Как сделать ваш сайт WordPress совместимым с GDPR

Опубликовано: 2021-02-04
Как сделать ваш сайт WordPress совместимым с GDPR

Превосходство WordPress над другими системами управления контентом непревзойденно. С более чем 60 миллионами пользователей господство WordPress останется неизменным. В этом посте я поделюсь некоторыми полезными советами, которые помогут вашему веб-сайту WordPress соответствовать GDPR.

Что такое Общее положение о защите данных (GDPR)?

Общий регламент по защите данных (GDPR) — это закон о защите данных, принятый Европейским парламентом в апреле 2016 года. Цель формирования регламента — защитить страны Европейского союза (ЕС) и Европейской экономической зоны (ЕЭЗ) от утечек данных. Закон направлен на защиту прав и свобод людей с его стандартами ведения бизнеса на территории ЕС.

GDPR ЕС вступил в силу 25 мая 2018 года, поскольку многие страны ЕС и государства-члены внесли существенные изменения в свои законы о защите данных, чтобы приспособить это положение и обеспечить его соблюдение.

Появление GDPR побудило многие организации работать над его соблюдением. В большинстве случаев несоблюдение регламента GDPR приводит к наложению суровых штрафов. Это относится к любой организации, органу или физическому лицу, которые обрабатывают персональные данные людей в странах ЕС/ЕЭЗ.

В основе GDPR лежат принципы обработки данных. Эти принципы часто являются определяющими факторами для соблюдения GDPR. Вдобавок к этому, права граждан ЕС на данные делают GDPR ЕС важным законодательством о конфиденциальности и защите данных в мире.

Семь принципов GDPR

  • Законность, справедливость и прозрачность. Персональные данные должны обрабатываться законно, справедливо и прозрачно. Должны быть законные основания для обработки персональных данных, согласие на которые применяется в большинстве случаев (веб-сайты). Сбор персональных данных и последующая их обработка без добровольно данного и недвусмысленно выраженного согласия пользователя являются неправомерными.
  • Ограничение цели: собранные данные должны обрабатываться только для запланированной цели.
  • Минимизация данных: не собирайте больше данных, чем требуется для вашей цели.
  • Точность: храните собранные данные точными и актуальными. Неточные данные должны быть стерты или исправлены без промедления.
  • Ограничение хранения: не храните личные данные дольше, чем это необходимо.
  • Целостность и конфиденциальность (безопасность): Безопасное хранение и обработка собранных данных.
  • Подотчетность: вы должны взять на себя ответственность за соблюдение GDPR и при необходимости обосновать соблюдение требований вашей организацией.

GDPR права людей

Это дает людям некоторый контроль над своими данными:

  • Они дают людям право на получение информации: право запрашивать подробности о действиях по обработке данных.
  • Право на доступ: право на доступ и получение копии сохраненных личных данных
  • Право на исправление: право на исправление личных данных в случае неточности или обновление
  • Право на стирание (Право на забвение): право на удаление своих данных
  • Право на ограничение обработки: право на ограничение действий по обработке данных
  • Право на передачу данных: право на передачу данных другой организации
  • И право на возражение: право возражать против действий по обработке данных
  • Автоматизированное принятие решений и профилирование: право возражать против автоматического принятия решений на основе профиля пользователя.

Полный текст регламента можно прочитать здесь.

11 способов сделать ваш сайт WordPress совместимым с GDPR?

Я предлагаю вам 11 способов запуска вашего веб-сайта WordPress в соответствии с GDPR, а также некоторые рекомендации по плагинам и приложениям.

Прежде чем продолжить, я предлагаю вам не забыть обновить версию WordPress до 4.9.6 или выше, чтобы получить некоторые удивительные функции, которые помогут вашему веб-сайту соответствовать GDPR.

Ведите учет своих действий по обработке данных

Проверьте свою базу данных и то, как ваш веб-сайт собирает и обрабатывает личные данные пользователей, включая плагины и другие внешние службы.

Он расскажет вам многое о областях, над которыми вам нужно работать, и о рискованных областях, которые могут вызвать проблемы.

