WordPress 和 GDPR 合规性终极指南——您需要知道的一切

您是否对 GDPR 感到困惑,以及它将如何影响您的 WordPress 网站?GDPR 是通用数据保护条例的缩写,是您可能听说过的欧盟法律。我们收到了数十封来自用户的电子邮件,要求我们用简单的英语解释 GDPR,并分享有关如何使您的 WordPress 网站符合 GDPR 的提示。在本文中,我们将解释您需要了解的有关 GDPR 和 WordPress 的所有信息(不包括复杂的法律内容)。

WordPress 和 GDPR 合规性

免责声明:我们不是律师。本网站上的任何内容均不应被视为法律建议。

为了帮助您轻松浏览我们的 WordPress 和 GDPR 合规性终极指南,我们在下面创建了一个目录:

表中的内容

什么是 GDPR?

GDPR 有什么要求?

WordPress 是否符合 GDPR?

您网站上受 GDPR 影响的区域

GDPR 合规性的最佳 WordPress 插件

什么是 GDPR?

通用数据保护条例 (GDPR) 是一项欧盟 (EU) 法律,于 2018 年 5 月 25 日生效。GDPR 的目标是让欧盟公民控制他们的个人数据并改变世界各地组织的数据隐私方法。

什么是 GDPR?

您可能已经收到了来自 Google 等公司和其他公司的数十封电子邮件,内容涉及 GDPR、他们的新隐私政策以及许多其他法律内容。那是因为欧盟对那些不遵守规定的人进行了严厉的处罚。

罚款

基本上在 2018 年 5 月 25 日之后,不符合 GDPR 要求的企业可能面临高达公司全球年收入 4% 或 2000 万欧元(以较高者为准)的巨额罚款。这足以引起全球企业广泛恐慌。

这给我们带来了您可能正在考虑的一个大问题:

GDPR 是否适用于我的 WordPress 网站?

答案是肯定的。它适用于世界各地(不仅是欧盟)所有大小企业。

如果您的网站有来自欧盟国家的访问者,则该法律适用于您。

但不要惊慌,这不是世界末日。

虽然 GDPR 有可能升级到如此高的罚款水平,但它会以警告开始,然后是谴责,然后是暂停数据处理,如果您继续违反法律,那么巨额罚款将受到打击。

GDPR 罚款和处罚

欧盟不是什么邪恶的政府来抓你。他们的目标是保护消费者,像你我这样的普通人,免于鲁莽处理数据/违规行为,因为它已经失控了。

我们认为最大的好处主要是为了引起 Facebook 和谷歌等大公司的注意,所以这个规定是不容忽视的。此外,这鼓励公司实际上更加重视保护人民的权利。

一旦你了解了 GDPR 的要求和法律的精神,你就会意识到这一切都不是太疯狂。我们还将分享使您的 WordPress 网站符合 GDPR 的工具/提示。

GDPR 有什么要求?

GDPR 的目标是保护用户的个人识别信息 (PII),并使企业在收集、存储和使用这些数据的方式上达到更高的标准。

个人数据包括:姓名、电子邮件、实际地址、IP 地址、健康信息、收入等。

GDPR 个人数据

虽然 GDPR 法规长达 200 页,但您需要了解以下最重要的支柱:

明确同意——如果您从欧盟居民那里收集个人数据,那么您必须获得明确且明确的明确同意。换句话说,您不能只向给您名片或填写您的网站联系表的人发送未经请求的电子邮件,因为他们没有选择加入您的营销通讯(顺便说一句,这称为垃圾邮件,您不应该)无论如何都不会这样做)。

要将其视为明确同意,您必须要求积极选择加入(即没有预先勾选的复选框),包含明确的措辞(没有法律术语),并与其他条款和条件分开。

数据权利——您必须告知个人在何处、为什么以及如何处理/存储他们的数据。个人有权下载其个人数据,并且个人也有权被遗忘,这意味着他们可以要求删除其数据。

这将确保当您点击取消订阅或要求公司删除您的个人资料时,他们实际上会这样做(嗯,看图)。我正在看着你 Zenefits,仍然等待我的帐户被删除 2 年,并希望你停止向我发送垃圾邮件,只是因为我犯了尝试你的服务的错误。

违规通知- 组织必须在 72 小时内向相关当局报告某些类型的数据泄露,除非违规被认为是无害的并且不会对个人数据构成风险。但是,如果违规行为具有高风险,则公司还必须立即通知受到影响的个人。

这有望防止像雅虎这样的隐瞒,直到收购才被披露。

数据保护官——如果您是一家上市公司或处理大量个人信息,那么您必须任命一名数据保护官。同样,这对于小型企业来说不是必需的。如果您有疑问,请咨询律师。

GDPR 数据保护官

简单地说,GDPR 确保企业不能通过发送他们没有要求的电子邮件来向人们发送垃圾邮件。未经他们的明确同意,企业不能出售人们的数据(祝你好运)。如果用户要求您这样做,企业必须删除用户的帐户并从电子邮件列表中取消订阅。企业必须报告数据泄露,并且总体上更好地保护数据。

听起来不错,至少理论上是这样。

好的,现在您可能想知道您需要做什么来确保您的 WordPress 网站符合 GDPR。

好吧,这实际上取决于您的特定网站(稍后会详细介绍)。

让我们首先回答我们从用户那里得到的最大问题:

WordPress 是否符合 GDPR?

