GDPR 和 WordPress
已发表: 2022-11-10GDPR 代表通用数据保护条例。 这是一项广泛的欧盟(欧盟)法规,代表了处理欧盟公民数据的任何人的最低要求。 该条例共99条,分为11章。 虽然这听起来令人生畏,但将其分解可以帮助我们了解其关键点以及它如何影响 WordPress 网站。
在欧盟颁布 GDPR 后,其他几个国家和司法管辖区从该法规中汲取灵感更新了其法律,包括英国、日本、巴西、土耳其等。 尤其是加利福尼亚,有自己的版本,称为 CCPA——加利福尼亚消费者隐私法。
在本文中,我们将探讨 GDPR 的核心原则,特别关注它们与保护个人数据的关系。
免责声明:本文不构成法律建议。 您应该认真对待隐私法。 违反 GDPR 规则的处罚可能非常严厉,最高可达 2000 万欧元或总收入的 4%——以最高金额为准。 如有疑问,请寻求专业意见。
目录
- 1. WordPress GDPR 简介
- 2. 什么是个人资料
- 3. WordPress 上的个人数据收集
- 4. GDPR 和数据安全
- 5. WordPress GDPR 合规吗?
- 6. GDPR 技术合规入门
- 7. 帮助您实现 GDPR 合规性的 WordPress 插件
- 8. 常见问题
WordPress GDPR 简介
WordPress GDPR 的工作方式与任何其他网站 GDPR 相同。 由于 GDPR 非常全面,您如何实施它在很大程度上取决于您运行的 WordPress 网站的类型。 虽然法规的某些方面是通用的,但其他方面将取决于您的实施和业务。 例如,电子商务网站的要求与运行博客的 WordPress 网站的要求有很大不同。
GDPR 的四位参与者
在我们开始研究 GDPR 的核心原则之前,有必要花几分钟时间了解参与者是谁。 将参与者视为 GDPR 认为对其实施至关重要的角色。 我们需要了解四个演员。 了解这些角色将有助于我们更好地了解谁对什么负责,并使对法规的理解更加容易。
1.数据主体
对于 WordPress 网站,数据主体是来自欧盟的网站访问者。 数据主体一词直接指我们收集的数据所属的人。
2. 数据控制者
作为收集数据的网站所有者,这就是您。 数据控制者有几项职责。 在查看 GDPR 的七项原则时,我们将详细介绍这些内容。
作为数据控制者,您需要能够证明您符合 GDPR。 不这样做会将您归类为不符合所有意图和目的。 为此,了解数据控制者在法律眼中的责任是有益的。
3.数据处理器
数据处理者是代表数据控制者(您)处理数据的个人或公司。
旁注:在这个阶段,必须了解 GDPR 将什么视为数据处理,因为处理数据的实体有一定的义务。 为此,GDPR 将对数据采取的任何行动视为数据处理,从简单的收集和存储到使用、组织和任何其他形式的处理。
4. 数据保护官 (DPO)
数据保护官(简称 DPO)是负责收集的个人数据的 GDPR 合规性的人。 虽然并非所有数据控制者和数据处理者都需要 DPO,但您始终可以在组织内指定一名 DPO,以确保遵守 GDPR。
GDPR 的七项原则
如前所述,GDPR 有七项管理个人数据处理的原则。 这些原则基于数据保护和问责制,从而确保遵守法律。 这些原则共同构成了一个框架,可以帮助您遵守 GDPR。
原则 1:合法、公平、透明的处理
您必须按照法律规定的规定处理数据,并对数据主体公平、透明地处理数据。 这意味着您必须清楚并预先了解您正在收集哪些数据、为什么需要它以及如何使用它。 确保所有信息都以简单的英语提供同样重要。
原则 2:合法处理
您必须在数据主体同意的情况下处理数据。 如前所述,在收集和处理他们的数据之前,您必须征得用户/访问者的同意。
原则 3:最少的数据收集
仅应收集处理直接需要且用户同意的数据。 即使在 GDPR 之外,这也是一种很好的做法,因为它遵循减少移动部件的原则。
原则 4:数据的准确性
您必须及时更新收集的个人数据。 任何数据主体都可以请求删除或更新他们的数据——您需要在 30 天内完成此请求。 在这种情况下,您必须采取“每一个合理的步骤”来满足数据主体的意愿。
原则 5:数据存储
您应该只在需要时保留数据。 由于这可能非常主观(客户何时不再是客户?),因此强烈建议您提供专业的法律建议,以确保您不会违反此原则。
原则 6:数据安全性、机密性和完整性
这个原则是所有七个原则中技术性最强的。 它让数据控制者有责任确保防止未经授权的访问、盗窃、丢失、破坏或损坏的保护措施到位,以确保个人数据的完整性和机密性。
原则 7:问责制
问责制对于确保您始终满足 GDPR 的要求至关重要。 这意味着拥有必要的符合 GDPR 的流程文档、程序、通知、记录和评估。 GDPR 规定,数据控制者必须能够证明他们遵守 GDPR。
什么是个人数据?
