Вы, несомненно, слышали о GDPR . Но что это на самом деле означает? На кого это влияет? Какие штрафы за несоблюдение? И что это за уведомления о файлах cookie? В целом, стоит ли вам беспокоиться о GDPR?
В этом посте мы ответим на эти и другие вопросы, а также дадим вам несколько простых решений, чтобы сделать ваш сайт WordPress совместимым с GDPR. Хотя это может показаться сложным правовым регулированием, на самом деле большинству сайтов довольно просто следовать всем правилам.
Давайте начнем!
Правовая оговорка
Этот пост не является юридической консультацией. Если у вас есть какие-либо вопросы или опасения относительно GDPR, вам следует обратиться к юристу.
Что такое GDPR?
GDPR расшифровывается как General Data Protection Regulation. Это постановление, принятое Европейским союзом в 2016 году и вступившее в силу в 2018 году.
Он занимает более 200 страниц и включает в себя многочисленные правила сбора и обработки пользовательских данных. Вы можете прочитать подробное руководство по GDPR в Википедии или прочитать все самостоятельно на gdprinfo.eu.
Если вы предпочитаете читать его на своем родном языке, вы можете сделать это на одном из 23 других языков по этой ссылке .
Каковы требования GDPR?
Хотя полное регулирование является довольно сложным, по сути, оно требует, чтобы вы прямо попросили граждан ЕС дать согласие перед сбором или использованием каких-либо их личных данных.
Эти данные включают в себя очевидные вещи, такие как адреса электронной почты, а также данные Google Analytics, IP-адреса и другие типы личной информации. Вы также должны немедленно сообщать о любых нарушениях или взломах, а также позволять пользователям своевременно удалять или экспортировать свои данные.
Основные требования GDPR для веб-сайтов
- Четко укажите, для чего вы будете использовать данные (в своей политике конфиденциальности)
- Получите согласие на использование файлов cookie
- Попросите граждан ЕС дать согласие перед сбором или использованием каких-либо их личных данных.
- Отправляйте электронные письма только подписчикам, которые согласились подписаться на ваш список
- Если пользователи запрашивают доступ к их данным и / или их удаление, вы должны соблюдать
На кого распространяется GDPR?
В основном есть две группы, которые подпадают под действие GDPR:
- Организации либо базируются в ЕС, либо присутствуют там. Даже если сами данные обрабатываются в Антарктиде, вы все равно несете ответственность за соблюдение GDPR.
- Организации, которые продают или обрабатывают данные всех, кто находится в ЕС. Это означает неграждан и даже туристов. Местоположение вашей компании не имеет значения, важно только местоположение клиента.
8 основных прав согласно GDPR
В частности, GDPR дает физическим лицам восемь прав. Давайте кратко рассмотрим каждый из них:
- Право на получение информации. Люди должны понимать, как вы будете собирать и использовать их данные. Это можно сделать в вашей политике конфиденциальности.
- Право доступа. Если кто-то запрашивает их данные, вы должны им их предоставить.
- Право на исправление. Это означает, что люди имеют право исправлять или изменять любую имеющуюся у вас информацию о них.
- Право на стирание. Это также называется «правом на забвение». Это означает, что если кто-то просит вас удалить его данные, вы должны это сделать.
- Право на ограничение обработки. Люди могут потребовать, чтобы вы только хранили данные, но не использовали их для каких-либо других целей.
- Право на переносимость. Персональные данные должны быть экспортированы в общий формат, например .xls или .csv. Вы не можете дать им данные в странном или сбивающем с толку виде.
- Право на возражение. Люди всегда могут возражать против использования их данных в любых целях.
- Права, связанные с автоматическим принятием решений (например, профилирование). По сути, это список правил того, как вам разрешено использовать профилирование.
Стоит ли беспокоиться о GDPR?
