如何使您的 WordPress 网站符合 GDPR

已发表: 2021-02-04
如何使您的 WordPress 网站符合 GDPR

WordPress 对其他内容管理系统的优势是无与伦比的。 拥有超过 6000 万用户,WordPress 的统治将不受影响。 在这篇文章中,我将分享一些有用的技巧,让您的 WordPress 网站实现 GDPR 合规性。

什么是通用数据保护条例 (GDPR)?

通用数据保护条例 (GDPR) 是欧洲议会于 2016 年 4 月通过的数据保护立法。制定该条例的目的是保护欧盟 (EU) 和欧洲经济区 (EEA) 国家免受数据泄露。 该法律旨在通过其在欧盟境内开展业务的标准来保障人民的权利和自由。

欧盟 GDPR 于 2018 年 5 月 25 日生效,因为许多欧盟和成员国对其数据保护法进行了重大修改以适应该法规并执行该法规。

GDPR 的到来促使许多组织努力实现合规。 在大多数情况下,不遵守 GDPR 会导致高额罚款。 它适用于在欧盟/欧洲经济区国家处理人们个人数据的任何组织、机构或个人。

GDPR 的基础建立在其数据处理原则之上。 这些原则通常是 GDPR 合规性的主导因素。 除此之外,欧盟个人的数据权利使欧盟 GDPR 成为世界上重要的数据隐私和保护立法。

GDPR 的七项原则

  • 合法、公平和透明:个人数据应合法、公平和透明地处理。 处理角色数据应该有法律依据,同意在大多数情况下适用(网站)。 在未经用户自由给予和明确表示同意的情况下收集个人数据然后对其进行处理是非法的。
  • 目的限制:收集的数据只能用于计划目的。
  • 数据最小化:不要收集超过或超出您的目的所需的数据。
  • 准确性:保持收集的数据准确和最新。 应立即删除或纠正不准确的数据。
  • 存储限制:不要将个人数据存储超过必要的时间。
  • 完整性和机密性(安全性):安全地存储和处理收集的数据。
  • 问责制:您必须承担遵守 GDPR 的责任,并在必要时证明您的组织的合规性。

人的 GDPR 权利

它使人们可以控制他们的数据:

  • 它们赋予人们知情权:要求有关数据处理活动的详细信息的权利
  • 访问权:访问和接收存储的个人数据副本的权利
  • 更正权:在不准确的情况下更正个人数据或更新的权利
  • 删除权(Right to forget):删除自己数据的权利
  • 限制处理权:限制数据处理活动的权利
  • 数据传输权:将数据传输到另一个组织的权利
  • 以及反对权:反对数据处理活动的权利
  • 自动决策和分析:反对基于用户配置文件的自动决策的权利

您可以在此处阅读该法规的全文。

使您的 WordPress 网站符合 GDPR 的 11 种方法?

我为您带来了 11 种让您的 WordPress 网站开始符合 GDPR 的方法,并提供了一些插件和应用程序建议。

在继续之前,我建议您记得将 WordPress 版本更新到 4.9.6 或更高版本,以获得一些惊人的功能来帮助您的网站遵守 GDPR。

记录您的数据处理活动

查看您的数据库以及您的网站如何收集和处理用户的个人数据,包括插件和其他外部服务。

它会告诉你很多关于你需要工作的领域以及可能导致麻烦的风险领域。

显示 Cookie 同意通知

任何网站都需要 cookie 同意通知,以告知用户它将存储在其设备上的 cookie。 而且,根据 GDPR 标准,在获得用户明确同意之前,您不能存储 cookie(营销、分析)。

因此,您的 cookie 管理必须确保他们提供有关 cookie 的足够信息,并在获得用户同意之前阻止此类 cookie。

首先,您必须检查网站是否有 cookie。 您可以使用免费的在线 cookie 扫描仪轻松完成此操作。 然后,您必须添加一个 cookie 横幅,以提醒网站用户有关这些 cookie 的信息。

各种插件,例如 GDPR Cookie 同意或 cookie 同意应用程序,将帮助您在 WordPress 网站上安装 cookie 同意横幅。 它还会在用户同意之前自动阻止第三方 cookie。 您还可以更改横幅的内容以适应您网站的要求。 它还在您的网站上添加了一个 cookie 审核表,以便与用户共享信息。

为网站表单添加同意复选框

您的 WordPress 网站表单必须具有同意复选框才能通过它们收集个人数据。 未经用户选中同意框,您无法存储在表单中输入的数据。

请务必注意,预先勾选的同意复选框无效,并被视为违反 GDPR。

WPForms 是一个很棒的插件,用于添加符合 GDPR 的网站表单。 他们具有“GDPR 增强功能,可停止收集或存储在表单中输入的用户数据,例如 IP 地址和设备信息,并停用跟踪 cookie。

