如何确保 WooCommerce GDPR 合规性

已发表: 2018-05-08
header image for WooCommerce GDPR article

最后更新 - 2021 年 9 月 14 日

如果您是 WooCommerce 店主,那么您现在一定听说过 GDPR。 这是欧盟正在执行的通用数据保护条例 (GDPR)。 所有向欧洲市场销售产品并处理欧洲公民数据的店主都需要遵守 GDPR 指南。 2018 年 5 月 25 日是确保您的 WooCommerce 商店遵循 GDPR 中指定的所有数据隐私准则的最后期限。 本文旨在帮助您了解作为店主需要注意的 WooCommerce GDPR 合规性的细微差别。 看完这篇文章,你应该对 GDPR 的各个方面有了一个清晰的认识,以及你需要采取的重要措施。

注意:本文中的信息仅用于一般信息。 您可能需要针对您的特定业务场景获得专业的法律建议。

GDPR 的重要性

执行 GDPR 是为了确保世界各地的用户(特别是欧盟公民)能够更好地控制他们与企业共享的数据。 提议巨额罚款以确保大多数企业遵守此规定。 罚款最高可达 2000 万欧元,即公司上一财政年度年营业额的 4%。 对不遵守准则的企业将处以较大的罚款。

世界各地的公司都在认真对待这些指导方针。 普华永道对美国公司进行的一项调查显示,超过 77% 的公司愿意支付超过 100 万美元以确保 GDPR 合规。 这是一个重要的指针,可以让您了解全球对此事的影响有多大。

WooCommerce GDPR 观点

作为 WooCommerce 店主,您可能必须专门解决与您的商店相关的某些方面。 在收集用户数据时,每个 WordPress 网站都有不同的方法。 您需要对与您的网站相关的各个方面进行彻底的研究,并据此制定计划。 一般来说,WordPress 网站可以通过多种方式收集用户数据。 这些包括用户注册、评论、分析输入、联系表格、安全解决方案等。您正在使用的许多其他插件可能正在收集用户信息。

作为店主,WooCommerce GDPR 合规性的最重要方面是与用户有效沟通您如何收集和使用他们的数据。 例如,您可能需要更新您的隐私政策,以解释您为确保遵守 GDPR 而采取的各种措施。 每次从用户那里收集任何形式的数据时,征得用户的同意也很重要。

描述 WooCommerce GDPR 文章的数据隐私的图像
数据隐私是全球互联网用户日益关注的问题。

GDPR 指南

每个网站所有者都必须遵循 GDPR 指南,其中包括以下几点:

透明度

您需要清楚地与用户沟通数据收集的原因、您将保留它多长时间以及谁都可以访问它等。这对于让用户了解企业可以使用的可能性很重要使用他们的数据。

同意

您还需要就您将从他们那里收集的任何数据征得用户的知情同意。 而且,必须由用户决定是否同意数据收集。 例如,根据 GDPR 指南,默认启用某些字段不是可取的做法。

访问权

您的用户应该有权随时访问他们的数据。 除了被告知特定数据点、它们的存储和处理以及收集的原因之外,您的用户还应该能够在他们请求时获得数据的副本。 对于 WooCommerce 商店所有者来说,这有点棘手,因为他们可能正在使用多个第三方插件和解决方案,这些插件和解决方案也需要遵守这些准则。 网站所有者有责任确保收集用户数据的所有工具都符合新规定。

撤回同意的权利

根据这些指南,用户将更好地控制他们的数据。 在任何时候,用户都有权撤销对网站保留数据的同意。 如果他们愿意,用户应该能够从网站上删除他们的数据。

数据泄露通知

GDPR 指南的另一个重要方面是要求及时通知用户您网站上的任何数据泄露。 根据指南,您需要在发现数据泄露后的 72 小时内通知用户。 在这方面,使用像 Wordfence 这样好的安全插件来监控流量和活动日志可能是一个不错的选择。