GDPR 并不能保护所有类型的数据。 其主要目的是保护个人数据。 为此,个人数据包括可以直接或间接识别个人身份的任何数据。 由于个人数据的定义相当开放,因此建议采取谨慎行事的策略。
WordPress 上的个人数据收集
根据您配置 WordPress 网站的方式,您可能会从您的用户和网络访问者那里收集各种类型的个人数据。 作为数据控制者,您有责任确定正在收集哪些个人数据,并确保所有相关流程都符合 GDPR。
当您既是数据控制者又是数据处理者时,这可能很容易。 这方面的一个例子是没有使用外部服务的 WooCommerce GDPR 合规性。 但是,当使用分析和广告等第三方服务时,事情可能会变得有些模糊。
虽然 GDPR 不禁止收集任何个人数据,但它制定了有关如何收集、处理和存储数据的具体规定。 虽然建议您全面了解法规,但欧盟提供了七项指导原则来帮助您制定数据战略以符合 GDPR 要求。
GDPR 和数据安全
数据安全是 GDPR 的一个重要方面,鼓励采取技术和组织措施来确保数据保护和安全。 为了遵守 GDPR,数据保护必须是“按设计和默认设置”。 这意味着您应该将数据保护考虑纳入您所做的所有事情中,而不是事后才考虑。
技术措施
GDPR.EU 提供了两个可用于保护用户数据的技术措施示例。 第一个是双重身份验证,幸运的是,对于 WordPress 管理员来说,由于 WP 2FA,它很容易实现。 这个 WordPress 2FA 插件支持多个身份验证通道。 它捆绑了许多有用的功能,可帮助您确保 2FA 部署持续成功。
第二个例子是端到端加密。 需要注意的是,GDPR 并未完全强制要求加密。 相反,它强调保护个人数据的适当措施——加密就是这种措施的一个例子。 这些措施,无论它们是什么,都应该涵盖两种数据状态——传输中的数据和静止的数据。
了解传输中的数据和静态数据
传输中的数据是通过网络发送的数据。 另一方面,静态数据是指静止的数据,例如数据库中的数据。 在您的 WordPress 上使用 SSL/TLS 证书将帮助您确保传输中的数据是加密的。 电子邮件和其他通信渠道的加密同样重要。
静止的个人数据稍微复杂一些。 首先,您需要确定您在 WordPress 数据库中存储的个人数据类型。 我们在前面的部分中介绍了这一点。 虽然 WordPress 默认不收集个人数据,但自定义表单和第 3 方插件可能会收集此类数据。
WordPress 目前不提供数据加密。 因此,您必须采取其他措施来确保数据尽可能安全。 强大的 WordPress 密码策略是您可以采取的步骤之一,以确保访问尽可能安全。 当然,这应该伴随着符合最小特权原则的访问策略。
数据收集和同意
您应该将[a] 数据收集最小化到绝对必要的数据收集目的,并且在可能的情况下,您应该将其匿名[b]。 即便如此,必须始终获得数据主体的同意——解释您收集数据的原因以及您将如何使用它。
同意是 GDPR 的重要组成部分。 同意必须是明确的,这意味着您不能将其隐藏在细则中。 您必须确保以清晰明了的语言编写所有政策。 此外,您必须单独获得同意——因为您不能将其包含在其他声明中。
数据主体也有权随时撤回同意。 撤回同意必须像给予同意一样容易。 此外,数据主体保留删除权,他们可以要求删除与其相关的所有个人数据。
数据处理
典型的 WordPress 网站以各种方式收集和处理数据。 虽然几乎不可能涵盖所有网站上收集和处理数据的所有方式,但我们可以查看一些典型示例来了解 GDPR 如何影响这些。
分析
Google Analytics 和 Hotjar 等分析工具代表您处理客户数据。 在 GDPR 看来,这使他们成为了第 3 方数据处理器。 即便如此,您仍应对该数据发生的情况负责,这意味着您必须采取一些预防措施以确保合规性。
拥有一件非常重要的事情是所谓的数据处理协议。 双方必须签署的这份书面协议明确规定了各方的责任。 这份文件具有法律约束力,签署它可以为您省去很多麻烦。
如果您与第三方集成,无论是通过分析插件还是直接集成,这一点尤其重要。 无论哪种方式,都必须了解正在收集哪些数据,无论是其地理位置信息,
