseamnă Regulamentul general privind protecția datelor. Este o reglementare extinsă a UE (Uniunea Europeană) care reprezintă cerințele minime pentru oricine care manipulează datele cetățenilor UE. Regulamentul are 99 de articole, împărțite în 11 capitole. Deși acest lucru poate părea intimidant, defalcarea acestuia ne poate ajuta să înțelegem punctele cheie și cum afectează site-urile WordPress.

După adoptarea de către UE a GDPR, alte câteva țări și jurisdicții și-au actualizat legile inspirându-se din acest regulament, inclusiv Regatul Unit, Japonia, Brazilia, Turcia și altele. California, în special, are propria sa versiune numită CCPA – California Consumer Privacy Act.
În acest articol, vom analiza principiile de bază ale GDPR, acordând o atenție deosebită modului în care acestea se referă la securizarea datelor cu caracter personal.

Disclaimer: Acest articol nu constituie consultanță juridică. Ar trebui să iei în serios legile privind confidențialitatea. Sancțiunile pentru încălcarea regulilor GDPR pot fi foarte dure, ajungând până la 20 de milioane de euro sau 4% din veniturile totale – oricare dintre acestea este cea mai mare. Dacă aveți îndoieli, solicitați sfatul unui profesionist.

Cuprins

  • 1. O introducere în WordPress GDPR
  • 2. Ce sunt datele personale
  • 3. Colectarea datelor personale pe WordPress
  • 4. GDPR și securitatea datelor
  • 5. WordPress respectă GDPR?
  • 6. Începeți cu conformitatea tehnică GDPR
  • 7. Pluginuri WordPress pentru a vă ajuta să atingeți conformitatea cu GDPR
  • 8. Întrebări frecvente

O introducere în WordPress GDPR

GDPR WordPress funcționează în același mod ca orice alt site web GDPR. Deoarece GDPR este foarte cuprinzător, modul în care îl implementați va depinde în mare măsură de tipul de site web WordPress pe care îl conduceți. În timp ce anumite aspecte ale regulamentului sunt universale, alte aspecte vor depinde de implementarea și afacerea dvs. De exemplu, cerințele unui site de comerț electronic vor varia semnificativ de cele ale unui site WordPress care rulează un blog.

Cei patru actori ai GDPR

Înainte de a începe să analizăm principiile de bază ale GDPR, merită să luăm câteva minute pentru a înțelege cine sunt actorii. Gândiți-vă la actori ca roluri pe care GDPR le identifică ca fiind esențiale pentru implementarea sa. Sunt patru actori despre care trebuie să știm. Înțelegerea acestor roluri ne va ajuta să înțelegem mai bine cine este responsabil pentru ce și să facem înțelegerea regulamentului mult mai accesibilă.

1. Persoana vizată

În cazul site-urilor web WordPress, persoanele vizate sunt vizitatorii site-ului nostru care provin din Uniunea Europeană. Termenul subiect al datelor se referă direct la persoana căreia îi aparțin datele pe care le colectăm.

2. Operatorul de date

În calitate de proprietar al site-ului web care colectează date, acesta ești tu. Operatorii de date au mai multe responsabilități. Vom trece prin acestea când ne uităm la cele șapte principii ale GDPR.

În calitate de operator de date, trebuie să puteți demonstra că sunteți în conformitate cu GDPR. Nerespectarea acestui lucru vă consideră neconform pentru toate intențiile și scopurile. În acest scop, este benefic să înțelegem pentru ce sunt trasi la răspundere operatorii de date în ochii legii.

3. Procesorul de date

Procesatorii de date sunt acele persoane sau companii care prelucrează date în numele operatorului de date (dvs).

Notă secundară: în această etapă, este esențial să înțelegem ce consideră GDPR ca prelucrare de date, deoarece entitatea care prelucrează datele are anumite obligații. În acest scop, GDPR consideră orice acțiune întreprinsă asupra datelor ca procesare a datelor, de la simpla colectare și stocare până la utilizare, organizare și orice altă formă de prelucrare.

4. Responsabilul cu protecția datelor (DPO)

Responsabilul cu protecția datelor, cunoscut sub numele de DPO pe scurt, este o persoană care își asumă responsabilitatea pentru conformitatea GDPR cu privire la datele personale colectate. Deși nu toți operatorii de date și procesatorii de date necesită un DPO, puteți oricând numi unul în cadrul organizației dvs. pentru a asigura conformitatea cu GDPR.