WooCommerce GDPR 合规性采取的步骤

作为 WooCommerce 店主,您必须采取几个步骤来确保您的网站符合 GDPR 法规。 下面列出了其中一些步骤:

更新您的隐私政策

您需要更新您网站上的隐私政策,以确保您的用户了解您为确保符合 GDPR 而采取的所有步骤。 在这里,您还必须指定从用户那里收集哪些信息,以及收集这些信息的原因。 此外,您还必须让您的用户知道您如何处理数据以及谁都可以访问它。 您需要与用户沟通的另一个重要信息是您将持有他们的信息的时间段。 您可能已经看到许多流行网站的隐私政策更新通知。

确保用户已同意

您需要确保用户同意您在您的网站上收集和存储他们的个人信息。 这可以通过主动同意您向用户请求的每个特定信息来实现。 此处重点关注一个方面,以确保您没有启用自动选择加入。 默认情况下,每个请求用户同意的特定字段都应保持禁用状态。 只有当用户主动选择向您提供个人信息时,您才能从他们那里收集个人信息。

只收集相关信息

许多网站和企业主倾向于收集和存储与其业务无关的信息。 随着 GDRP 的引入,这种趋势将停止。 基本上,您必须删除不再使用的所有信息。 并且没有必要收集您认为将来有用的任何信息。 事实上,如果您收集的信息量较少,就会降低数据泄露的风险。

此外,请确保您只保留一个版本的数据。 但是,您可能必须在存储备份时保留多个副本。 作为标准规范,您最多可以保留四个备份。 此外,您必须正确记录存储备份的位置,以便对数据审计透明。

为潜在的数据泄露创建流程

在多种情况下,您网站上的用户数据会受到损害。 一种常见的情况是网站被黑,攻击者可以访问您的数据。 除此之外,数据处理器未经授权的访问也会造成问题。 您网站上访问用户数据的所有插件、软件和其他工具都称为数据处理器。 有时,您可能会将用户个人信息的访问权限传递给不应获得这些信息的处理器。 这也可以被视为数据泄露。 同样,将个人信息传递到不符合 GDPR 的国家也被视为数据泄露。

描述 WooCommerce GDPR 文章的数据处理器的图像
您在您的网站上使用的插件和软件可以是数据处理器,它们对您网站用户个人信息的访问可能会有所不同。

建议提前制定明确的流程来处理任何类型的数据泄露。 根据 GDPR 指南,您已在第一次知道数据泄露后的 72 小时内通知用户数据泄露。

当用户请求他们的数据时,创建要处理的流程

借助 GDPR 合规性,您的用户可以更好地控制他们的个人信息。 其中包括复制、移植或删除数据的请求,或者有时撤回先前给予的同意。 您需要具备处理所有这些请求的能力,而无需从用户那里收集额外数据。

此外,请注意 GDPR 指南同样适用于大小企业。

结论

GDPR 或通用数据保护条例是一套适用于所有以欧盟公民为用户的网站和企业的监管代码。 事实上,这是在全球范围内确保更好的数据隐私的努力。 GDPR 指南的基本方面可以总结如下:

  1. 告知您的用户您从他们那里收集的所有个人数据。 您还需要说明您收集数据的原因,谁都可以访问它,以及您在您的网站上保留了多长时间等。
  2. 在以任何形式从用户那里收集信息之前,请先征得用户的知情同意。
  3. 仅在数据与您的业务真正相关时才收集数据。 当您拥有较少的数据时,您可以更有效地保护它。
  4. 创建一个流程,以便在用户请求访问时向他们提供他们的数据。
  5. 如果有任何数据泄露,请及时通知用户。

根据 GDPR 指南,WooCommerce 店主被视为数据控制者。 尽管不同的工具可能有不同的数据隐私方法,但商店所有者有责任确保所有插件和工具都遵循指南。 GDPR 合规的最后期限是 2018 年 5 月 25 日,如果您还没有采取必要的步骤,是时候关注它了。

进一步阅读

  • WordPress 安全插件
  • WooCommerce 备份插件