Особенности соответствия требованиям GDPR для WordPress пользователей
Возможно, вы слышали о термине GDPR, который активно обсуждается в сети. Сегодня это довольно горячая тема, особенно учитывая все новости про утечки данных и нарушения безопасности. Короче говоря, GDPR – это закон о конфиденциальности, призванный дать гражданам возможность контролировать свои персональные данные. Влияние GDPR распространяется на работу с данными во всем интернете. Сложность в том, что с приближением 25 мая у людей по-прежнему остается очень много вопросов, связанных с GDPR:
- Что такое GDPR? (простыми словами)
- Влияет ли GDPR на меня?
- Что мне нужно сделать для соблюдения GDPR?
Не переживайте, в данной статье мы объясним все, что касается GDPR, а также расскажем, что вы можете сделать, чтобы подготовиться к его введению. Мы не юристы, а потому не будем утомлять вас разными юридическими тонкостями и подводными камнями.
Обратите внимание, что пост написан только с информационными целями и не должен рассматриваться как юридическая консультация.
Что такое GDPR?
GPD R расшифровывается как General Data Protection Regulation (Общий регламент по защите данных). Это закон о конфиденциальности, который был одобрен 14 апреля 2016 года Европейской комиссией для защиты прав граждан ЕС (28 государств-участников) и их персональных данных. Закон пришел на смену директиве 95/46/EC от 24 октября 1995 года и является более обширным, чем Cookie Law от 2011 года (в скором времени его заменит новое постановление EU ePrivacy Regulation, которое идет рука об руку с GDPR). Развертывание GDPR шло в течение двух лет с крайним сроком, установленным на 25 мая 2018 года.
Если вы хотите изучить обширные официальные документы в PDF-формате (11 глав, 99 статей), мы рекомендуем обратиться к сайту gdpr-info.eu.
К чему ведет GDPR
К сожалению, далеко не всегда последствия являются радужными, когда мы говорим про законы подобного рода. Давайте посмотрим, что влечет за собой введение GDPR:
- Применяется к любым персональным данным (т.е. данным, которые используются или могут использоваться для идентификации кого-либо). Персональные данные – это любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу (субъекту данных); идентифицируемое физическое лицо – это лицо, которое может быть идентифицировано прямо или косвенно с помощью идентификатора, такого как имя, номер социального страхования, данные о местоположении, онлайн-идентификатор (IP-адрес, email-адрес) или одного или нескольких факторов, определяющих физическую, физиологическую, генетическую, психическую, экономическую, культурную или социальную идентичность этого физического лица.
- Применяется к любым чувствительным персональным данным, таким как раса, этническое происхождение, сексуальная ориентация и состояние здоровья.
- Требует получения согласия или наличие веской причины для обработки и хранения персональной информации.
- Позволяет лицу требовать полного удаления его персональной информации (если только не существует веской причины, такой как банковский кредит). Также описывается как «право быть забытым».
- Предоставляет лицу право знать, какая информация хранится о нем.
- Конфиденциальность по умолчанию: гарантии того, что персональная информация защищена должным образом. В новых системах должна быть встроенная защита, и доступ к данным должен строго контролироваться и предоставляться только при необходимости.
- Если данные потеряны, украдены или получены без разрешения, власти должны быть уведомлены в течение 72 часов наряду с теми людьми, чьи данные были затронуты.
- Данные могут использоваться только для тех целей, которые были установлены во время их получения, и должны надежно удаляться, когда они больше не требуются.
- Право доступа и переносимость данных. Человек может запросить свою информацию в удобном скачиваемом формате в любое время, а также использовать или передавать данные в другие сервисы.
- Позволяет местным властям налагать штрафы на компании, нарушающие закон.
- Родительское согласие необходимо для обработки персональных данных детей в возрасте до 16 лет для онлайн-сервисов; возраст может варьироваться в зависимости от государства-участника, но не может быть ниже 13 лет.
На кого распространяется GDPR
Хотя новые правила GDPR были разработаны для защиты прав граждан ЕС, они существенно влияют на всех пользователей интернета. Да, на всех! Не важно, где располагается бизнес и как ведется его онлайн-деятельность. Если ваш веб-сайт обрабатывает или собирает данные у граждан ЕС, то вы должны соблюдать правила GDPR.
Вот лишь некоторые примеры сайтов, расположенных за пределами ЕС, которые все равно будут затронуты:
- Сайт сообщества WordPress, собирающий персональную информацию для каждого пользовательского профиля.
- Магазин тем WordPress, в котором клиенты регистрируются для создания аккаунтов, чтобы приобрести темы или плагины (данные продаж и биллинга).
- Блог WordPress, в котором имеется виджет подписки на новостную рассылку или в котором открыто пользовательское комментирование.
- Интернет-магазин (WooCommerce или Easy Digital Downloads), который продает товары онлайн.