Хотя это не повод «беспокоиться», вам обязательно стоит сделать свой веб-сайт совместимым с GDPR. Это особенно актуально, если у вас большое количество пользователей из Европейского Союза. Несоблюдение требований может привести к серьезным штрафам и другим головным болям.
Если у вас нет европейских пользователей, вы все равно можете задаться вопросом: стоит ли оно того? Нужно ли мне возиться со всем этим GDPR?
Ответ: да, стоит. Тем не менее, стоит установить один из упомянутых ниже плагинов. Это займет у вас всего час, и вам не придется беспокоиться о будущих конфликтах.
Некоторые сайты «решили» проблему GDPR, заблокировав все IP-адреса из Европейского Союза, но, как вы понимаете, это не лучшая идея, особенно если вы полагаетесь на трафик или молву. Это также производит очень плохое впечатление у европейских читателей о вас.
Распространенные заблуждения
Давайте рассмотрим несколько заблуждений относительно соответствия требованиям GDPR. В Интернете циркулирует много дезинформации, и бывает сложно определить, что на самом деле является законным.
Нужно ли мне просить подписчиков повторно подписаться?
Нет, но только если они добровольно присоединились к вашему списку и согласились получать от вас сообщения. Если вы добавили подписчиков в свой список, не получив их согласия, вы должны попросить их повторно подписаться. Если вы этого не сделаете, вы нарушите GDPR!
Тем не менее, отказ от использования списков подписки в любом случае в любом случае является пустой тратой времени, так как это не метод получения качественных подписчиков.
Нужно ли мне прекратить сбор личных IP-адресов?
Это все еще разрешено, если вы принимаете меры для защиты пользовательских данных. В первую очередь это означает открытость и прозрачность в отношении того, какие данные вы собираете, наличие политики конфиденциальности и разрешение пользователям удалять свои данные.
В частности, у вас должен быть способ для пользователей запрашивать удаление их данных. Например, контактная форма.
Нужно ли мне добавлять флажок согласия в поля для комментариев и контактов?
Вероятно, нет, особенно если вы используете один из плагинов контактной формы, которые мы упоминаем ниже.
Что произойдет, если ваш веб-сайт не соответствует требованиям?
Наказания зависят от размера вашей организации, характера нарушения и ряда других факторов. За серьезные нарушения штрафы могут составлять до 2 миллионов евро или 4% от мирового оборота за предыдущий год. Это действительно немалые деньги!
Подробнее о санкциях GDPR читайте здесь.
И если вы думали, что эти штрафы были просто «предложениями», будьте осторожны. В период с января 2020 года по 27 января 2021 года ЕС наложил штрафы на сумму около 200 миллионов долларов США . Нарушителями были Google, H&M, British Airways и Marriott Hotels.
Как сделать ваш сайт совместимым с GDPR
Соответствует ли ваш сайт требованиям GDPR? Это зависит от ситуации и от того, что вы делаете на своем сайте. Требования будут разными, в зависимости от того, продаете ли вы продукты, отправляете информационные бюллетени по электронной почте или публикуете только контент.
Вот несколько основных требований для разных вариантов использования.
- Если у вас есть сайт электронной коммерции, вы должны позволить пользователям видеть все данные, которые вы о них собрали, если они этого попросят. Вы также должны разрешить пользователям удалять свои учетные записи и / или экспортировать в нее данные.
- Если у вас есть электронный бюллетень, вы должны только отправлять сообщения электронной почты для абонентов , которые явно согласились присоединиться к списку. Не отправляйте по электронной почте подписчикам, которых вы не добавляли таким образом.
- Если у вас есть сайт членства, вам необходимо разрешить пользователям удалять свою учетную запись и / или данные. Это может быть просто форма «удалить мою учетную запись» на определенной странице. Вы также должны позволить пользователям изменять эти данные в случае ошибок.
- Если у вас есть блог с комментариями, вам нужно разрешить пользователям удалять свои комментарии.
- Если вы используете файлы cookie (а это делает практически каждый сайт), установите один из плагинов для файлов cookie, которые мы упоминаем ниже.
