WordPress和GDPR合规

你可能听说过互联网上正在讨论“GDPR”这个词。这仍然是一个非常热门的话题，尤其是新闻中发生的所有数据泄露和安全问题。简而言之，GDPR是一部隐私法，旨在让公民重新掌控自己的个人数据。毫无疑问，GDPR正在影响整个互联网处理数据的方式。可怕的是，截止日期是去年(2018年5月25日)，许多关于GDPR的问题仍然萦绕在人们心头:

GDPR到底是什么？一般来说。

GDPR会影响我吗？

为了遵守GDPR法案，我需要做些什么？

许多人倾向于推迟他们不理解的事情。税收就是一个很好的例子。对我们许多人来说，GDPR只是我们清单上的较低优先事项。但是GDPR的最后期限已经过去了，你真的应该花些时间来决定你是否需要改变你的业务和/或网站的运营方式。如果不这么做，可能会涉及巨额罚款。

不要担心，我们将尽力解释你需要知道的关于GDPR的所有信息，以及你可以做些什么来为它做准备。但是我们不是律师，所以我们会尽量不要用所有的法律细节来烦你。

请注意，本文仅供参考，不应视为法律意见。

通俗地说，GDPR是什么？

GDPR影响了谁？

不遵守GDPR协议的后果

如何让你的WordPress网站符合GDPR

处理的合法性。

有用的GDPR WordPress插件

GDPR评论

通俗地说，GDPR是什么？

GDPR代表通用数据保护条例。这是欧盟委员会于2016年4月14日批准的隐私法，旨在保护所有欧盟公民(28个成员国)的权利及其个人数据。这取代了1995年10月24日的95/46/EC数据保护指令，并且比2011年的Cookie法更广泛(它将很快被与GDPR保持同步的新欧盟电子隐私法规所取代)。该规定的出台时间定为两年，截止日期为2018年5月25日。

《欧盟通用数据保护条例》( GDPR)是过去20年中数据隐私条例方面最重要的变化…欧盟GDPR

如果你想看《规定》的大量官方pdf(11章99条)，建议你去查gdpr-info.eu，因为他们的所有内容都在一个编排得很好的网站里。

有几个关键术语可以处理:

控制器确定处理个人数据的目的和方法。

处理器负责代表控制器处理个人数据。

个人数据是可用于识别个人身份的任何信息，即使是通过将此信息与其他信息相结合来间接识别。

什么是加工？

如果以任何方式访问、存储或使用个人数据，则视为处理。GDPR对处理的完整定义包括对个人数据采取的构成数据处理的所有以下行为:收集、记录、组织、结构化、存储、改编、更改、检索、咨询、使用、传输、披露、传播、组合、调整、限制、擦除或销毁。

GDPR的基本原则

GDPR下适用于管制员的七项基本原则:

数据经过合法、公正、透明的处理。请求许可。

必须出于特定、明确和合法的目的收集个人数据，并且只能用于该目的。

个人数据必须充分和相关，收集应限于必要的范围。

个人数据必须准确并保持最新。

个人数据只能以可识别的形式保存尽可能短的时间。

处理个人数据的方式应确保数据的安全性。

主计长有责任证明遵守了这些原则。

GDPR统治下的个人权利

受GDPR保护的个人(欧盟公民)有七项权利，加工者必须准备在GDPR下维护这些权利:

知情权:给一个人知道他们的什么信息被存储的权利。

访问权和可移植性:个人可以在任何时候以易于下载的格式请求他们的信息，以及使用或传输数据到其他服务。(第二十条)

矫正权。

被遗忘权:允许一个人要求完全删除自己的个人信息(除非有正当理由，比如银行贷款)。(第十七条)。

处理限制的权利。

反对的权利。

在自动决策和分析中获得公平待遇的权利。

其他GDPR指令

不幸的是，当涉及到这样的事情时，并不是所有的事情都是非黑即白的，所以这里有一些额外的事情要记住:

适用于任何个人数据（PII – 与某人相关或可用于识别某人的任何数据）。

个人数据是指与已识别或可识别的自然人(数据主体)相关的任何信息；可识别的自然人是指可以直接或间接识别的人，特别是通过参考诸如姓名、社会安全号码、位置数据、在线标识符(IP地址或电子邮件地址)或一个或多个因素等标识符，这些标识符是该自然人的身体、生理、遗传、心理、经济、文化或社会身份所特有的；它还控制个人信息的用途(第4条)。

适用于任何敏感的个人数据，如种族、民族、性取向和健康状况。(叙文51，第9条)

设计和默认隐私:确保个人信息得到适当保护。新系统必须设计有保护措施，数据访问受到严格控制，仅在需要时提供(第25条)。

如果数据丢失、被盗或未经许可被访问，则必须在72小时内通知当局（第33条）以及数据被访问者（第34条）。

数据只能用于收集时给出的原因，不再需要时会被安全删除。

允许州政府对违反规定的公司处以罚款。

为在线服务处理16岁以下儿童的个人数据需要父母同意；可能因成员国而异，但不得低于13岁(第8条)。

GDPR影响了谁？

尽管新的GDPR法规旨在保护欧盟公民的权利，但它实质上影响了互联网上的每个人。是的，所有人！这与企业在哪里成立或网上活动在哪里进行没有关系。如果您的网站正在处理或收集欧盟公民的数据，那么您必须遵守GDPR法规。

GDPR影响每个人。

以下是一些位于欧盟以外的受影响网站的示例:

一个收集每个用户个人信息的WordPress社区站点。

一个WordPress主题商店，允许客户注册帐户来购买主题或插件(销售和计费数据)。

WordPress博客，带有时事通讯订阅窗口小部件或允许访问者发表评论。

在线销售产品的电子商务商店。

使用分析软件的WordPress网站。

你可以看到我们的目标。除非你明确屏蔽所有欧盟的流量(大多数人可能没有)，否则你的网站属于GDPR法规。

如果你想知道你的公司是否已经符合GDPR，Mailjet的团队已经创建了一个方便的GDPR测试。我们也建议检查GDPR名单。

不遵守GDPR协议的后果

根据data.verifiedjoseph的数据，截至2019年3月20日，GDPR生效后欧盟仍有1129个网站无法访问。其中许多包括大型新闻机构。

为什么？因为他们不能遵守GDPR的技术实现，他们不想面对罚款。因此，他们完全封锁了来自欧盟的交通。

如果您的企业不遵守GDPR，您可能会被罚款高达全球年营业额的4%或每次违规高达2000万欧元(两者中的较高者)。还有分层罚法。例如，一家公司可能因未按顺序整理记录、未向监管部门和数据主体通报违规行为或未进行影响评估而被罚款2%。(第八十三条)

据GDPR称，2019年1月，法国数据隐私监管机构对谷歌处以5700万美元的罚款。截至2019年2月，已报告超过59，000起数据泄露和91起罚款。

GDPR实施1年后的疯狂统计:*约6000万美元罚款*美国公司的合规成本估计为150美元(罚款的2500倍！)*小公司的亏损远大于大公司。GOOG其实不错！*投资于欧盟初创企业的风投资金大幅下降。

监管成功！

—利奥·波洛韦茨(@ lpolovets)2019年5月25日

查看隐私事务中的GDPR精细跟踪器获取最新统计数据。不用说，如果你是一个小型电子商务商店或WordPress开发者，这些罚款可能是毁灭性的！

如何让你的WordPress网站符合GDPR

现在，你们可能都在读这篇博文，这就是为什么你可以让你的WordPress网站符合GDPR的标准。遗憾的是，与我们普通的教程不同，我们无法为您提供一个简单的循序渐进的教程，因为每个站点的合规性都不一样。但是这里有一些建议可以让你走上正确的道路，还有其他需要注意的事情。