Показать уведомление о согласии на использование файлов cookie

Любой веб-сайт требует уведомления о согласии на использование файлов cookie, чтобы информировать пользователей о файлах cookie, которые он будет хранить на их устройстве. И, согласно стандартам GDPR, вы не можете хранить файлы cookie (маркетинговые, аналитические), пока не получите явное согласие пользователей.

Поэтому ваше управление файлами cookie должно гарантировать, что они предоставляют адекватную информацию о файлах cookie и блокируют такие файлы cookie до получения согласия пользователя.

Во-первых, вы должны проверить веб-сайт на наличие файлов cookie. Вы можете легко сделать это с помощью бесплатных онлайн-сканеров файлов cookie. Затем вы должны добавить баннер файлов cookie, который будет предупреждать пользователей веб-сайта об этих файлах cookie.

Различные плагины, такие как GDPR Cookie Consent или приложения для получения согласия на использование файлов cookie, помогут вам установить баннер согласия на использование файлов cookie на вашем веб-сайте WordPress. Он также автоматически блокирует сторонние файлы cookie до того, как пользователь даст согласие. Вы также можете изменить содержимое баннера в соответствии с требованиями вашего сайта. Он также добавляет таблицу аудита файлов cookie на ваш веб-сайт, чтобы делиться информацией с пользователями.

Добавить флажки согласия для форм веб-сайта

Формы вашего веб-сайта WordPress должны иметь флажки согласия на сбор личных данных через них. Вы не можете сохранить данные, введенные в форму, если пользователь не отметит поле согласия.

Важно отметить, что предварительно установленные флажки согласия недействительны и считаются нарушением GDPR.

WPForms — отличный плагин для добавления форм веб-сайтов, соответствующих GDPR. У них есть «функции улучшения GDPR, чтобы остановить сбор или хранение пользовательских данных, введенных в форму, таких как IP-адрес и информация об устройстве, а также деактивировать отслеживающие файлы cookie.

Поле «Соглашение GDPR» добавит в форму флажок согласия, чтобы запросить согласие пользователя на хранение его данных.

Реализовать двойную подписку на электронные письма

Рекомендуется использовать метод двойного согласия для регистрации согласия пользователя на отправку информационных бюллетеней или маркетинговых электронных писем.

Двойная подписка проверяет подписки пользователей, отправляя ссылку для подтверждения по электронной почте после того, как они подпишутся на электронный маркетинг.

Каждое электронное письмо должно содержать ссылку для отказа от подписки, чтобы пользователи могли отозвать свое согласие или отменить подписку в любое время.

Включить настройки прав пользователя

Ваш веб-сайт WordPress должен иметь системные настройки, чтобы пользователи могли использовать права GDPR.

В WordPress 4.9.6 и выше есть настройки, позволяющие пользователям стирать или экспортировать свои личные данные.

Чтобы включить эти настройки:

  • Нажмите «Инструменты» на панели инструментов WordPress.
  • Выберите «Экспортировать личные данные» или «Удалить личные данные».

Вы должны указать адрес электронной почты, чтобы отправлять электронные письма пользователям, чтобы подтвердить их запрос.

Удалить личные данные шаг 1
Удалить личные данные шаг 2

Кроме того, вы можете реализовать другие меры для проверки и выполнения других запросов, связанных с правами пользователя, такими как право на доступ, право на ограничение обработки или право на изменение данных.

Такие плагины, как Delete Me, позволяют пользователям удалять свои данные с веб-сайта.

Получите сертификат SSL для вашего сайта

SSL-сертификаты — это небольшие файлы данных, которые шифруют любые данные, которыми обмениваются браузер пользователя и сервер при размещении на веб-сервере.

Поэтому, если пользователь делится какими-либо личными данными, такими как платежная информация, он шифрует их и обеспечивает безопасность соединения.

Усильте безопасность входа

Веб-сайты WordPress могут потребовать от пользователей создания учетных записей для публикации комментариев и ссылок. Если точка входа на веб-сайт недостаточно надежна, хакерам может быть легко взломать сайт.

