TL;DR:GDPR是欧盟的一项新法规。它改变了每个WordPress网站开展业务的方式。甚至非欧盟地区的网站和企业也受到影响。您还有不到一年的时间来使您的WordPress网站符合GDPR。否则您将面临严重罚款——高达2000万欧元,甚至更多,信不信由您。
2018年5月25日,欧盟颁布的GDPR(通用数据保护条例)将正式生效。您的WordPress网站是否符合GDPR?在制作您的WordPress网站时,您必须采取哪些步骤来确保遵守准则?如果您忽视这一点会怎样?
这篇文章将帮助您为法规生效做好准备。
- 首先,我们将详细讨论GDPR准则、准则影响您业务的特定领域,以及为什么您应该关注WordPress GDPR合规性。
- 接下来,我们将介绍使WordPress网站符合准则的基础知识。
- 最后,我们将讨论在您的WordPress网站上使用插件的影响,以及您的GDPR合规性可能如何受到影响。
什么是GDPR?
免责声明。这篇文章不是法律建议。我们不是律师。
GDPR代表通用数据保护条例,这是欧盟的一项新的数据保护法,将于2018年5月生效。
GDPR的目的是让欧盟公民控制他们的个人数据,并改变全球组织对数据隐私的态度。
GDPR提供的规则比现有法律更强大,比“欧盟Cookie法”更加严格。
例如,用户必须确认可以收集他们的数据,必须有明确的隐私政策说明将存储什么数据、如何使用数据,并在需要时为用户提供撤回使用个人数据同意的权利(因此删除数据)。
GDPR适用于从世界任何地方收集的关于欧盟公民的数据。因此,任何有欧盟访问者或客户的网站都必须遵守GDPR,这意味着几乎所有想向欧洲市场销售产品或服务的企业都必须遵守。
为了更好地理解该法规,请查看欧盟官方公报上的法规出版物,其中定义了与该法律相关的所有术语。GDPR有两个主要方面:“个人数据”和“个人数据处理”。
以下是GDPR与运行WordPress网站的关系
- 个人数据涉及“任何与已识别或可识别的自然人相关的信息”——如姓名、电子邮件、地址甚至IP地址;最好认为任何数据都可以被视为个人数据,
- 而个人数据处理指“对个人数据执行的任何操作或一系列操作”。因此,在您的Web服务器日志中存储IP地址的简单操作就构成了对用户个人数据的处理。
GDPR应该认真对待吗?
网站管理员有直到2018年5月的时间来遵守GDPR规定的法规。不遵守的罚款可能高达2000万欧元,或者如果是企业,则高达上一财政年度全球年营业额的4%,以较高者为准。
根据违规的严重程度,有不同的罚款档次,这在GDPR门户网站的常见问题解答部分中有描述。
如此高额的罚款是为了提高合规性而提出的。然而,人们可能会想知道网站监督有哪些措施。各成员国的监管机构(SA)将在法律的大力支持下设立。每个成员国可以根据其宪法、行政和组织结构设立多个监管机构。监管机构将拥有多种权力:
- 对网站进行审计,
- 对违规行为发出警告,
- 发出带有截止日期的纠正措施。
监管机构拥有调查权和纠正权,以检查法律的合规性并提出变更建议。
现在推测各成员国监管机构如何相互联系和合作还为时过早,但有一点是明确的:监管机构将拥有相当大的权力来执行GDPR准则。
准则发布六个月后,PwC调查了200家大型美国公司的CXO以评估GDPR准则的影响。结果显示,大多数公司已将GDPR准则作为其数据保护的首要任务,其中76%的公司准备在GDPR上投入超过100万美元。这表明,由于在欧盟的大量业务,大型公司正在认真对待GDPR合规。