- Сайт WordPress, использующий аналитические программы.
Возможно, вы понимаете, с чем это связано. Если вы явно не блокируете трафик из ЕС, что, скорее всего, верно для большинства, то в таком случае ваш сайт подпадает под правила GDPR.
Каковы последствия от несоответствия GDPR
Если ваш бизнес не соответствует GDPR, то вы можете получить штрафы в размере до 4% от общего годового оборота или до 20 млн евро за нарушение. Имеется многоуровневый подход к штрафам. К примеру, компания может быть оштрафована на 2% за то, что она не уведомила надзорный орган и субъект данных об утечке информации или не провела оценку такого воздействия.
Если вы являетесь небольшим магазином или разработчиком для WordPress, эти штрафы могут оказаться разрушительными!
Как сделать свой сайт совместимым с GDPR
Теперь давайте посмотрим, как сделать сайт совместимым с GDPR. К сожалению, мы не сможем здесь дать простую пошаговую инструкцию, поскольку все вещи разнятся в зависимости от сайта. Однако вот предложения, которые помогут вам выработать верный путь.
- Наймите юриста.
Если у вас имеются какие-либо проблемы с соблюдением требований GDPR (что, естественно, будет у многих), мы рекомендуем временно нанять юриста. Он предоставит вам консультации, специально проработанные под вашу ситуацию. Если вы допустите ошибку, то в таком случае вы можете столкнуться с огромными штрафами.
- Изучите ваши процессы сбора и обработки данных.
Мы рекомендуем вам пройтись по своему WordPress сайту и посмотреть, где именно происходит сбор и обработка данных, как это происходит, а также какая информация и как долго хранится. Сюда стоит отнести:
- Сбор персональных данных на странице заказа товара или странице регистрации.
- IP-адреса, cookie-идентификаторы, GPS-локации.
- Разные сервисы, такие как Google Analytics, Hotjar и др.
Далее вам необходимо будет подтвердить, что вы запрашиваете разрешение у посетителей, а также раскрываете, как используются полученные данные.
- Проект GDPR, встроенный в ядро WordPress для разработчиков
Dejlig Lama и Peter Suhm начали работу над проектом GDPR for WordPress. Проект должен был предложить разработчикам плагинов простое решение по GDPR, включающее в себя инструменты для соответствия закону. Однако хорошая новость состоит в том, что теперь проект по GDPR стал частью ядра WordPress.
Вы можете следить за Trac-тикетами GDPR, а также за дорожной картой по соответствию требованиям GDPR. Разработчики надеются завершить всю работу к 25 мая 2018 года. Это важно как для пользователей WordPress, так и для разработчиков. Пользователям WordPress потребуются новые возможности, встроенные в плагины, такие как чекбоксы, подсказки и т.д. для того, чтобы получить согласие у пользователей на обработку данных.
- Обновите все юридические документы.
Пришла пора обновить ваши страницы условий и положений, страницы конфиденциальности, партнерские условия, а также любые другие юридические документы и соглашения, которые могут быть у вас. Больше не должно быть форм без чекбоксов. Иными словами, пользователь должен дать свое явное согласие. Прошли те времена, когда вы просто бросали ссылку на условия соглашения в футер и предполагали, что пользователь прочтет их.
Условия на получение согласия были ужесточены – компании больше не могут использовать длинные положения договора, полные юридических терминов, вместо этого запрос на согласие должен быть приведен в понятной, легкодоступной форме с отмеченной целью получения данных, для которой и берется согласие. Согласие должно быть четким, отличным от других вопросов, и оно должно приводиться в понятной форме с помощью простого языка. Также необходимо предоставить простой способ отказа от данного ранее согласия.
Опять же, это та область, которую мы рекомендуем передавать юристам. Если вы ведете простой блог, вы можете воспользоваться инструментом, таким как iubenda или подобным, чтобы сгенерировать строгие правила конфиденциальности.
- Обеспечьте переносимость данных
Согласно ст. 20, любой бизнес, собирающий данные, должен также предлагать возможность пользователю по скачиванию этих данных и переносу/использованию этих данных в другом месте.
Субъект данных имеет право на получение своих персональных данных, которые он предоставил сервису, в структурированном, распространенном и машиночитаемом виде, и имеет право передавать эти данные другому сервису без каких-либо препятствий со стороны первого сервиса.
Убедитесь в том, что у вас имеется система, которая позволяет предоставлять пользователю загружаемый файл с его данными по запросу (.csv, .xml, и т.д.). Если вы не можете в настоящий момент это реализовать, наймите WordPress разработчика.