1.聘请律师

如果您对GDPR合规性有任何疑问(大多数人可能都有疑问)，我们始终建议您聘请律师，即使这只是暂时的。这是我们强烈建议您不要试图自己解决的领域之一。律师可以根据你的具体情况为你提供法律建议。如果你犯了一个错误，它可能会导致巨额罚款。

2.检查您的数据收集和处理工作流程

我们建议您浏览整个WordPress网站，以确定数据收集和处理的位置、信息的存储位置和存储时间。这包括以下内容:

在电子商务结账页面或WordPress注册页面收集个人信息。

IP地址、cookie标识符和GPS位置。

谷歌分析，Hotjar和其他服务。

在确定了这一切之后，你需要确认你是在征求访问者的许可，并公开收集的数据是如何使用的。

3.GDPR项目已经被合并到WordPress核心为开发人员

Dejlig Lama和Peter Suhm最初开始为WordPress做一个名为GDPR的项目。这将为插件开发人员验证其插件提供一个简单的解决方案，并为网站管理员处理与GDPR兼容所涉及的管理任务提供一个概览和工具。然而，好消息是，它现在已经成为WordPress核心的一部分。

要查看已完成的工作，您可以查看GDPR Trac票证和GDPR合规路线图。这对WordPress用户和开发者同样重要，因为GDPR合规是双向的。WordPress用户需要在他们已经使用的插件中建立新的功能，比如复选框、提示等。，以确保他们在收集数据时合规。

4.更新所有法律文件

现在是时候使用GDPR更新您的条款和条件页，隐私页，附属条款和任何其他法律文件或协议，你可能有。您不能再拥有没有复选框的表单，除非它们都经过合法处理。换句话说，必须有用户明确同意的方式。只是在底部的链接中添加术语并假设用户会阅读它们的日子已经一去不复返了。

同意条件得到了加强，公司将不再能够使用冗长而难以辨认的充满法律术语的条款和条件，因为同意请求必须以易于理解和访问的形式给出，并且数据处理的目的附加在同意上。同意必须明确，有别于其他事项，并以简单易懂的形式用清晰的语言提供。撤回同意必须像给予同意一样简单。(来源:欧盟GDPR)

同样，这是一个我们建议聘请律师的领域。如果你只是运行一个简单的博客，至少使用像iubenda这样的工具或者类似的工具来生成一个更强的隐私政策。

WordPress 4.9.6中增加了一个新的隐私页面功能。现在，您可以在您的网站上指定一个隐私页面，它将显示在您的登录和注册页面上。我们也建议把它放在页脚。

WordPress隐私页面

这是一个由WordPress生成的默认隐私政策页面的例子。这应该作为一个模板和/或一个起点，它不会包含你的网站需要的一切。

WordPress中隐私政策页面的例子

5.提供数据可移植性

根据第20条，任何收集数据的企业还必须向用户提供下载数据并将其带到/转移到其他地方的能力。

数据主体有权接收他或她以结构化、常用和机器可读的格式向控制者提供的与他或她有关的个人数据，并有权将这些数据传输给另一个控制者，而不受向他或她提供个人数据的控制者的妨碍。

确保你有一个合适的系统，如果用户要求的话，它可以为用户提供可下载的数据文件。csv，。xml等。).如果你目前不能提供这项服务，你可能需要雇佣一个WordPress开发者。

WordPress 4.9.6增加了关于数据处理的新功能。网站所有者现在可以导出包含用户个人数据的ZIP文件或删除用户的个人数据。他们还可以使用基于电子邮件的新方法来确认个人数据请求。

WordPress导出个人数据

6.隐私保护框架下的自我认证

由于许多网站收集世界各地的数据，对个人数据有更严格的限制，许多公司现在都在EU-美国和瑞士美国的隐私保护框架下获得认证。这些协议由美国商务部、欧盟委员会和瑞士政府设计，旨在为大西洋两岸的公司提供一种机制，以便在将个人数据从欧盟和瑞士传输到美国时，遵守数据保护要求，支持跨大西洋贸易。

