如何確保 WooCommerce GDPR 合規性

已發表: 2018-05-08
header image for WooCommerce GDPR article

最後更新 - 2021 年 9 月 14 日

如果您是 WooCommerce 店主,那麼您現在一定聽說過 GDPR。 這是歐盟正在執行的通用數據保護條例 (GDPR)。 所有向歐洲市場銷售產品並處理歐洲公民數據的店主都需要遵守 GDPR 指南。 2018 年 5 月 25 日是確保您的 WooCommerce 商店遵循 GDPR 中指定的所有數據隱私準則的最後期限。 本文旨在幫助您了解作為店主需要注意的 WooCommerce GDPR 合規性的細微差別。 看完這篇文章,你應該對 GDPR 的各個方面有了一個清晰的認識,以及你需要採取的重要措施。

注意:本文中的信息僅用於一般信息。 您可能需要針對您的特定業務場景獲得專業的法律建議。

GDPR 的重要性

執行 GDPR 是為了確保世界各地的用戶(特別是歐盟公民)能夠更好地控制他們與企業共享的數據。 提議巨額罰款以確保大多數企業遵守此規定。 罰款最高可達 2000 萬歐元,即公司上一財政年度年營業額的 4%。 對不遵守準則的企業將處以較大的罰款。

世界各地的公司都在認真對待這些指導方針。 普華永道對美國公司進行的一項調查顯示,超過 77% 的公司願意支付超過 100 萬美元以確保 GDPR 合規。 這是一個重要的指針,可以讓您了解全球對此事的影響有多大。

WooCommerce GDPR 觀點

作為 WooCommerce 店主,您可能必須專門解決與您的商店相關的某些方面。 在收集用戶數據時,每個 WordPress 網站都有不同的方法。 您需要對與您的網站相關的各個方面進行徹底的研究,並據此制定計劃。 一般來說,WordPress 網站可以通過多種方式收集用戶數據。 這些包括用戶註冊、評論、分析輸入、聯繫表格、安全解決方案等。您正在使用的許多其他插件可能正在收集用戶信息。

作為店主,WooCommerce GDPR 合規性的最重要方面是與用戶有效溝通您如何收集和使用他們的數據。 例如,您可能需要更新您的隱私政策,以解釋您為確保遵守 GDPR 而採取的各種措施。 每次從用戶那裡收集任何形式的數據時,徵得用戶的同意也很重要。

描述 WooCommerce GDPR 文章的數據隱私的圖像
數據隱私是全球互聯網用戶日益關注的問題。

GDPR 指南

每個網站所有者都必須遵循 GDPR 指南,其中包括以下幾點:

透明度

您需要清楚地與用戶溝通數據收集的原因、您將保留它多長時間以及誰都可以訪問它等。這對於讓用戶了解企業可以使用的可能性很重要使用他們的數據。

同意

您還需要就您將從他們那裡收集的任何數據徵得用戶的知情同意。 而且,必須由用戶決定是否同意數據收集。 例如,根據 GDPR 指南,默認啟用某些字段不是可取的做法。

訪問權

您的用戶應該有權隨時訪問他們的數據。 除了被告知特定數據點、它們的存儲和處理以及收集的原因之外,您的用戶還應該能夠在他們請求時獲得數據的副本。 對於 WooCommerce 商店所有者來說,這有點棘手,因為他們可能正在使用多個第三方插件和解決方案,這些插件和解決方案也需要遵守這些準則。 網站所有者有責任確保收集用戶數據的所有工具都符合新規定。

撤回同意的權利

根據這些指南,用戶將更好地控制他們的數據。 在任何時候,用戶都有權撤銷對網站保留數據的同意。 如果他們願意,用戶應該能夠從網站上刪除他們的數據。

數據洩露通知

GDPR 指南的另一個重要方面是要求及時通知用戶您網站上的任何數據洩露。 根據指南,您需要在發現數據洩露後的 72 小時內通知用戶。 在這方面,使用像 Wordfence 這樣好的安全插件來監控流量和活動日誌可能是一個不錯的選擇。