Лучшей практикой повышения безопасности входа в систему является внедрение двухфакторной аутентификации (2FA). 2FA — это метод регистрации с использованием двух или более доказательств, а не просто комбинации имени пользователя и пароля.

Также было бы полезно разрешать только надежные пароли, содержащие буквенно-цифровые символы.

Сохраняйте удаленные резервные копии данных

В случае утечки данных, которая приводит к потере данных, сохранение резервных копий данных будет иметь решающее значение. Вы можете восстановить данные, которые вы потеряли.

Однако сохранить резервную копию данных немного сложно. Вы должны убедиться, что резервные копии данных соответствуют GDPR. Вы должны держать их в полной безопасности. И восстановление данных также является типом обработки, которая будет подлежать проверке GDPR.

Это также может повлиять на некоторые права пользователей, например право на удаление, поскольку пользователи могут не знать о наличии резервной копии.

Поэтому удаленное резервное копирование должно выполняться только под руководством экспертов.

BackWPup — отличный плагин для удаленного резервного копирования. Он безопасно шифрует данные и создает журнал для удобной документации. Вы немедленно получите оповещение, если резервное копирование столкнется с какой-либо проблемой.

Обновите свою политику конфиденциальности

Чтобы соответствовать требованию GDPR о прозрачности, вы должны информировать своих пользователей о:

  • типы персональных данных, которые собирает веб-сайт
  • цель сбора персональных данных
  • как веб-сайт использует, хранит и передает данные
  • способ отозвать согласие пользователя
  • как пользователи могут запросить доступ, стереть или изменить свои данные
  • способы, с помощью которых пользователи могут запросить прекращение обработки своих данных или передачу их в другое место
  • что вы делаете для защиты персональных данных

Страница политики конфиденциальности вашего веб-сайта должна отражать всю эту информацию. WordPress версии 4.9.6 и выше позволяет добавить на сайт страницу политики конфиденциальности.

  • Нажмите «Настройки» на панели инструментов WordPress.
  • Выберите Конфиденциальность

Вы увидите возможность создать страницу политики конфиденциальности.

Генератор политики конфиденциальности

Он открывает уже созданную страницу редактора, где вам просто нужно добавить соответствующую информацию на свой сайт. Или, чтобы упростить задачу, вы можете использовать бесплатный онлайн-генератор политики конфиденциальности, который создаст готовый к использованию контент для страницы политики со всей соответствующей информацией. Вам останется только скопировать и вставить текст в редактор.

Проверьте соглашение GDPR для плагинов и приложений.

Плагины помогают веб-сайту WordPress работать более плавно и расширяют список его функций. Это видно из многих примеров плагинов, упомянутых ранее.

Тем не менее, вы никогда не должны пропускать просмотр соглашения GDPR для всех внешних подключаемых модулей и приложений, которые вы устанавливаете. Если они не будут следовать стандартам GDPR, это поставит под угрозу ваш сайт. Вы должны убедиться, что у них есть адекватные меры для защиты данных, которые они собирают или которыми ваш веб-сайт делится с ними.

Популярные сторонние сервисы присоединились к GDPR, но вы все равно должны сохранять осторожность.

Выберите поставщика веб-хостинга, соответствующего GDPR

Если ваш веб-сайт размещен на веб-сервере, вы должны убедиться, что его меры безопасности соответствуют стандартам GDPR.

Любые данные, которые вы храните на серверной системе, должны храниться в безопасном месте с применением соответствующих технических и организационных мер.

Поэтому выбирайте хостинг-провайдера, который соответствует GDPR.

Подведение итогов

Стоит отметить, что выполнение этих шагов до T не гарантирует 100% соответствия GDPR для вашего веб-сайта WordPress. Возможно, вы захотите обратиться за профессиональным советом, чтобы избежать любого риска нарушений.

Тем не менее, они полезны для настройки вашего веб-сайта на правильный путь для соблюдения GDPR.

Если я упустил какой-то важный момент, пожалуйста, дайте мне знать в комментариях. Буду признателен за ваши мысли на эту тему.