(图表由Visualizer Lite提供。)
您的WordPress GDPR合规详情
好的,既然所有官方信息都已经说明,让我们花点时间谈谈如何确保您的网站是合规的,这样您就不会遇到任何WordPress GDPR问题。
在继续介绍各个方面以及如何遵守它们之前,对您的WordPress网站进行安全审计通常可以揭示数据在服务器上是如何处理和存储的,以及遵守GDPR所需的步骤。安全审计日志插件可以帮助您对网站进行安全审计。
标准WordPress网站可能收集用户数据的一些常见方式:
- 用户注册,
- 评论,
- 联系人表单提交,
- 分析和流量日志解决方案,
- 任何其他日志工具和插件,
- 安全工具和插件。
以下是用户需要注意的WordPress GDPR的一些关键方面:
(a) 违规通知
根据GDPR合规性,如果您的网站发生任何类型的数据泄露,该泄露需要通知用户。
数据泄露可能导致个人权利和自由受到风险,因此及时通知用户变得非常必要。根据GDPR,首次意识到违规后必须在72小时内发出通知。数据处理者也需要在首次意识到数据泄露后立即通知用户和数据控制者。
在WordPress场景中,如果您发现数据泄露,您需要在此指定的时间范围内通知所有受影响的人。然而,这里的复杂性在于"用户"一词的定义——它可能包括常规网站用户、联系人表单提交者,甚至可能是评论者。
因此,GDPR的这一条款对评估和监控网站的安全性产生了法律要求。理想的方式是监控网络流量和网络服务器日志,但一个实用的选择是使用Wordfence插件并开启通知。总体而言,这一条款鼓励人们使用最佳安全实践来确保不发生数据泄露。
(b) 数据收集、处理和存储
三个方面:访问权、被遗忘权和数据可携带性。
- 访问权 为用户提供了数据处理和存储的完全透明度——收集了哪些数据点,这些数据点在哪里处理和存储,以及收集、处理和存储这些数据的原因。用户还必须获得其数据的副本。
- 被遗忘权 赋予用户删除个人数据的选项,并停止进一步收集和处理该数据。此过程涉及用户撤回对其个人数据使用的同意。
- GDPR 的数据可携带性条款赋予用户下载其个人数据的权利(用户此前已同意),并进一步将该数据传输给不同的控制者。
隐私设计鼓励控制者执行数据策略,只处理和存储绝对必要的数据。这鼓励网站所有者和控制者采用可能更安全的数据策略,限制对数据点的访问。
作为 WordPress 网站所有者,您首先需要发布一份详细政策,说明您使用了哪些个人数据点,如何处理和存储这些数据。
其次,您需要建立一种机制来为用户提供其数据副本。这可能是该流程中最困难的部分。然而,我们可以假设,当时机成熟时,大多数插件开发者或工具开发者——对于您网站上使用的工具和插件——将已经提出自己的解决方案。
但是,建议您仍然建立一个系统来从数据库中提取所需数据。
此外,在某些情况下,完全避免数据存储可能是明智的。例如,可以将联系表单设置为直接转发所有通信到您的电子邮件地址,而不是将它们存储在 Web 服务器上的任何地方。
(c) 插件的使用 – WordPress GDPR 合规性的影响
您使用的任何插件也需要符合 GDPR 规则。但是,作为网站所有者,您仍有责任确保每个插件都能按照 GDPR 规则导出/提供/擦除其收集的用户数据。
对于某些最流行的插件来说,这可能仍然意味着一些艰难的时刻。例如,Gravity Forms 或 Jetpack 这样的解决方案有许多本质上会收集用户数据的模块。这些工具究竟将如何符合 GDPR?