Cele șapte principii ale GDPR

După cum am menționat mai devreme, GDPR are șapte principii care guvernează prelucrarea datelor cu caracter personal. Aceste principii se bazează pe protecția datelor și responsabilitatea, asigurând astfel respectarea legislației. Împreună, aceste principii acționează ca un cadru care vă poate ajuta să respectați GDPR.

Principiul 1: Prelucrare legală, echitabilă și transparentă

Trebuie să procesați datele în conformitate cu prevederile prevăzute de lege și în mod echitabil și transparent pentru persoana vizată. Aceasta înseamnă că trebuie să fii clar și direct cu privire la datele pe care le colectezi, de ce ai nevoie de ele și cum le vei folosi. Este la fel de important să vă asigurați că toate informațiile sunt furnizate în limba engleză simplă.

Principiul 2: Prelucrare legitimă

Trebuie să procesați datele în conformitate cu consimțământul persoanei vizate. După cum sa discutat anterior, trebuie să obțineți consimțământul utilizatorului/vizitatorului înainte de a colecta și prelucra datele acestuia.

Principiul 3: Colectarea minimă a datelor

Trebuie colectate numai datele care sunt necesare direct pentru prelucrare și pentru care utilizatorul și-a dat consimțământul. Aceasta este o bună practică chiar și în afara GDPR, deoarece urmează principiul reducerii părților în mișcare.

Principiul 4: Acuratețea datelor

Trebuie să țineți la curent datele personale colectate până în prezent. Orice persoană vizată poate solicita ștergerea sau actualizarea datelor sale – și va trebui să finalizați această solicitare în termen de 30 de zile. În astfel de cazuri, trebuie să faceți „toate măsurile rezonabile” pentru a vă conforma dorințelor persoanei vizate.

Principiul 5: Stocarea datelor

Ar trebui să păstrați datele doar atâta timp cât sunt necesare. Deoarece acest lucru poate fi foarte subiectiv (când un client încetează să mai fie client?), consultanța juridică profesională este foarte încurajată pentru a vă asigura că nu încălcați acest principiu.

Principiul 6: Securitatea datelor, confidențialitatea și integritatea

Acest principiu este cel mai tehnic dintre toate cele șapte. Îi revine operatorului de date sarcina de a se asigura că sunt instituite protecții împotriva accesului neautorizat, furtului, pierderii, distrugerii sau deteriorarii, pentru a asigura integritatea și confidențialitatea datelor cu caracter personal.

Principiul 7: Responsabilitate

Responsabilitatea este esențială pentru a vă asigura că îndepliniți întotdeauna cerințele GDPR. Aceasta înseamnă să existe documentația, procedurile, notificările, înregistrările și evaluările necesare conform GDPR. GDPR prevede că operatorul de date trebuie să poată dovedi că respectă GDPR.

Ce sunt datele personale?

GDPR nu este acolo pentru a proteja toate tipurile de date. Scopul său principal este de a proteja datele personale. În acest scop, datele personale includ orice date care pot identifica direct sau indirect o persoană. Întrucât definiția datelor cu caracter personal este destul de deschisă, strategia recomandată este greșeala de precauție.

Colectarea datelor personale pe WordPress

În funcție de modul în care ați configurat site-ul dvs. WordPress, este posibil să colectați diferite tipuri de date personale de la utilizatorii și vizitatorii dvs. web. În calitate de operator de date, sunteți responsabil pentru identificarea datelor cu caracter personal care sunt colectate și pentru a vă asigura că toate procesele aferente sunt conforme cu GDPR.

Acest lucru poate fi destul de ușor atunci când sunteți atât operatorul de date, cât și procesorul de date. Un exemplu în acest sens este conformitatea cu GDPR WooCommerce fără servicii externe utilizate. Cu toate acestea, lucrurile pot deveni puțin mai tulburi atunci când utilizați servicii terță parte, cum ar fi analiza și publicitatea.

