Проверка соответствия GDPR для моего сайта - PullRequest
0 голосов
/ 13 сентября 2018

У нас есть WordPress веб-сайт, который продает и отправляет продукцию по всему миру, включая европейские страны. Мы изменили плагин UK-Cookie-Consent для наших нужд. В настоящее время мы отображаем следующее предупреждение в верхней части страницы, где нажатие кнопки «Узнать больше» переводит пользователя на нашу страницу конфиденциальности:

enter image description here

В то же время мы не отображаем предупреждения о файлах cookie на других континентах, кроме Европы. У нас также есть несколько сторонних файлов cookie для отслеживания, таких как facebook, google analytics и klaviyo, которые мы используем для различных целей отслеживания.

Когда я сканировал наш веб-сайт на предмет соответствия gdpr с помощью различных веб-сканеров, таких как cookiebot, gdprcookiescan.eu и ezigdpr.com, веб-сайт обнаружил, что он не соответствует требованиям.

Мой вопрос как разработчика WordPress, какие дополнительные шаги я могу предпринять, чтобы сделать веб-сайт GDPR-совместимым.

Мой дополнительный вопрос заключается в том, следует ли с осторожностью относиться к результатам сканирования GDPR с вышеупомянутых сканеров и существуют ли другие более уважаемые сканеры, которые рекомендуется использовать для обеспечения соответствия GDPR.

1 Ответ

0 голосов
/ 01 октября 2018

Сначала некоторая справочная информация:
Это важно, поскольку существует много дезинформации и путаницы по этой теме.Я сделаю все возможное, чтобы уточнить это.Здесь действуют два разных закона (положения / директивы).

  1. Директива ePrivacy:
    Это директива, отвечающая за баннеры с файлами cookie, которая была фактически внедрена в 2003 году и имела последнюю поправку в 2009 году. В настоящее время она перерабатываетсяснова в данный момент.Поскольку это директива, а не регламент, каждая страна-член ЕС несет ответственность за реализацию своей собственной «версии».Это привело к различным требованиям в зависимости от страны.(Я знаю, бесполезно). Некоторые страны требовали отказаться от файлов cookie, другие - просто информационный баннер, который вы видите большую часть времени.
  2. GDPR (Общее положение о защите данных):
    Новое оживление в отрасли, на самом деле явно не касается куки.Это касается обработки персональных данных и «персонально идентифицируемой информации» (PII), которая представляет собой любые данные, которые могут быть использованы для идентификации личности.Примеры: имя, адрес электронной почты, номер телефона, номер кредитной карты, IP-адрес (при определенных условиях).Согласно GDPR, вам необходимо иметь так называемую правовую базу (почему мне по закону разрешено обрабатывать данные) для обработки любых персональных данных.Есть 6 из них, вы можете посмотреть их здесь: Законность обработки

Так, что все это значит и как это сочетается?
Вам необходимо показать баннер cookie из-за ePrivacy, и у вас должна быть правовая основа для обработки данных, полученных с помощью файлов cookie из-за GDPR, которые могут варьироваться в зависимости от того, для чего используется этот файл cookie.Существует 3 типа правовых оснований, которые, вероятно, будут иметь отношение к вашему веб-сайту: Законные интересы , Согласие и Контракт (для обработки покупки клиентов) ВАЖНО : в соответствии с GDPR вы обязаны предоставлять своим пользователям информацию о том, какие данные обрабатываются, на каком правовом основании, а также о целях обработки.Это должно войти в вашу политику конфиденциальности.


Так, когда я могу установить, какие типы куки?

Строго необходимые куки: Может быть установлен без явного согласия.(по-прежнему требуется, чтобы вы информировали своих пользователей о том, что вы используете куки через баннер).Как сеанс входа в систему вашего клиента и корзина покупок.
Статистика: Предполагается, что ваш сайт использует какую-то аналитическую службу, которая не делится никакими данными с рекламной сетью.Вы можете утверждать, что у вас есть законный интерес , в данном случае это что-то вроде "улучшения сайта путем анализа использования сайта".Я бы определенно по крайней мере предоставил отказ для этого типа.
Файлы cookie для таргетинга / маркетинга: Здесь трудно утверждать, что у вас есть «законный интерес», поскольку пользователи отслеживаются и профилируются.Для этого необходимо зарегистрироваться.Это означает, что если пользователь согласен, ваша правовая база - согласие .Например, должен быть выбран пиксель Facebook.

Ответы:

Мой вопрос как разработчика WordPress, какие дополнительные шаги, если я могу предпринять, чтобы сделатьвеб-сайт, совместимый с GDPR.

Вам нужно сделать гораздо больше, чем просто правильно обращаться с файлами cookie. Это только небольшой аспект того, что вам нужно для соблюдения GDPR. Вам необходимо определить, какие цели вы используете для обработки всех типов личных данных, которые вы собираете у своих клиентов / пользователей. Это должно быть включено в вашу политику конфиденциальности, не забывая о правовой основе для обработки. Когда вы собираете какие-либо личные данные, вы должны иметь возможность информировать (политику конфиденциальности) своих пользователей / клиентов о следующем: GDPR, статья 13

Мой дополнительный вопрос заключается в том, следует ли с осторожностью относиться к результатам сканирования GDPR с вышеупомянутых сканеров и есть ли другие более уважаемые сканеры, которые рекомендуется использовать для обеспечения соответствия GDPR.

Я бы не стал полагаться на сканеры в целом, за исключением, может быть, выяснения того, какие типы файлов cookie использует ваш сайт, которые вы, возможно, пропустили. Эти сканеры не могут сказать вам, соответствует ли ваш сайт требованиям GDPR, в лучшем случае они могут сообщить вам, работает ли ваш диалог согласия на получение файлов cookie, например, только для поиска «строго необходимых» файлов cookie. Между прочим, тот баннер, который у вас есть, для неявного согласия, который в большинстве случаев был бы нормальным до ВВПР, однако уже не в порядке. Если вы настраиваете файлы cookie, подобные файлам Facebook, до того, как пользователь нажимает «Я согласен», возможно, именно поэтому сканеры говорят, что вы не соответствуете требованиям.



Надеюсь, я никого не пугал;) Все в одной лодке не совсем уверены в некоторых аспектах, даже крупные предприятия. Есть много аспектов GDPR, где текст не совсем ясен, оставляя место для интерпретации.


Примечание:
Для некоторых клиентов мы создали решение, которое непрерывно автоматически генерирует политику конфиденциальности, поддерживая ее соответствие веб-сайту, центральные обновления для изменений политики, а также управляя элементами управления конфиденциальностью для файлов cookie, социальных сетей и т. Д. в общее решение, которое каждый может использовать. Мы ищем опытных клиентов, с которыми мы можем работать для дальнейшего развития. Вы можете проверить это здесь: TRUENDO

...