对于插件,同样适用相同的规则,尽管必须从 WordPress 网站所有者的角度来看待它们。每个插件都需要建立数据流并告知个人数据的处理方式。如果您是插件开发者,请考虑为插件用户提供一份附录,您可以将其添加到您网站的条款中,以使其符合 GDPR。例如,Gravity Forms 需要让用户知道在联系表单中填写的个人数据将如何发布,以及在必要时获取删除的选项。
尽管流行的 WordPress 插件开发者尚未发布任何官方沟通,但 Jetpack 的 Twitter 账号已确认他们正在为 GDPR 做准备,并将在新的隐私相关功能中提供进一步更新。
其他插件似乎尚未发布与此相关的任何声明。
我们正在努力实现 GDPR,因此请关注我们的新隐私相关功能。
— Jetpack (@jetpack) 2017年7月23日
此外,我们自己的 Ionut Neagu(Themeisle 首席执行官,负责 ThemeIsle 和 Revive.Social 品牌下所有插件的负责人)有一段简短的评论:
GDPR看起来是一个非常大的变化,我们都应该认真对待并寻找解决方案。如果说我们从VAT(增值税)中学到了什么,那就是欧盟对这些事情是相当认真的。他们不断推出更多的法规,然后建立新的机制来执行它们。那些4%的罚款可不太好看。
此外,一些看似与你的WordPress网站无关的工具也会受到影响。以电子邮件营销工具为例,这是很常见的做法:将它们与你的WordPress网站集成,根据电子邮件地址列表发送促销邮件。根据你运营新闻通讯/列表的方式,这些地址可能没有通过获得用户的明确同意来获取。
例如,默认选中的复选框就算违规。根据GDPR,作为企业,你的在线业务中的一切都需要明确收集同意并制定隐私政策。还有其他影响——如果你想购买邮件列表,向收件人发送电子邮件将是违法的,因为没有人明确要求接收你的电子邮件。
虽然最终责任在于网站所有者,但WordPress本身可能也需要审视其流程以符合规定。截至2018年5月,有一个隐私和维护版本(https://wordpress.org/news/2018/05/wordpress-4-9-6-privacy-and-maintenance-release/)引入了新的核心工具。
当然,仅仅更新你的WordPress网站只能解决部分问题。符合规定不仅仅是修复你的网站。你需要为整个组织实施数据保护政策。这个法规不仅仅是在线-exclusive(仅限线上)。
以下是我们认为对GDPR合规必不可少的步骤:
- 了解GDPR的关键概念和条款
- 5月25日前需要为GDPR合规做些什么
- 截止日期后需要采取的GDPR合规步骤
- 网站调整
- 其他需要考虑的GDPR合规问题
- 监控和审计
在这里(https://wpshout.com/gdpr-compliance/)了解所有内容。
你可能还有兴趣了解:
- 如何创建WordPress网站:面向所有用户的终极指南——初学者、中级、高级
- 如何为静态WordPress网站免费添加联系表单
- 如何仅以每年10.44美元(含域名和托管)启动和维护一个WordPress网站
最终想法
总结一下让WordPress符合GDPR意味着什么:
- 该法律于2018年5月生效,
- 它适用于任何处理欧盟用户个人信息的网站,
- 它赋予用户控制其个人信息流动的权利,
- 有规定的流程来监控合规性,并对不合规行为处以巨额罚款。
简而言之,为了让你的WordPress符合GDPR,你应该(1)研究你收集访客数据的所有不同方式。接下来,(2)建立机制以确保用户能够控制他们的数据。此外,(3)最好避免收集不必要的用户数据(如上面联系表单的例子)。最重要的是,(4)即使你使用第三方工具和解决方案,你仍然需要确保这些也符合GDPR。
如果你在2018年5月之前没有处理好所有这些,麻烦就大了。
尽管如此,GDPR法规是确保数据处理透明度的正确步骤。虽然这篇文章涵盖了GDPR的基础知识,但如果您的WordPress网站背后有盈利业务,您可能需要详细阅读该法规。请记住,不遵守规定可能导致高达2000万欧元的行政罚款,或者对于企业来说,最高可达上一个财政年度全球年营业额的4%,以较高者为准。
延伸阅读:
- 英国信息专员办公室文件
- 欧盟委员会GDPR信息图
- 白皮书:iapp.org发布
- Wikipedia上的GDPR页面
- “WordPress遥测提案解决长期隐私问题——GDPR合规截止日期临近”,作者:WPTavern
- 相关WordCamp演示文稿幻灯片:
别忘了参加我们关于加速WordPress网站的免费速成课程。通过一些简单的修复,您可以减少甚至50-80%的加载时间:
如何加速您的WordPress网站
通过一些简单的修复,您可以减少甚至50-80%的加载时间 🚀
通讯表单 – 侧边栏
名 *
您的邮箱 *
立即订阅!
如果是人类,请留空此字段。
Δ
输入您的邮箱即表示您订阅我们的每周通讯。您可以随时更改主意。我们尊重您的收件箱和隐私。
布局和展示由Karol K.提供