Deși GDPR nu interzice colectarea de date cu caracter personal, stabilește reglementări specifice despre modul în care datele pot fi colectate, procesate și stocate. Deși se recomandă o înțelegere completă a reglementărilor, UE oferă șapte principii directoare pentru a vă ajuta să vă configurați strategia de date pentru a respecta cerințele GDPR.

GDPR și securitatea datelor

Securitatea datelor este un aspect important al GDPR, încurajând măsuri tehnice și organizatorice pentru a asigura protecția și securitatea datelor. Pentru a respecta GDPR, protecția datelor trebuie să fie „prin proiectare și implicit”. Aceasta înseamnă că ar trebui să includeți considerații privind protecția datelor în tot ceea ce faceți, mai degrabă decât o gândire ulterioară.

Măsuri tehnice

GDPR.EU oferă două exemple de măsuri tehnice pe care le puteți lua pentru a vă proteja datele utilizatorilor. Prima este autentificarea cu doi factori, care, din fericire pentru administratorii WordPress, este ușor de implementat datorită WP 2FA. Acest plugin WordPress 2FA acceptă mai multe canale de autentificare. Vine la pachet cu multe funcții utile pentru a vă ajuta să vă asigurați că lansarea 2FA este un succes continuu.

Al doilea exemplu se referă la criptarea end-to-end. Este important de reținut că GDPR nu impune criptarea în mod direct. În schimb, subliniază măsurile adecvate pentru a securiza datele personale – criptarea fiind un exemplu de astfel de măsură. Aceste măsuri, oricare ar fi acestea, ar trebui să acopere două stări de date – date în tranzit și date în repaus.

Înțelegerea datelor în tranzit și a datelor în repaus

Datele în tranzit sunt date care sunt trimise printr-o rețea. Pe de altă parte, datele în repaus se referă la date care sunt papetărie, cum ar fi datele dintr-o bază de date. Utilizarea unui certificat SSL/TLS pe ​​WordPress vă va ajuta să vă asigurați că datele în tranzit sunt criptate. Criptarea e-mailului și a altor canale de comunicare este la fel de importantă.

Datele personale în repaus sunt puțin mai complicate. În primul rând, trebuie să identificați ce fel de date personale stocați în baza de date WordPress. Am tratat acest lucru într-o secțiune anterioară. În timp ce WordPress nu colectează date cu caracter personal în mod implicit, formularele personalizate și pluginurile terță parte pot colecta astfel de date.

WordPress nu oferă momentan criptarea datelor. Prin urmare, trebuie să luați alte măsuri pentru a vă asigura că datele sunt cât mai sigure posibil. O politică puternică de parole WordPress este unul dintre pașii pe care îi puteți lua pentru a vă asigura că accesul este cât mai sigur posibil. Desigur, aceasta ar trebui să însoțească o politică de acces care respectă principiul cel mai mic privilegiu.

Colectarea datelor și consimțământul

Ar trebui să minimizați[a] colectarea datelor la necesitate absolută pentru scopul pentru care sunt colectate și, acolo unde este posibil, ar trebui să o anonimizați[b]. Chiar și așa, este esențial să obțineți întotdeauna consimțământul persoanei vizate – explicând de ce colectați datele și cum le veți folosi.

Consimțământul este o parte semnificativă a GDPR. Consimțământul trebuie să fie clar, ceea ce înseamnă că nu îl puteți ascunde în litere mici. Trebuie să vă asigurați că scrieți toate politicile într-un limbaj clar și simplu. În plus, trebuie să obțineți consimțământul separat - prin faptul că nu îl puteți include cu alte declarații.

Persoanele vizate au, de asemenea, dreptul de a-și retrage consimțământul în orice moment. Retragerea consimțământului trebuie să fie la fel de ușoară ca și acordarea consimțământului. În plus, persoanele vizate își păstrează dreptul de ștergere, în cazul în care pot solicita ștergerea tuturor datelor cu caracter personal legate de acestea.

Procesarea datelor

Site-ul web tipic WordPress colectează și prelucrează date în diferite moduri. Deși este practic imposibil să acoperim toate modurile în care datele sunt colectate și procesate pe toate site-urile web, putem analiza câteva exemple tipice pentru a înțelege cum le afectează GDPR.