WooCommerce GDPR 合規性採取的步驟

作為 WooCommerce 店主,您必須採取幾個步驟來確保您的網站符合 GDPR 法規。 下面列出了其中一些步驟:

更新您的隱私政策

您需要更新您網站上的隱私政策,以確保您的用戶了解您為確保符合 GDPR 而採取的所有步驟。 在這裡,您還必須指定從用戶那裡收集哪些信息,以及收集這些信息的原因。 此外,您還必須讓您的用戶知道您如何處理數據以及誰都可以訪問它。 您需要與用戶溝通的另一個重要信息是您將持有他們的信息的時間段。 您可能已經看到許多流行網站的隱私政策更新通知。

確保用戶已同意

您需要確保用戶同意您在您的網站上收集和存儲他們的個人信息。 這可以通過主動同意您向用戶請求的每個特定信息來實現。 此處重點關註一個方面,以確保您沒有啟用自動選擇加入。 默認情況下,每個請求用戶同意的特定字段都應保持禁用狀態。 只有當用戶主動選擇向您提供個人信息時,您才能從他們那裡收集個人信息。

只收集相關信息

許多網站和企業主傾向於收集和存儲與其業務無關的信息。 隨著 GDRP 的引入,這種趨勢將停止。 基本上,您必須刪除不再使用的所有信息。 並且沒有必要收集您認為將來有用的任何信息。 事實上,如果您收集的信息量較少,就會降低數據洩露的風險。

此外,請確保您只保留一個版本的數據。 但是,您可能必須在存儲備份時保留多個副本。 作為標準規範,您最多可以保留四個備份。 此外,您必須正確記錄存儲備份的位置,以便對數據審計透明。

為潛在的數據洩露創建流程

在多種情況下,您網站上的用戶數據會受到損害。 一種常見的情況是網站被黑,攻擊者可以訪問您的數據。 除此之外,數據處理器未經授權的訪問也會造成問題。 您網站上訪問用戶數據的所有插件、軟件和其他工具都稱為數據處理器。 有時,您可能會將用戶個人信息的訪問權限傳遞給不應獲得這些信息的處理器。 這也可以被視為數據洩​​露。 同樣,將個人信息傳遞到不符合 GDPR 的國家也被視為數據洩​​露。

描述 WooCommerce GDPR 文章的數據處理器的圖像
您在您的網站上使用的插件和軟件可以是數據處理器,它們對您網站用戶個人信息的訪問可能會有所不同。

建議提前製定明確的流程來處理任何類型的數據洩露。 根據 GDPR 指南,您已在第一次知道數據洩露後的 72 小時內通知用戶數據洩露。

當用戶請求他們的數據時,創建要處理的流程

借助 GDPR 合規性,您的用戶可以更好地控制他們的個人信息。 其中包括複製、移植或刪除數據的請求,或者有時撤回先前給予的同意。 您需要具備處理所有這些請求的能力,而無需從用戶那裡收集額外數據。

此外,請注意 GDPR 指南同樣適用於大小企業。

結論

GDPR 或通用數據保護條例是一套適用於所有以歐盟公民為用戶的網站和企業的監管代碼。 事實上,這是在全球範圍內確保更好的數據隱私的努力。 GDPR 指南的基本方面可以總結如下:

  1. 告知您的用戶您從他們那裡收集的所有個人數據。 您還需要說明您收集數據的原因,誰都可以訪問它,以及您在您的網站上保留了多長時間等。
  2. 在以任何形式從用戶那裡收集信息之前,請先徵得用戶的知情同意。
  3. 僅在數據與您的業務真正相關時才收集數據。 當您擁有較少的數據時,您可以更有效地保護它。
  4. 創建一個流程,以便在用戶請求訪問時向他們提供他們的數據。
  5. 如果有任何數據洩露,請及時通知用戶。

根據 GDPR 指南,WooCommerce 店主被視為數據控制者。 儘管不同的工具可能有不同的數據隱私方法,但商店所有者有責任確保所有插件和工具都遵循指南。 GDPR 合規的最後期限是 2018 年 5 月 25 日,如果您還沒有採取必要的步驟,是時候關注它了。

進一步閱讀

  • WordPress 安全插件
  • WooCommerce 備份插件