Сначала некоторая справочная информация:
Это важно, поскольку существует много дезинформации и путаницы по этой теме.Я сделаю все возможное, чтобы уточнить это.Здесь действуют два разных закона (положения / директивы).
- Директива ePrivacy:
Это директива, отвечающая за баннеры с файлами cookie, которая была фактически внедрена в 2003 году и имела последнюю поправку в 2009 году. В настоящее время она перерабатываетсяснова в данный момент.Поскольку это директива, а не регламент, каждая страна-член ЕС несет ответственность за реализацию своей собственной «версии».Это привело к различным требованиям в зависимости от страны.(Я знаю, бесполезно). Некоторые страны требовали отказаться от файлов cookie, другие - просто информационный баннер, который вы видите большую часть времени. - GDPR (Общее положение о защите данных):
Новое оживление в отрасли, на самом деле явно не касается куки.Это касается обработки персональных данных и «персонально идентифицируемой информации» (PII), которая представляет собой любые данные, которые могут быть использованы для идентификации личности.Примеры: имя, адрес электронной почты, номер телефона, номер кредитной карты, IP-адрес (при определенных условиях).Согласно GDPR, вам необходимо иметь так называемую правовую базу (почему мне по закону разрешено обрабатывать данные) для обработки любых персональных данных.Есть 6 из них, вы можете посмотреть их здесь: Законность обработки
Так, что все это значит и как это сочетается?
Вам необходимо показать баннер cookie из-за ePrivacy, и у вас должна быть правовая основа для обработки данных, полученных с помощью файлов cookie из-за GDPR, которые могут варьироваться в зависимости от того, для чего используется этот файл cookie.Существует 3 типа правовых оснований, которые, вероятно, будут иметь отношение к вашему веб-сайту: Законные интересы , Согласие и Контракт (для обработки покупки клиентов) ВАЖНО : в соответствии с GDPR вы обязаны предоставлять своим пользователям информацию о том, какие данные обрабатываются, на каком правовом основании, а также о целях обработки.Это должно войти в вашу политику конфиденциальности.
Так, когда я могу установить, какие типы куки?
Строго необходимые куки: Может быть установлен без явного согласия.(по-прежнему требуется, чтобы вы информировали своих пользователей о том, что вы используете куки через баннер).Как сеанс входа в систему вашего клиента и корзина покупок.
Статистика: Предполагается, что ваш сайт использует какую-то аналитическую службу, которая не делится никакими данными с рекламной сетью.Вы можете утверждать, что у вас есть законный интерес , в данном случае это что-то вроде "улучшения сайта путем анализа использования сайта".Я бы определенно по крайней мере предоставил отказ для этого типа.
Файлы cookie для таргетинга / маркетинга: Здесь трудно утверждать, что у вас есть «законный интерес», поскольку пользователи отслеживаются и профилируются.Для этого необходимо зарегистрироваться.Это означает, что если пользователь согласен, ваша правовая база - согласие .Например, должен быть выбран пиксель Facebook.
Ответы:
Мой вопрос как разработчика WordPress, какие дополнительные шаги, если я могу предпринять, чтобы сделатьвеб-сайт, совместимый с GDPR.
Вам нужно сделать гораздо больше, чем просто правильно обращаться с файлами cookie. Это только небольшой аспект того, что вам нужно для соблюдения GDPR. Вам необходимо определить, какие цели вы используете для обработки всех типов личных данных, которые вы собираете у своих клиентов / пользователей. Это должно быть включено в вашу политику конфиденциальности, не забывая о правовой основе для обработки. Когда вы собираете какие-либо личные данные, вы должны иметь возможность информировать (политику конфиденциальности) своих пользователей / клиентов о следующем: GDPR, статья 13
Мой дополнительный вопрос заключается в том, следует ли с осторожностью относиться к результатам сканирования GDPR с вышеупомянутых сканеров и есть ли другие более уважаемые сканеры, которые рекомендуется использовать для обеспечения соответствия GDPR.
Я бы не стал полагаться на сканеры в целом, за исключением, может быть, выяснения того, какие типы файлов cookie использует ваш сайт, которые вы, возможно, пропустили. Эти сканеры не могут сказать вам, соответствует ли ваш сайт требованиям GDPR, в лучшем случае они могут сообщить вам, работает ли ваш диалог согласия на получение файлов cookie, например, только для поиска «строго необходимых» файлов cookie. Между прочим, тот баннер, который у вас есть, для неявного согласия, который в большинстве случаев был бы нормальным до ВВПР, однако уже не в порядке. Если вы настраиваете файлы cookie, подобные файлам Facebook, до того, как пользователь нажимает «Я согласен», возможно, именно поэтому сканеры говорят, что вы не соответствуете требованиям.
Надеюсь, я никого не пугал;) Все в одной лодке не совсем уверены в некоторых аспектах, даже крупные предприятия. Есть много аспектов GDPR, где текст не совсем ясен, оставляя место для интерпретации.
Примечание:
Для некоторых клиентов мы создали решение, которое непрерывно автоматически генерирует политику конфиденциальности, поддерживая ее соответствие веб-сайту, центральные обновления для изменений политики, а также управляя элементами управления конфиденциальностью для файлов cookie, социальных сетей и т. Д. в общее решение, которое каждый может использовать. Мы ищем опытных клиентов, с которыми мы можем работать для дальнейшего развития. Вы можете проверить это здесь: TRUENDO