我的网站的 GDPR 合规性验证

Posted 2023-03-17

【中文标题】我的网站的 GDPR 合规性验证

【英文标题】：GDPR compliance verification for my website

【发布时间】：2019-02-18 13:43:02

【问题描述】：

我们有一个 WordPress 网站，可以在包括欧洲国家在内的世界各地销售和运送产品。我们已根据需要修改了 UK-Cookie-Consent 插件。我们目前在页面顶部显示以下警告，点击“了解更多”会将用户带到我们的隐私页面：

同时，我们不会在欧洲以外的大陆显示 cookie 警告。我们还有一些第三方跟踪 cookie，例如 facebook、google analytics 和 klaviyo，我们将它们用于各种跟踪目的。

当我通过各种网络扫描程序（例如 cookiebot、cookieserve.com、gdprcookiescan.eu 和 ezigdpr.com）扫描我们的网站以了解 GDPR 合规性时，该网站显示为不合规。

我的问题是，作为一名 wordpress 开发人员，我可以采取哪些额外步骤来使网站符合 GDPR。

我的另一个问题是，是否应该关注上述扫描仪的 GDPR 扫描结果，以及是否有其他更受推崇的扫描仪被推荐用于确保 GDPR 合规性。

【问题讨论】：

这个链接会有帮助 - Is my Website GDPR Compliant?

【参考方案1】：

先介绍一些背景信息： 这很重要，因为那里有很多关于这个主题的错误信息和混淆。我会尽力澄清它。这里有 2 种不同的法律（法规/指令）起作用。

ePrivacy 指令： 这是负责 cookie 横幅的指令，该指令实际上已在 2003 年实施，并在 2009 年进行了最后一次修订。目前正在重新修改。由于它是指令而不是法规，因此每个欧盟成员国都有责任实施自己的“版本”。这导致了不同国家的不同要求。 （我知道，没有帮助）一些国家/地区要求选择退出 cookie，而另一些国家/地区只是一个信息横幅，这是您大部分时间看到的。 GDPR（通用数据保护条例）： 行业中的新热点实际上并没有明确地处理 cookie。这涉及个人数据和“个人身份信息”（PII）的处理，这是可用于识别个人的任何数据。示例：姓名、电子邮件地址、电话号码、信用卡号、IP 地址（在某些条件下）。根据 GDPR，您需要有所谓的法律依据（为什么我在法律上被允许处理数据）来处理任何个人数据。其中有 6 个，您可以在此处查找它们：Lawfulness of processing

那么这一切意味着什么以及它们是如何结合在一起的？ 由于 ePrivacy，您需要显示 cookie 横幅，并且您需要有法律依据来处理通过 cookie 检索到的数据，因为 GDPR 可能会因 cookie 的用途而异。有 3 类法律依据可能与您的网站相关：合法权益、同意和合同（处理客户购买） 重要提示：根据 GDPR，您需要向您的用户提供有关处理哪些数据、依据何种法律依据以及处理目的的信息。这需要进入您的隐私政策。

那么我什么时候可以设置哪些类型的 cookie？

绝对必要的 cookie：无需明确同意即可设置。 （仍然需要您通过横幅通知您的用户您使用 cookie）这些是您的网站运行所需的 cookie。就像您客户的登录会话和购物车一样。 统计数据：假设您的网站使用某种不与广告网络共享任何数据的分析服务。您可以争辩说您拥有合法利益，在这种情况下类似于“通过分析网站使用情况来改进网站”。我肯定至少会为这种类型提供选择退出。 定位/营销 Cookie： 在这里很难说您有“合法利益”，因为正在跟踪和分析用户。对于这些选择加入是必须的。这意味着如果用户选择加入，您的法律依据是同意。例如，Facebook 像素应该是选择加入的。

答案：

我的问题是，作为 WordPress 开发人员，我可以采取哪些额外步骤来使网站符合 GDPR。

您需要做的不仅仅是正确处理 cookie。这只是 GDPR 合规性所需的一小部分。您需要确定您从客户/用户那里收集的所有类型的个人数据的处理目的。这需要包含在您的隐私政策中，不要忘记处理的法律依据。当您收集任何个人数据时，您需要能够告知（隐私政策）您的用户/客户以下内容：GDPR Article 13

我的另一个问题是，是否应该关注上述扫描仪的 GDPR 扫描结果，以及是否有其他更受尊重的扫描仪被推荐用于确保 GDPR 合规性。

我一般不会依赖扫描仪，除非可能要弄清楚您的网站设置了哪些类型的 cookie，而您可能忽略了这些 cookie。这些扫描程序无法告诉您您的网站是否符合 GDPR，在最好的情况下，它们可以告诉您您的 cookie 同意对话是否有效，例如仅查找“绝对必要”的 cookie。顺便说一句，您拥有的那个横幅是为了暗示同意，在 GDPR 之前的大多数情况下，这本来可以，但是，不再可以了。如果您在用户单击“我同意”之前设置了 Facebook 的 cookie，那么这可能就是扫描仪说您不合规的原因。

希望我没有吓到任何人 ;) 每个人都处于对某些方面不完全确定的同一条船上，即使是大企业也是如此。 GDPR 有很多方面的文字并不完全清楚，留有解释的余地​​。 边注： 我们为一些客户构建了一个解决方案，可以持续自动生成隐私政策，使其与网站保持一致，集中更新政策变更以及管理 cookie、社交媒体等的隐私控制。我们正在处理它成为任何人都可以使用的通用解决方案。我们正在寻找可以与之合作以进一步开发它的试点客户。你可以在这里查看：TRUENDO

【讨论】：

您好，我刚刚创建了一个网站，它不存储 cookie，但该网站是单页网站，客户在该网站上发布他们的联系方式，并使用 AJAX 将其保存到数据库中。那么我需要使网站符合 GDPR 吗？

@DeepanshuGoyal 假设该网站将在欧盟使用，是的，绝对是。由于您不使用 cookie，因此 ePrivacy 不适用，但 GDPR 会适用，因为您正在处理（存储/使用）个人数据（联系方式）。

【参考方案2】：

您可以使用这个Cookie Consent Solution for GDPR，它会在您同意之前自动阻止cookies。它适用于所有平台，如 WordPress、Drupal...等。