饼干
分析工具、WordPress、一些插件和主题使用 cookie 来存储和跟踪用户和访问者信息。 作为数据控制者,您需要了解每个 cookie 的作用,并获得每个 cookie 数据收集的明确许可。
此外,用户必须能够选择他们同意的内容,并且同样能够随时撤回他们的同意。 同意必须每年更新,并且必须作为法律文件保存。
GDPR Cookie 同意
自 2002 年以来,Cookie 一直受到其自己的欧盟法规的约束——当时 ePrivacy 指令(也称为 cookie 法)生效。 欧盟于 2009 年进一步修订了该法律。它是对欧盟 GDPR 的补充,在某些情况下,它会覆盖它。
ePrivacy Directive,简称 EPD,即将被 EPR – ePrivacy Regulation 取代。
指令和法规之间的区别是技术上的区别。 指令必须由欧盟内每个国家的政府纳入法律,而法规是欧盟范围内的法律。
无论哪种方式,要遵守,您必须:
- 在使用任何 cookie 之前征求用户的明确同意
- 在用户选择加入时,向用户提供有关被跟踪的每个数据的简明语言信息
- 即使用户拒绝某些 cookie,也允许用户进行全方位服务访问
- 记录用户同意
- 允许用户撤回同意
WordPress GDPR 合规吗?
WordPress 在 4.9.6 版本中引入了一些功能,使遵守 GDPR 变得更加容易。 虽然这些功能不一定使您符合 GDPR(稍后会详细介绍),但它们将帮助您确保您已涵盖基础知识。
个人数据导出
如果用户提出数据请求,您可以轻松导出所有用户的数据。 要导出用户的个人数据,只需导航到工具 > 导出个人数据,然后在提供的文本框中输入用户的用户名或电子邮件地址。
您还可以通过选中确认电子邮件复选框来发送确认电子邮件。
个人数据擦除
为了遵守被遗忘的权利,WordPress 还提供了个人数据擦除功能。 您可以通过导航到工具 > 删除个人数据来访问此功能。 与个人数据导出功能一样,还有发送确认电子邮件的选项。
隐私政策
拥有隐私政策页面只是迈向 GDPR 合规性的一小步,但却是非常重要的一步。 虽然拥有自定义隐私政策是理想的,因为这可以让您考虑所有事情,但拥有模板可以帮助您更快地开始 - 这正是 WordPress 提供的。
您可以通过导航到设置 > 隐私并按照提供的说明访问此功能。
同意复选框
为了帮助遵守 GDPR cookie,WordPress 带有一个内置的 cookie 同意复选框,默认情况下启用。 请记住,这仅对评论用户有效 - 如果您配置任何其他丢弃 cookie 的内容,您需要处理其余部分。
您可以通过导航到设置 > 讨论来启用此设置。
遵守 GDPR
遵守 GDPR 并不是一个一次性的过程,您可以完成一次就扔到最后。 虽然最初的合规工作将是最费力的,但在这里投入一些额外的时间将在未来产生红利。
它不仅可以使您的网站保持合规性,而且还可以确保维护和更新花费尽可能少的时间。 为此,您需要:
盘点——您需要采取的第一步是评估您正在收集哪些个人数据以及这些数据的存储位置。 存储在 cookie 中的电子邮件营销列表、用户配置文件和用户数据是您需要考虑的一些事项。 确保您记下可识别信息,包括化名、IP 地址等。实际列表将取决于您收集的数据以及处理方式。
安装同意插件并确保每个数据处理都有一个同意复选框。 虽然我们将在短时间内更多地讨论此类插件,
用户友好的法律页面- 确保所有政策页面,例如您的隐私政策页面,都以任何人都可以理解的简单英语书写。
Cookie 同意横幅- 添加 cookie 通知横幅,告知用户或访问者您正在收集哪些数据以及为什么要收集,同时提供选择加入或退出的选项。
GDPR 技术合规性入门
遵守 GDPR 需要技术和运营方面的努力。 虽然您的义务将取决于您的具体设置和情况,但基本内容往往是相同的。 这些包括:
- 强化 WordPress 网络服务器
- 强化 PHP 以提高 WordPress 安全性
- 强化 WordPress 网站