阅读有关隐私保护下自我认证的好处的更多信息。

7.加密您的数据/HTTPS

在加密方面，有不同的部分:网络流量加密(HTTPS)和数据存储位置加密。不管GDPR，我们总是建议您加密您的网络流量。迁移到HTTPS利远大于弊，这是网络的发展方向。

加密一词本身在GDPR实际上只被提到过几次，而且不一定是强制性的。

为了保持安全性并防止处理违反该规定，控制器或处理器应评估处理中固有的风险，并采取措施降低这些风险，如加密(叙文83)。

因此，尽管法律上似乎没有要求加密必须遵守GDPR，但强烈建议您这样做，因为您要对数据负责。阅读有关GDPR加密的更多信息。

8.检查你的WordPress主题，插件，服务，API

您安装的任何收集或存储个人数据的WordPress插件或特定主题功能必须在您的网站完全符合GDPR投诉之前进行更新。如果你是WordPress开发者，我希望你已经为用户做了GDPR的改变。我们将在下面包括一些流行的插件和配置，以及它们如何处理GDPR的直接链接。

联系人表单插件

遵守GDPR的最简单方法之一是在您的联系表单中添加一个必填复选框，以允许用户同意收集和存储他们提交的数据。然而，这里重要的部分是“最简单的”。并非所有的联系方式都必须经过同意。这可能属于所谓的处理合法性。

重力形成了GDPR

GDPR的忍者神龟

Form 7 GDPR(最佳免费解决方案:WP GDPR合规插件。高级解决方案:联系表单DB 7插件。)

联系表格7 GDPR

查看其他WordPress联系表单插件。

注释插件

连评论插件都在收集个人信息。因此，就像联系表一样，确保您遵从的最简单方法之一是添加同意复选框。但还是那句话，这可能属于所谓的处理合法性。

WordPress本地评论

GDPR迪士尼乐园(目前正在努力实现合规)

喷气背包GDPR

在最新的WordPress 4.9.6隐私和维护版本中添加了一个同意复选框(如下所示)。

GDPR本地评论

营销插件和服务

从邮件订阅插件、调查插件、测验插件和推送通知插件到您的电子邮件营销软件，一切都将受到GDPR的影响。

梅尔钦普·GDPR

GDPR迈勒利特

GDPR积极运动

阿维伯·GDPR(查看他们关于如何为用户保存GDPR同意记录的文章)

分析、跟踪和再营销

任何收集数据的第三方服务或插件。这包括谷歌分析、A/B测试插件、热图服务、再营销平台等。关于谷歌分析本身，可能会建议匿名IP。

谷歌分析中的匿名IP

截至4月，谷歌已经为谷歌分析引入了新的数据保留设置。这些控件使您能够设置Google Analytics存储的用户级和事件级数据从Google Analytics的服务器中自动删除之前的时间。您可以在管理→属性→跟踪信息→数据保留下访问这些设置。

谷歌分析数据保留

如果只使用谷歌分析报告而不显示广告，需要cookie提示吗？这取决于。查看杰夫关于谷歌分析的GDPR合规性的精彩文章——你需要Cookie的同意吗？

谷歌分析GDPR

阿德里·GDPR

霍贾尔·GDPR

电子商务解决方案和支付处理器

任何类型的WordPress电子商务解决方案当然都会受到GDPR的严重影响，因为他们会收集销售数据、个人信息、用户账户数据，并与第三方支付处理器整合。

网络商务

轻松的数字下载

除了上述文件，我们强烈建议你看看这篇伟大的博客文章，了解12种方法，使你的WooCommerce网站符合GDPR。

种类

贝宝

社区插件

除了集成的WordPress注册过程，社区插件、论坛插件和会员插件通常会存储其他个人信息。

李尔达什·GDPR

GDPR新闻

GDPR布丁出版社

第三方API

甚至第三方API也收集数据。一个很好的例子是谷歌字体。你们大多数人可能都在使用谷歌字体，无论是嵌入WordPress主题还是手动添加。你真的必须查看每个API，并找出提供商正在收集什么数据。在某些情况下，允许出于合法偏见未经同意收集数据(叙文49)。