是的,从 WordPress 4.9.6 开始,WordPress 核心软件符合 GDPR。WordPress 核心团队添加了多项 GDPR 增强功能,以确保 WordPress 符合 GDPR。重要的是要注意,当我们谈论 WordPress 时,我们谈论的是自托管的 WordPress.org(请参阅区别:WordPress.com 与 WordPress.org)。

话虽如此,由于网站的动态特性,没有单一平台、插件或解决方案可以提供 100% 的 GDPR 合规性。GDPR 合规流程将根据您拥有的网站类型、您存储的数据以及您在网站上处理数据的方式而有所不同。

好的,所以你可能会想这在简单的英语中是什么意思?

好吧,默认情况下,WordPress 4.9.6 现在带有以下 GDPR 增强工具:

评论同意

WordPress 评论选择加入 GDPR

默认情况下,WordPress 用于将评论者姓名、电子邮件和网站作为 cookie 存储在用户浏览器上。这使用户更容易在他们最喜欢的博客上发表评论,因为这些字段是预先填充的。

由于 GDPR 的同意要求,WordPress 添加了评论同意复选框。用户可以在不选中此框的情况下发表评论。这意味着他们每次发表评论时都必须手动输入他们的姓名、电子邮件和网站。

更新:如果您的主题未显示评论隐私复选框,请确保您已更新到 WordPress 4.9.6 并使用最新版本的主题。另外请确保您在测试时已注销以查看复选框是否存在。

如果复选框仍未显示,则您的主题可能会覆盖默认的 WordPress 评论表单。这是有关如何在 WordPress 主题中添加 GDPR 评论隐私复选框的分步指南。

数据导出和擦除功能

WordPress 数据处理 - GDPR

WordPress 使网站所有者能够遵守 GDPR 的数据处理要求,并尊重用户导出个人数据以及删除用户个人数据的请求。

数据处理功能可以在 WordPress 后台的工具菜单下找到。

隐私政策生成器

适用于 GDPR 的 WordPress 隐私政策生成器

WordPress 现在带有内置的隐私策略生成器。它提供了一个预制的隐私政策模板,并为您提供有关添加其他内容的指导,因此您可以在存储哪些数据以及如何处理他们的数据方面对用户更加透明。

这三件事足以使默认的WordPress 博客符合 GDPR。但是,您的网站很可能具有也需要遵守的其他功能。

您网站上受 GDPR 影响的区域

作为网站所有者,您可能正在使用各种 WordPress 插件来存储或处理联系表格、分析、电子邮件营销、在线商店、会员网站等数据。

根据您在网站上使用的 WordPress 插件,您需要采取相应措施以确保您的网站符合 GDPR。

许多最好的 WordPress 插件已经开始使用并添加了 GDPR 增强功能。让我们看一下您需要解决的一些常见问题:

谷歌分析

像大多数网站所有者一样,您可能会使用 Google Analytics 来获取网站统计信息。这意味着您可能正在收集或跟踪个人数据,例如 IP 地址、用户 ID、cookie 和其他数据以进行行为分析。要符合 GDPR,您需要执行以下操作之一:

在存储和处理开始之前匿名数据

在网站上添加一个覆盖层,通知 cookie 并在跟踪之前征求用户同意

如果您只是在您的网站上手动粘贴 Google Analytics(分析)代码,那么这两项操作都相当困难。但是,如果您使用的是MonsterInsights,这是最流行的 WordPress 谷歌分析插件,那么您很幸运。

他们发布了一个欧盟合规插件,有助于自动化上述过程。MonsterInsights 也有一篇非常好的博客文章,介绍了您需要了解的有关GDPR 和 Google Analytics的所有信息(如果您在您的网站上使用 Google Analytics,这是必读的)。

MonsterInsights 欧盟合规插件

联系表格

如果您在 WordPress中使用联系表格,那么如果您要存储表格条目或将数据用于营销目的,则可能需要特别添加额外的透明度措施。

以下是使您的 WordPress 表单符合 GDPR 时可能需要考虑的事项:

获得用户的明确同意来存储他们的信息。

如果您计划将他们的数据用于营销目的(即将他们添加到您的电子邮件列表),请获得用户的明确同意。

禁用表单的 cookie、用户代理和 IP 跟踪。

如果您使用的是 SaaS 表单解决方案,请确保您与表单提供商签订了数据处理协议。

遵守数据删除请求。

禁用存储所有表单条目(有点极端,GDPR 不需要)。除非您确切知道自己在做什么,否则您可能不应该这样做。

好的部分是,如果您使用WPForms、Gravity Forms、Ninja Forms、 Contact Form 7 等 WordPress 插件,那么您不需要数据处理协议,因为这些插件不会将您的表单条目存储在他们的网站上。您的表单条目存储在您的 WordPress 数据库中。