强大的 WordPress 密码策略是 GDPR 合规性的另一个重要方面,因为它可以确保更好的整体帐户安全性。 您可以使用 WPassword 轻松实现这一点,其中包括许多 WordPress 密码安全选项,以确保您的 WordPress 安全。 同样,在 WordPress 上启用 2FA 可以让您更接近遵守 GDPR,许多研究表明 2FA 在阻止大多数攻击方面的有效性。
要记住的一件事是,WordPress 安全性是一个迭代过程——它不是你设置一次就忘记的东西,但它需要不断的监控和调整,以确保它随着技术的发展而保持强大。
WordPress 插件可帮助您实现 GDPR 合规性
GDPR 优化不需要繁琐。 借助 WordPress 插件,您可以轻松确保履行所有义务。 请记住,没有一个插件可以确保完全合规。 由于不同网站的要求可能有所不同,因此您有责任确保满足所有法律要求。 如有疑问,请咨询律师/律师。
Cookieyes专注于帮助网站所有者实现符合 GDPR 要求的 cookie 合规性。 此外,它还支持遵守 aCCPA、CNIL 和 LGDP。
Complianz将自己标记为 WordPress 的隐私套件,提供一整套工具,包括 cookie 通知、法律页面、同意记录和许多其他功能。 MonsterInsights 是一个支持 GDPR 的插件,可让您使 Google Analytics 符合 GDPR。 它提供了许多其他与 GDPR 无关的功能,包括分析和跟踪。
WPassword允许您为用户实施密码策略,确保使用强密码。 拥有强大的 WordPress 密码可以最大限度地降低您的违规风险,确保用户数据始终安全。
WP Activity Log在您的 WordPress 网站上保留用户和系统活动的活动日志,记录谁在何时做了什么。 它还包括一个用户会话模块,可帮助您更好地管理用户会话。
WP 2FA允许您在 WordPress 网站上轻松实施 2FA——这是 GDPR 和其他标准和法规(包括 PCI DSS)的要求。 它提供了多种身份验证通道,可帮助您让所有用户都参与进来。
如何选择 GDPR 插件
功能- 插件具有不同的形状和大小,具有不同的功能集和不同的价格点。 虽然免费插件总是很好,但高级插件往往具有更多的业务功能,您的网站可能会发现这些功能对其成功至关重要。
集成- 您需要确保您选择的任何插件都可以与您的 WordPress 主题和您可能正在运行的任何 3rd 方插件一起使用,例如联系表单插件。 最好的 WordPress 插件始终使用主要的 3rd 方插件进行测试,以确保在大多数情况下更顺畅地实施。
定价——大多数插件都有高级版和免费版。 在大多数情况下,免费版将提供基本功能,而高级版将包括对您的网站和业务可能或可能不重要的插件。 免费版本可以从 WordPress.org 的官方 WordPress 存储库下载,高级插件通常从制造商的网站下载。
支持– 有时,事情会中断,当它们发生时,拥有良好的支持对于最大限度地减少停机时间至关重要。 这可以通过电子邮件支持、文档和 GDPR 常见问题解答的形式帮助您快速获得重要问题的答案。 它还可以帮助您确保在您需要时随时提供帮助。
经常问的问题
WP GDPR 是什么意思?
WP GDPR 是一个首字母缩写词,代表 WordPress 通用数据保护条例。 它指的是 WordPress 网站上的 GDPR 合规性,这需要很好地了解 GDPR 以及您从网站访问者和用户那里收集的用户数据。
WordPress GDPR 合规吗?
WordPress 提供符合 GDPR 的功能; 但是,这并不一定会使每个 WordPress 网站都符合 GDPR。 根据您设置 WordPress 网站的方式、您使用它的目的以及您收集的数据,您可能需要采取额外的步骤来实现 GDPR 合规性。
如何使 WordPress GDPR 兼容?
您需要做几件事来使您的 WordPress GDPR 兼容。 不幸的是,没有适用于所有人的万能公式,因为 WordPress 网站可能彼此之间存在巨大差异。 请参阅我们的文章以了解您的职责是什么以及您需要采取哪些步骤来实现 GDPR 合规性。