Analytics

Instrumentele de analiză, cum ar fi Google Analytics și Hotjar, pentru a numi câteva, prelucrează datele clienților în numele dvs. În ochii GDPR, acest lucru îi face un procesator de date terță parte. Chiar și așa, ești în continuare responsabil pentru ceea ce se întâmplă cu acele date, ceea ce înseamnă că trebuie să iei câteva măsuri de precauție pentru a asigura conformitatea.

Un lucru care este foarte important să aveți este ceea ce este cunoscut sub numele de Acord de prelucrare a datelor. Acest acord scris, pe care ambele părți trebuie să-l semneze, detaliază în mod explicit responsabilitățile fiecărei părți. Acest document este obligatoriu din punct de vedere juridic, iar semnarea lui vă poate scuti de multe probleme.

Acest lucru este deosebit de important dacă aveți integrări cu terțe părți, fie prin intermediul unui plugin de analiză, fie direct. În orice caz, este esențial să înțelegem ce date sunt colectate, dacă informațiile despre geolocalizare,

Cookie-uri

Instrumentele de analiză, WordPress, unele pluginuri și teme folosesc module cookie pentru a stoca și urmări informațiile despre utilizatori și vizitatori. În calitate de operator de date, trebuie să știți ce face fiecare cookie și să obțineți permisiunea explicită pentru colectarea de date a fiecărui cookie.

În plus, utilizatorul trebuie să poată alege pentru ce își dă consimțământul și, în egală măsură, să își poată retrage consimțământul în orice moment. Consimțământul trebuie reînnoit în fiecare an și trebuie păstrat ca documentație legală.

Consimțământ pentru cookie-uri GDPR

Cookie-urile au fost supuse propriilor reglementări UE din 2002 – când a intrat în vigoare Directiva privind confidențialitatea electronică, cunoscută și sub numele de legea cookie-urilor. UE a modificat în continuare această lege în 2009. Ea acționează ca o completare la GDPR al Uniunii Europene și, în unele cazuri, îl depășește.

Directiva privind confidențialitatea electronică, pe scurt EPD, este pe cale de ieșire și urmează să fie înlocuită de Regulamentul EPR – ePrivacy.

Gestionați consimțământul pentru cookie-uri

Diferența dintre o directivă și un regulament este una tehnică. Directivele trebuie să fie încorporate în lege de către guvernul fiecărei țări din UE, în timp ce regulamentele sunt legi la nivelul UE.

Oricum, pentru a te conforma, trebuie să:

  • Cereți utilizatorilor consimțământul lor explicit înainte de a utiliza cookie-uri
  • Oferiți utilizatorilor informații în limbaj simplu despre fiecare dată care este urmărită atunci când se înscrie
  • Permite utilizatorilor acces la servicii complete chiar dacă refuză anumite module cookie
  • Documentați consimțământul utilizatorului
  • Permiteți utilizatorilor să își retragă consimțământul

WordPress respectă GDPR?

WordPress a introdus mai multe funcții în versiunea 4.9.6 care fac mult mai ușoară respectarea GDPR. Deși aceste caracteristici nu vă fac neapărat să fiți în conformitate cu GDPR (mai multe despre asta mai târziu), ele vă vor ajuta să vă asigurați că aveți elementele de bază acoperite.

Export de date personale

Puteți exporta cu ușurință toate datele unui utilizator în cazul în care acesta depune o solicitare de date. Pentru a exporta datele personale ale unui utilizator, pur și simplu navigați la Instrumente > Exportați date personale și introduceți numele de utilizator sau adresa de e-mail a utilizatorului în caseta de text furnizată.

De asemenea, puteți trimite un e-mail de confirmare bifând caseta de selectare E-mail de confirmare.

Exportați datele personale

Ștergerea datelor cu caracter personal

Pentru a respecta dreptul de a fi uitat, WordPress oferă și o funcție de ștergere a datelor cu caracter personal. Puteți accesa această funcție navigând la Instrumente > Ștergeți datele personale. La fel ca și caracteristica de export de date personale, există și o opțiune de a trimite un e-mail de confirmare.

Politica de Confidențialitate

A avea o pagină de politică de confidențialitate este doar un mic pas către conformitatea cu GDPR – totuși unul foarte important. Deși ai o politică de confidențialitate personalizată este ideală, deoarece aceasta vă permite să țineți cont de tot, a avea un șablon vă poate ajuta să începeți mai repede - ceea ce este exact ceea ce oferă WordPress.