“GDPR 协议”字段将在表单中添加一个同意复选框,以征求用户同意存储他们的数据。

对电子邮件实施双重选择

建议采用双重选择方法来注册用户同意发送时事通讯或营销电子邮件。

双重选择是在用户注册电子邮件营销后通过电子邮件发送验证链接来验证用户订阅。

每封电子邮件都必须包含取消订阅链接,以便用户随时撤回同意或取消订阅。

启用用户权限设置

您的 WordPress 网站必须具有系统设置,以使用户能够行使 GDPR 权利。

在 WordPress 4.9.6 及更高版本中,有一些设置可以让用户删除或导出他们的个人数据。

要启用这些设置:

  • 单击 WordPress 仪表板上的工具
  • 选择导出个人数据或删除个人数据

您必须提交电子邮件地址才能将电子邮件发送给用户以验证他们的请求。

删除个人数据第 1 步
删除个人数据步骤 2

此外,您可以实施其他措施来验证和执行与用户权利相关的其他请求,例如访问权、限制处理权或修改数据的权利。

像 Delete Me 这样的插件可以让用户从网站上删除他们的数据。

让您的网站获得 SSL 认证

SSL 证书是小型数据文件,当托管在 Web 服务器上时,它会对用户浏览器和服务器之间交换的任何数据进行加密。

因此,如果用户共享任何个人数据,例如支付信息,它会对其进行加密并保持连接安全。

加强登录安全

WordPress 网站可能要求用户创建帐户以发表评论、链接。 如果网站的登录点不够强,黑客很容易攻破网站。

增强登录安全性的最佳做法是实施双因素身份验证 (2FA)。 2FA 是使用两个或更多证据的记录方法,而不仅仅是用户名-密码组合。

仅允许包含字母数字字符的强密码也是有益的。

保留远程数据备份

如果发生导致数据丢失的数据泄露,维护数据备份将被证明是至关重要的。 您可以恢复丢失的数据。

但是,保持数据备份有点棘手。 您必须确保数据备份符合 GDPR。 您必须确保它们非常安全。 而恢复数据也是一种处理方式,将受到 GDPR 的审查。

它还可能影响某些用户权限,例如删除权限,因为用户可能不知道备份的存在。

因此,只能在专家的适当指导下进行远程备份。

BackWPup 是一个很棒的远程备份插件。 它安全地加密数据并创建日志以便于记录。 如果备份遇到任何问题,您将立即收到警报通知。

更新您的隐私政策

为了符合 GDPR 对透明度的要求,您必须告知您的用户:

  • 网站收集的个人数据类型
  • 收集个人资料的目的
  • 网站如何使用、存储和共享数据
  • 撤回用户同意的方法
  • 用户如何请求访问、删除或修改他们的数据
  • 用户请求停止处理其数据或将其转移到其他地方的方法
  • 您为保护个人数据所做的工作

您网站的隐私政策页面必须反映所有这些信息。 WordPress 4.9.6 及更高版本允许您将隐私政策页面添加到您的网站。

  • 单击 WordPress 仪表板中的设置
  • 选择隐私

您将看到创建隐私政策页面的选项。

隐私政策生成器

它会打开一个已经生成的编辑器页面,您只需将相关信息添加到您的网站。 或者,为方便起见,您可以使用免费的在线隐私政策生成器,该生成器将为包含所有相关信息的政策页面创建即用型内容。 您只需将文本复制并粘贴到编辑器中即可。

检查插件和应用程序的 GDPR 协议

插件可帮助 WordPress 网站更流畅地运行并扩展其功能列表。 从前面提到的许多插件示例中可以明显看出这一点。

但是,您一定不要错过查看您安装的所有外部插件和应用程序的 GDPR 协议。 如果他们不遵守 GDPR 标准,就会使您的网站面临风险。 您必须确保他们有足够的措施来保护他们收集的数据或您的网站与他们共享的数据。

流行的第三方服务已与 GDPR 保持一致,但您仍需保持谨慎。

选择符合 GDPR 的网络托管服务提供商

如果您的网站托管在 Web 服务器上,则必须确保其安全措施符合 GDPR 标准。

您存储在服务器系统上的任何数据都必须安全保存,并采取适当的技术和组织措施。

因此,请选择符合 GDPR 的托管服务提供商。

包起来

值得一提的是,遵循 T 的这些步骤并不能确保您的 WordPress 网站 100% 符合 GDPR。 您可能需要寻求一些专业指导以避免任何违规风险。

但是,这些对于将您的网站设置在符合 GDPR 的正确路径上很有用。

如果我错过了任何重要的点,请在评论中告诉我。 我会很感激你对这个话题的想法。