Кроме того, для всех сайтов необходима политика конфиденциальности. Подробнее об этом ниже.
Теперь давайте рассмотрим ряд других вещей, которые вы можете сделать, чтобы убедиться, что у вас не возникнет никаких проблем.
Всегда обновляйте WordPress
Прежде всего, вы всегда должны обновлять свой сайт WordPress до самой последней версии. Новые версии WordPress включают обновления, которые относятся непосредственно к защите пользовательских данных.
Начиная с WordPress 4.9.6, само программное обеспечение WordPress.org соответствует требованиям GDPR. Изменения в этом обновлении включали изменения в комментариях, настройках конфиденциальности и т. Д. Прочтите полный отчет о выпуске здесь.
Сбор писем
Если вы собираете адреса электронной почты своих пользователей, вам обязательно понадобится флажок в форме регистрации. К счастью, это включено практически в каждый плагин электронного маркетинга и контактной формы:
- MailPoet имеет подробное руководство, чтобы убедиться, что вы соблюдаете GDPR в своих формах и электронных письмах.
- ConvertPro помогает вам соответствовать GDPR при подписке пользователей на ваш информационный бюллетень и другие списки.
- MailChimp позволяет легко собирать адреса электронной почты и безопасно отправлять электронные письма.
Хотя это не является строго обязательным требованием, также рекомендуется включить двойную подписку на рассылку новостей по электронной почте. Это означает, что подписчикам необходимо будет подтвердить свою подписку, прежде чем вы отправите им какие-либо электронные письма, и, как вы можете себе представить, это делает ваши доводы в пользу согласия намного сильнее.
WooCommerce / электронная коммерция
В WooCommerce есть как краткий обзор GDPR для пользователей электронной коммерции, так и множество других руководств по конкретным вопросам. Они рекомендуют предпринять три основных шага:
Хотя сам WooCommerce не хранит никаких личных данных, многие его расширения хранят. Посетите эту страницу для получения дополнительной информации о конкретных расширениях.
Добавить Политику конфиденциальности
У вас всегда должна быть политика конфиденциальности на вашем сайте. Это дает понять, какие данные вы собираете и как вы их собираете.
По умолчанию WordPress поставляется со встроенным генератором политики конфиденциальности. Чтобы использовать его, перейдите в « Настройки»> «Конфиденциальность», затем нажмите « Создать», чтобы создать страницу с политикой конфиденциальности. Легкий!
WP AutoTerms — еще один полезный бесплатный плагин, который помогает вам создавать различные юридические соглашения для таких правил, как CCPA, GDPR или раскрытие партнерских ссылок Amazon Associates.
Google Analytics / Другая аналитика
Google Analytics отслеживает ряд различных точек персональных данных, поэтому важно понимать и использовать плагин, который собирает их ответственно. Сами Google реализовал множество требований в рамках рекламной экосистемы. В прошлом году они запустили режим согласия, который позволяет динамически изменять настройки в зависимости от уровня согласия пользователя.
MonsterInsights — один из самых популярных плагинов аналитики для WordPress. У них есть подробное руководство по использованию своего плагина в соответствии с правилами GDPR, а их премиальный пакет также включает надстройку EU GDPR Compliance, чтобы упростить процесс.
Разрешить пользователям экспортировать и удалять свои данные
Если вы собираете пользовательские данные как часть своего веб-сайта, важно, чтобы вы разрешили пользователям удалять свои данные. Сюда входят такие вещи, как личная информация, изображения, комментарии и другие детали.
Есть несколько плагинов, которые добавляют эту функциональность. Попробуйте один из двух перечисленных ниже. Если вы не хотите использовать плагин, вам следует создать контактную форму, которая позволит пользователям связываться с вами и запрашивать удаление данных.
WP Удалить учетные записи пользователей
Этот плагин добавляет кнопку «удалить» на страницу профиля пользователя. Вы также можете добавить его на любую другую страницу с помощью шорткода.
