我的网站的 GDPR 合规性验证
Posted
技术标签:
【中文标题】我的网站的 GDPR 合规性验证【英文标题】:GDPR compliance verification for my website 【发布时间】:2019-02-18 13:43:02 【问题描述】:我们有一个 WordPress 网站,可以在包括欧洲国家在内的世界各地销售和运送产品。我们已根据需要修改了 UK-Cookie-Consent 插件。我们目前在页面顶部显示以下警告,点击“了解更多”会将用户带到我们的隐私页面:
同时,我们不会在欧洲以外的大陆显示 cookie 警告。我们还有一些第三方跟踪 cookie,例如 facebook、google analytics 和 klaviyo,我们将它们用于各种跟踪目的。
当我通过各种网络扫描程序(例如 cookiebot、cookieserve.com、gdprcookiescan.eu 和 ezigdpr.com)扫描我们的网站以了解 GDPR 合规性时,该网站显示为不合规。
我的问题是,作为一名 wordpress 开发人员,我可以采取哪些额外步骤来使网站符合 GDPR。
我的另一个问题是,是否应该关注上述扫描仪的 GDPR 扫描结果,以及是否有其他更受推崇的扫描仪被推荐用于确保 GDPR 合规性。
【问题讨论】:
这个链接会有帮助 - Is my Website GDPR Compliant? 【参考方案1】:先介绍一些背景信息: 这很重要,因为那里有很多关于这个主题的错误信息和混淆。我会尽力澄清它。这里有 2 种不同的法律(法规/指令)起作用。
-
ePrivacy 指令: 这是负责 cookie 横幅的指令,该指令实际上已在 2003 年实施,并在 2009 年进行了最后一次修订。目前正在重新修改。由于它是指令而不是法规,因此每个欧盟成员国都有责任实施自己的“版本”。这导致了不同国家的不同要求。 (我知道,没有帮助)一些国家/地区要求选择退出 cookie,而另一些国家/地区只是一个信息横幅,这是您大部分时间看到的。
GDPR(通用数据保护条例):
行业中的新热点实际上并没有明确地处理 cookie。这涉及个人数据和“个人身份信息”(PII)的处理,这是可用于识别个人的任何数据。示例:姓名、电子邮件地址、电话号码、信用卡号、IP 地址(在某些条件下)。根据 GDPR,您需要有所谓的法律依据(为什么我在法律上被允许处理数据)来处理任何个人数据。其中有 6 个,您可以在此处查找它们:Lawfulness of processing
那么这一切意味着什么以及它们是如何结合在一起的? 由于 ePrivacy,您需要显示 cookie 横幅,并且您需要有法律依据来处理通过 cookie 检索到的数据,因为 GDPR 可能会因 cookie 的用途而异。有 3 类法律依据可能与您的网站相关:合法权益、同意和合同(处理客户购买) 重要提示:根据 GDPR,您需要向您的用户提供有关处理哪些数据、依据何种法律依据以及处理目的的信息。这需要进入您的隐私政策。
那么我什么时候可以设置哪些类型的 cookie?
绝对必要的 cookie:无需明确同意即可设置。 (仍然需要您通过横幅通知您的用户您使用 cookie)这些是您的网站运行所需的 cookie。就像您客户的登录会话和购物车一样。 统计数据:假设您的网站使用某种不与广告网络共享任何数据的分析服务。您可以争辩说您拥有合法利益,在这种情况下类似于“通过分析网站使用情况来改进网站”。我肯定至少会为这种类型提供选择退出。 定位/营销 Cookie: 在这里很难说您有“合法利益”,因为正在跟踪和分析用户。对于这些选择加入是必须的。这意味着如果用户选择加入,您的法律依据是同意。例如,Facebook 像素应该是选择加入的。
答案:
我的问题是,作为 WordPress 开发人员,我可以采取哪些额外步骤来使网站符合 GDPR。
您需要做的不仅仅是正确处理 cookie。这只是 GDPR 合规性所需的一小部分。您需要确定您从客户/用户那里收集的所有类型的个人数据的处理目的。这需要包含在您的隐私政策中,不要忘记处理的法律依据。当您收集任何个人数据时,您需要能够告知(隐私政策)您的用户/客户以下内容:GDPR Article 13
我的另一个问题是,是否应该关注上述扫描仪的 GDPR 扫描结果,以及是否有其他更受尊重的扫描仪被推荐用于确保 GDPR 合规性。
我一般不会依赖扫描仪,除非可能要弄清楚您的网站设置了哪些类型的 cookie,而您可能忽略了这些 cookie。这些扫描程序无法告诉您您的网站是否符合 GDPR,在最好的情况下,它们可以告诉您您的 cookie 同意对话是否有效,例如仅查找“绝对必要”的 cookie。顺便说一句,您拥有的那个横幅是为了暗示同意,在 GDPR 之前的大多数情况下,这本来可以,但是,不再可以了。如果您在用户单击“我同意”之前设置了 Facebook 的 cookie,那么这可能就是扫描仪说您不合规的原因。
希望我没有吓到任何人 ;) 每个人都处于对某些方面不完全确定的同一条船上,即使是大企业也是如此。 GDPR 有很多方面的文字并不完全清楚,留有解释的余地。 边注: 我们为一些客户构建了一个解决方案,可以持续自动生成隐私政策,使其与网站保持一致,集中更新政策变更以及管理 cookie、社交媒体等的隐私控制。我们正在处理它成为任何人都可以使用的通用解决方案。我们正在寻找可以与之合作以进一步开发它的试点客户。你可以在这里查看:TRUENDO
【讨论】:
您好,我刚刚创建了一个网站,它不存储 cookie,但该网站是单页网站,客户在该网站上发布他们的联系方式,并使用 AJAX 将其保存到数据库中。那么我需要使网站符合 GDPR 吗? @DeepanshuGoyal 假设该网站将在欧盟使用,是的,绝对是。由于您不使用 cookie,因此 ePrivacy 不适用,但 GDPR 会适用,因为您正在处理(存储/使用)个人数据(联系方式)。【参考方案2】:您可以使用这个Cookie Consent Solution for GDPR,它会在您同意之前自动阻止cookies。它适用于所有平台,如 WordPress、Drupal...等。
【讨论】:
以上是关于我的网站的 GDPR 合规性验证的主要内容,如果未能解决你的问题,请参考以下文章
使用 openid connect 时如何确保客户端服务的 GDPR/ToS 合规性?
Web 应用程序(Vue.js、Django、Heroku)的 GDPR 合规性 [关闭]