这可能需要大量的工作，而且非常令人困惑，因为一些公司，甚至谷歌，可能无法提供一个简单的“是”或“否”的答案。检查开发者之间关于谷歌字体是否符合GDPR的对话。你可以把你的谷歌字体放在你自己的CDN上，这样你就可以解决这个问题了。

由于一些WordPress插件开发者目前正在努力增加GDPR兼容特性，我们将继续更新这篇文章。或者更可怕的是，许多人甚至还没有开始。如果您对正在运行的插件有疑问，请直接联系开发人员，了解他们计划如何处理GDPR。

处理的合法性。

尽管如上所示简单地征求同意是遵守GDPR的最简单的方法，但这不是唯一的方法。事实上，在某些情况下，由于所谓的处理的合法性，数据处理未经同意是允许的。以下是几个例子:

合同必要性

如果有必要履行数据主体作为一方的合同，或在签署合同之前应数据主体的要求采取措施，允许进行数据处理(第6 (1) b条)

合法权利

允许为控制者或第三方追求的合法利益进行数据处理，除非此类利益被需要保护个人数据的数据主体的利益或基本权利和自由所压倒，特别是当数据主体是儿童时。(第六条第一款第六项)

注:这不适用于公共当局在执行任务时进行的处理。

为了获得更多的例子，我们建议查阅怀特&凯斯·LLP关于法律依据的处理的文章。

有用的GDPR WordPress插件

这里有一些有用的插件，我们也建议您检查它们以获得帮助:

WP审计日志:真正了解你的WordPress网站情况的最好方法之一。出于安全原因，我们通常建议这样做，但这是查看正在收集的数据的一种很好的方式，比如用户注册、评论、联系表单条目等。

WP GDPR Compliance：此插件通过提供常见提示来帮助网站和网店所有者与一些流行的插件（如Gravity Forms, Contact Form 7, WooCommerce和 WordPress原生评论）集成。Gdpr合规

GDPR:另一个帮助你遵守的插件。具有服务条款和隐私政策的注册同意管理、通过确认电子邮件删除和删除数据的权利、数据处理器设置和发布联系信息、从管理仪表板访问数据和导出的权利、cookie偏好管理等。

GDPR cookie合规性:允许用户同意特定的cookie目的，并在粒度级别启用和禁用cookie。

Iubenda cookie解决方案:这个插件是一个一体化的方法，通过生成隐私政策文本、cookie横幅和cookie拦截管理来帮助您的网站遵守GDPR。

Complianz GDPR:这个插件几乎可以满足GDPR合规所需的一切！它将自动检测您是否需要cookie警告，与Google Analytics集成(您可能不需要警告)，扫描您的网站以查找cookie，能够阻止cookie，生成cookie策略，等等。

GDPR cookie同意:这个插件有助于在你的WordPress网站上显示cookie同意通知。它只允许在用户明确同意的情况下，在用户的浏览器上安装cookie。用户也可以随时撤销他们的同意。此外，该插件还根据您网站的主题，为同意栏的样式提供了多种定制选项。

GDPR评论

超越困惑？别担心，GDPR可能会给你带来很多麻烦，而且是个人数据收集的巨大变化。如果你担心你的WordPress网站，明智的做法是投资专家的GDPR评论，最好是只使用WordPress的专家。我们建议查看灰城堡安保公司的GDPR评论。

总结

现在你可能已经掌握了，GDPR是非常重要的！它影响了互联网上几乎所有的WordPress网站。截止日期已过，因此我们鼓励每个人花时间做研究，并确保您的网站完全符合要求。如果不这样做，可能会面临一些相当高的罚款(尤其是在面向欧盟的外贸网站中要注意合规)！