Puteți accesa această funcție navigând la Setări > Confidențialitate și urmând instrucțiunile furnizate.

Caseta de selectare Consimțământ

Pentru a ajuta la respectarea cookie-urilor GDPR, WordPress vine cu o casetă de validare încorporată pentru consimțământul cookie-urilor, care este activată implicit. Rețineți că acest lucru este valabil numai pentru utilizatorii care comentează - trebuie să vă ocupați de restul dacă configurați orice altceva care elimină un cookie.

Puteți activa această setare navigând la Setări > Discuții.

Respectarea GDPR

Respectarea GDPR nu este un proces unic pe care îl puteți finaliza o singură dată și îl puteți arunca la fundul grămezii. În timp ce exercițiul inițial de conformitate va fi cel mai laborios dintre toate, investirea unui timp suplimentar aici va aduce dividende și în viitor.

Nu numai că vă va menține site-ul în conformitate, dar se va asigura, de asemenea, că întreținerea și actualizările necesită cel mai mic timp posibil. În acest scop, va trebui să:

Faceți un bilanț – Primul pas pe care trebuie să-l faceți este să evaluați ce date personale colectați și unde sunt stocate. Listele de marketing prin e-mail, profilurile utilizatorilor și datele utilizatorilor stocate în cookie-uri sunt câteva lucruri pe care trebuie să le luați în considerare. Asigurați-vă că notați informații de identificare, inclusiv pseudonime, adrese IP etc. Lista reală va depinde de datele pe care le colectați și de modul în care le procesați.

Instalați un plugin de consimțământ și asigurați-vă că există o casetă de validare pentru consimțământ pentru fiecare proces de date. Deși vom vorbi mai multe despre astfel de pluginuri în scurt timp,

Pagini juridice ușor de utilizat – Asigurați-vă că toate paginile de politică, cum ar fi pagina dvs. de politică de confidențialitate, sunt scrise într-o engleză simplă, pe care oricine le poate înțelege.

Banner de consimțământ pentru cookie -uri – Adăugați un banner de notificare privind cookie-urile care informează utilizatorul sau vizitatorul ce date colectați și de ce, oferind, în același timp, opțiunea de înscriere sau renunțare.

Începeți cu conformitatea tehnică GDPR

Respectarea GDPR necesită atât eforturi tehnice, cât și operaționale. Deși obligațiile dvs. vor depinde de configurația și circumstanțele dvs. specifice, elementele de bază tind să fie aceleași. Acestea includ:

  • Întăriți serverul web WordPress
  • Întăriți PHP pentru securitatea WordPress
  • Consolidați site-ul WordPress

O politică puternică de parole WordPress este un alt aspect crucial al conformității GDPR, deoarece asigură o mai bună securitate generală a contului. Puteți implementa cu ușurință acest lucru cu WPassword, care include multe opțiuni de securitate pentru parole WordPress pentru a vă menține WordPress în siguranță. De asemenea, activarea 2FA pe WordPress vă poate aduce mai aproape de a fi conform cu GDPR, multe studii care arată cât de eficient poate fi 2FA în oprirea majorității atacurilor.

Un lucru de reținut este că securitatea WordPress este un proces iterativ – nu este ceva pe care îl configurați o dată și uitați, dar are nevoie de monitorizare și ajustare constantă pentru a vă asigura că rămâne puternică pe măsură ce tehnologia evoluează.

Pluginuri WordPress pentru a vă ajuta să atingeți conformitatea cu GDPR

Optimizarea GDPR nu trebuie să fie greoaie. Datorită pluginurilor WordPress, vă puteți asigura cu ușurință că vă îndepliniți toate obligațiile. Rețineți că niciun plugin nu poate asigura conformitatea completă. Deoarece cerințele pot varia de la un site la altul, depinde de dvs. să vă asigurați că îndepliniți toate cerințele legale. Dacă aveți îndoieli, consultați un avocat/avocat.

Cookieyes se concentrează pe a ajuta proprietarii de site-uri să se conformeze cookie-urilor în conformitate cu cerințele GDPR. În plus, susține și conformitatea cu aCCPA, CNIL și LGDP.