Удали меня
Этот простой плагин позволяет некоторым типам пользователей удалять свои собственные учетные записи. Для этого создается страница удаления, которая запрашивает подтверждение перед удалением учетной записи. Несмотря на то, что Delete Me немного устарела, она по-прежнему работает для большинства людей.
Независимо от того, какой у вас сайт, вы должны использовать плагин, чтобы запросить согласие на использование файлов cookie. К счастью, есть несколько бесплатных плагинов, которые упрощают эту задачу.
Полностью бесплатный плагин, который позволяет пользователям веб-сайта включать или отключать любые файлы cookie. Вы также можете настроить цвета и текст шаблона.
CookieYes
Этот бесплатный плагин создает уведомление о файлах cookie с параметрами «Принять» и «Отклонить». По умолчанию файлы cookie не будут включены, пока не будет нажата кнопка «Принять».
Complianz — это подключаемый модуль согласия на использование файлов cookie, который поддерживает GDPR, Закон о конфиденциальности потребителей Калифорнии (CCPA) и другие глобальные политики. Вы можете настроить прием файлов cookie по определенным причинам, например в США, Канаде или Европе. Бесплатная версия ограничена одним регионом за раз, а платная версия имеет дополнительные функции.
Этот плагин просит пользователей принять или отклонить файлы cookie. Если они откажутся, скрипты отслеживания, такие как Google Analytics и Facebook Pixel, не загрузятся.
Используйте только плагины и темы, совместимые с GDPR
Доступно более 50 000 плагинов для WordPress. Хотя большинство лучших из них внедрили политику, благоприятную для GDPR, не все сделали это. Это особенно верно, если разработчики плагина не находятся в Европейском Союзе.
Таким образом, вы всегда должны убедиться, что любые плагины или темы, которые вы используете, соответствуют GDPR. Убедитесь, что они не собирают данные способом, который считается незаконным по закону, иначе вы столкнетесь с большими штрафами!
Получите разрешение перед отправкой или использованием данных
Если вы планируете каким-либо образом использовать данные своих пользователей, вам необходимо сначала спросить у них разрешение. Это включает продажу доступа к данным, продажу самих данных или их использование способом, не указанным в первоначальном соглашении, принятом посетителями.
Например, вы ведете кулинарный блог. Подписчики охотно присоединяются к вашему списку, чтобы получать от вас контент. Если вы продаете свой веб-сайт и список рассылки вместе с ним, вам необходимо повторно подтвердить всех подписчиков.
Уведомлять пользователей в случае взлома / взлома
Если вы стали несчастной жертвой взлома или взлома, вы должны как можно скорее уведомить всех пользователей. Согласно официальному регламенту, у вас есть 72 часа, чтобы сообщить о нарушении с момента, когда вы о нем узнали.
Если вы используете веб-сайт, оптимизированный для WordPress, скорее всего, вам сначала следует связаться с вашим хостом. Они смогут помочь вам в управлении взломом.
Используйте инструмент тестирования
Наконец, в качестве дополнительного уровня безопасности попробуйте использовать инструмент, который проверяет, соответствует ли ваш сайт требованиям GDPR. Хотя их точность не гарантируется, процесс, тем не менее, может быть полезным.
Попробуйте один из следующих инструментов:
Соблюдаете ли вы GDPR?
Надеюсь, это руководство помогло вам сделать ваш сайт совместимым с GDPR. Хотя длинный список правил может показаться сложным, его довольно просто настроить.
В качестве краткого итогового заключения, чтобы соответствовать GDPR, вам необходимо:
- Уведомить всех пользователей о файлах cookie и получить их согласие
- Предлагайте механизмы, которые позволяют пользователям удалять или экспортировать свои данные в общем формате.
- Отправляйте электронные письма только подписчикам, которые явно зарегистрировались
- Не используйте данные клиентов, если они возражают против вас.
- Обновляйте свой WordPress и плагины / темы