只需添加一个带有明确解释的必需同意复选框就足以让您的 WordPress 表单符合 GDPR。

我们在WPBeginner上使用的联系表单插件 WPForms 添加了多项 GDPR 增强功能,使您可以轻松添加 GDPR 同意字段、禁用用户 cookie、禁用用户 IP 收集以及通过单击禁用条目。

WPForms 中的 GDPR 表单字段

注意:我们创建了关于如何在 WordPress 中创建符合 GDPR 的表单的分步指南。

电子邮件营销选择加入表格

与联系表单类似,如果您有任何电子邮件营销选择加入表单,例如弹出窗口、浮动栏、内联表单等,那么您需要确保在将用户添加到您的列表之前收集他们的明确同意。

这可以通过以下任一方式完成:

添加用户在选择加入之前必须单击的复选框

只需对您的电子邮件列表进行双重选择

OptinMonster等顶级潜在客户生成解决方案添加了 GDPR 同意复选框和其他必要功能,以帮助您使您的电子邮件选择加入表格合规。您可以在 OptinMonster 博客上阅读有关营销人员 GDPR 策略的更多信息。

WooCommerce / 电子商务

如果您使用的是最流行的 WordPress 电子商务插件WooCommerce ,那么您需要确保您的网站符合 GDPR。

WooCommerce 团队为店主准备了一份综合指南,以帮助他们遵守 GDPR。

重定向广告

如果您的网站正在运行重定向像素或重定向广告,那么您需要征得用户的同意。您可以使用像Cookie Notice这样的插件来做到这一点。

GDPR 合规性的最佳 WordPress 插件

有几个 WordPress 插件可以帮助您自动化 GDPR 合规性的某些方面。但是,由于网站的动态特性,没有插件可以提供 100% 的合规性。

当心任何声称提供 100% GDPR 合规性的 WordPress 插件。他们可能不知道他们在说什么,最好完全避免他们。

以下是我们为促进 GDPR 合规而推荐的插件列表:

MonsterInsights – 如果您使用的是 Google Analytics,那么您应该使用他们的欧盟合规插件。

WPForms – 迄今为止最用户友好的 WordPress 联系表单插件。它们提供 GDPR 字段和其他功能。

Cookies Notice – 流行的免费插件,用于添加欧盟 cookie 通知。与 MonsterInsights 等顶级插件完美集成。

Delete Me – 免费插件,允许用户自动删除他们在您网站上的个人资料。

OptinMonster – 先进的潜在客户生成软件,提供巧妙的定位功能以提高转化率,同时符合 GDPR。

共享计数- 此插件不是加载添加跟踪 cookie 的默认共享按钮,而是在显示共享计数时加载静态共享按钮。

我们将继续监控插件生态系统,看看是否有任何其他 WordPress 插件脱颖而出并提供大量 GDPR 合规性功能。

最后的想法

无论您是否准备好,GDPR 将于 2018 年 5 月 25 日生效。如果您的网站在此之前不合规,请不要惊慌。继续努力实现合规并尽快完成。

在这条规则生效后的第二天,你被罚款的可能性几乎为零,因为欧盟的网站规定,首先你会收到警告,然后是谴责,如果你不遵守,罚款是最后一步并故意无视法律。

欧盟不是来找你的。他们这样做是为了保护用户的数据并恢复人们对在线业务的信任。随着世界走向数字化,我们需要这些标准。随着最近大公司的数据泄露事件,这些标准在全球范围内进行调整非常重要。

这对所有参与者都有好处。这些新规则将有助于增强消费者信心,进而帮助您发展业务。

我们希望本文能帮助您了解 WordPress 和 GDPR 合规性。随着更多信息或工具的发布,我们将尽最大努力保持更新。

其他资源

Jacques Mattheij 的GDPR 歇斯底里第一部分和第二部分

欧盟委员会的数据保护信息图

欧盟委员会的 GDPR 原则

GDPR 和 MonsterInsights——你需要知道的一切

WordPress 表单的 GDPR 增强功能

WooCommerce 商店的 GDPR 合规性

GDPR 和 OptinMonster – 如果您有电子邮件营销选择加入表格,请阅读

法律免责声明/披露

我们不是律师。本网站上的任何内容均不应被视为法律建议。由于网站的动态特性,没有一个插件或平台可以提供 100% 的合法合规性。如有疑问,最好咨询专业的互联网法律律师,以确定您是否遵守您的司法管辖区和您的用例的所有适用法律。

WPBeginner 创始人 Syed Balkhi 也是OptinMonster、WPForms和MonsterInsights的联合创始人。