Complianz se etichetează ca suita de confidențialitate pentru WordPress, oferind un set cuprinzător de instrumente care include notificări privind cookie-urile, pagini legale, înregistrări ale consimțământului și multe alte caracteristici. MonsterInsights este un plugin pregătit pentru GDPR, care vă permite să conformați Google Analytics cu GDPR. Oferă multe alte funcții care nu sunt legate de GDPR, inclusiv analize și urmărire.

WPassword vă permite să implementați politici de parole pentru utilizatorii dvs., asigurându-vă că sunt utilizate parole puternice. Având parole WordPress puternice, vă reduce la minimum riscul de încălcare, asigurându-vă că datele utilizatorilor sunt întotdeauna păstrate în siguranță.

WP Activity Log păstrează un jurnal de activitate al activității utilizatorilor și a sistemului pe site-urile dvs. WordPress, înregistrând cine a făcut ce și când. Include, de asemenea, un modul de sesiune utilizator pentru a vă ajuta să gestionați mai bine sesiunile utilizatorilor.

WP 2FA vă permite să implementați cu ușurință 2FA pe site-ul dvs. WordPress - o cerință a GDPR și a altor standarde și reglementări, inclusiv PCI DSS. Oferă mai multe canale de autentificare pentru a vă ajuta să includeți toți utilizatorii.

Cum să alegeți pluginurile GDPR

Caracteristici – Plugin-urile vin în diferite forme și dimensiuni, cu diferite seturi de caracteristici și la diferite puncte de preț. În timp ce pluginurile gratuite sunt întotdeauna drăguțe, pluginurile premium tind să aibă mai multe funcții de afaceri, pe care site-ul dvs. le-ar putea găsi esențiale pentru succesul său.

Integrare – Va trebui să vă asigurați că orice plugin pe care îl alegeți poate funcționa cu tema dvs. WordPress și orice plugin-uri terță parte pe care le utilizați, cum ar fi pluginurile pentru formulare de contact. Cele mai bune pluginuri WordPress sunt întotdeauna testate cu pluginuri terțe majore, asigurând o implementare mai lină în majoritatea cazurilor.

Prețuri – Majoritatea pluginurilor vin într-o versiune premium și o versiune gratuită. În cele mai multe cazuri, versiunea gratuită va oferi funcționalități de bază, în timp ce versiunea premium va include suplimente care pot fi sau nu importante pentru site-ul și afacerea dvs. Versiunile gratuite pot fi descărcate din depozitul oficial WordPress de la WordPress.org, iar pluginurile premium sunt de obicei descărcate de pe site-ul producătorului.

Asistență – Uneori, lucrurile se rup și, atunci când se întâmplă, este esențial să aveți un suport bun pentru a minimiza timpul de nefuncționare. Aceasta poate fi sub formă de asistență prin e-mail, documentație și întrebări frecvente GDPR pentru a vă ajuta să obțineți răspunsuri rapide la întrebările importante. De asemenea, vă poate ajuta să vă asigurați că aveți ajutor la îndemână dacă aveți nevoie de el în orice moment.

întrebări frecvente

Ce înseamnă WP GDPR?

WP GDPR este un acronim care înseamnă WordPress General Data Protection Regulation. Se referă la conformitatea cu GDPR pe site-urile WordPress, ceea ce necesită o bună înțelegere atât a GDPR, cât și a datelor despre utilizatori pe care le colectați de la vizitatorii și utilizatorii site-ului web.

WordPress respectă GDPR?

WordPress oferă funcții conforme cu GDPR; cu toate acestea, acest lucru nu face neapărat ca fiecare site WordPress să fie conform GDPR. În funcție de modul în care ați configurat site-ul dvs. WordPress, pentru ce îl utilizați și de datele pe care le colectați, este posibil să fie necesar să luați măsuri suplimentare pentru a atinge conformitatea cu GDPR.

Cum fac WordPress conform GDPR?

Trebuie să faceți mai multe lucruri pentru a vă face WordPress conform GDPR. Din păcate, nu există o formulă universală care să se aplice tuturor, deoarece site-urile WordPress pot fi drastic diferite unele de altele. Consultați articolul nostru pentru a înțelege care sunt responsabilitățile dvs. și ce pași trebuie să luați pentru a atinge conformitatea cu GDPR.