- Пройдите сертификацию по программе Privacy Shield Framework
В связи с тем, что многие сайты собирают данные со всего мира и имеют более жесткие ограничения на приватность данных, многочисленные компании в настоящее время проходят сертификацию в соответствии с EU-U.S. и Swiss-U.S. Privacy Shield Frameworks. Они были разработаны Министерством торговли США, Европейской комиссией и Швейцарской администрацией, чтобы предоставить компаниям по обе стороны Атлантики механизм соблюдения требований защиты данных при передаче персональных данных из Европейского Союза и Швейцарии в Соединенные Штаты в поддержку трансатлантической торговли.
- Проверьте ваши темы WordPress, плагины, сервисы, API
Любые WordPress плагины или специальные возможности тем, установленные вами и собирающие или хранящие личные данные, должны быть обновлены для вашего сайта, чтобы полностью соответствовать GDPR. Если вы разработчик WordPress, то у вас, скорее всего, уже имеется план действий по внедрению изменений GDPR для пользователей. Мы включили некоторые популярные плагины и конфигурации, которые помогут вам обрабатывать GDPR.
Плагины контактных форм
Самый простой способ соблюдения GDPR для контактных форм – добавление специального флажка, который позволит пользователю согласиться с тем, что его передаваемые данные будут собираться и храниться. Как реализовать такой флажок в популярных плагинах:
Помните, что отказа от сохранения записей контактной формы в WordPress недостаточно. Если данные подписки из контактной формы передаются на email, вы все равно собираете и храните данные, даже если их и нет в вашей базе данных WordPress. Потому вам все равно нужно получать согласие.
Плагины комментирования
Даже плагины комментирования собирают персональные данные. Как и в случае с контактными формами, вам нужно ввести флажок для получения согласия.
- Родная форма комментирования в WordPress (лучшее решение: WP GDPR Compliance).
- Disqus GDPR
- Jetpack GDPR
Команда WordPress также обсуждает вопрос добавления чекбокса к форме комментариев для хранения cookie.
Плагины и сервисы для маркетинга
Все плагины и решения, связанные с рассылками, опросами, уведомлениями, email-маркетингом и т.д., должны быть совместимы с GDPR.
Аналитика, отслеживание, ремаркетинг
Google Analytics, плагины A/B-тестирования, сервисы тепловых карт, платформы ремаркетинга – все это подпадает в данный раздел. Для Google Analytics рекомендуется сделать IP анонимным.
Начиная с апреля, Google запустил новые настройки хранения данных для Google Analytics. Эти элементы управления позволяют установить промежуток времени до удаления пользовательских и событийных данных с серверов Analytics. Вы можете получить доступ к этим настройкам по ссылке Admin → Property → Tracking Info → Data Retention.
Электронная коммерция и платежные процессоры
Все решения электронной коммерции для WordPress сильно зависят от GDPR, поскольку собирают данные о продажах, личную информацию, данные аккаунтов пользователей, и имеют интеграцию с платежными процессорами.
- WooCommerce
- Easy Digital Downloads (пока обсуждается)
- Stripe
- PayPal
Плагины сообществ
Плагины сообществ, плагины форумов часто хранят расширенную персональную информацию.
- LearnDash GDPR
- bbPress GDPR (обсуждается)
- BuddyPress GDPR (обсуждается)
Сторонние API
Даже сторонние API собирают данные. Хороший пример – Google Fonts. Большинство из вас, скорее всего, используют Google Fonts, они часто встроены в темы WordPress. Вам нужно изучить каждый API и найти данные, которые собирает провайдер. В некоторых случаях сбор данных возможен без получения согласия по законным основаниям.
Это может вести к дополнительной работе и показаться запутанным, поскольку многие компании, и даже Google, могут не давать простых ответов «да» или «нет». Есть целая дискуссия по поводу того, являются или нет шрифты Google совместимыми с GDPR. Вы всегда можете размещать Google шрифты локально в своем собственном CDN, чтобы решить проблему.
Если у вас возникли проблемы с плагином, который вы используете, обратитесь к разработчику напрямую, чтобы узнать, как они планируют обрабатывать GDPR.
Законность обработки данных
Простое получение согласия – один из самых простых способов выполнения GDPR, однако это далеко не единственный путь. На самом деле, в некоторых случаях обработка данных разрешена без согласия в соответствии с понятием «законность обработки». Вот лишь несколько примеров:
Договорная необходимость
Обработка данных разрешена, если это необходимо для исполнения контракта, в котором субъект данных является одной из сторон. Также обработка данных разрешена для того чтобы предпринять необходимые шаги по требованию субъекта данных до заключения контракта.
Законный интерес
Обработка данных разрешена, если это необходимо в целях соблюдения законных интересов, преследуемых сервисом или третьим лицом, за исключением тех ситуаций, когда такие интересы перекрывают интересы или фундаментальные права и свободы субъекта данных, требующие защиты персональных данных, в частности, когда субъектом данных является ребенок.
Примечание: это не относится к обработке данных, проводимой государственными органами для исполнения своих задач.
Полезные плагины GDPR в WordPress
Ниже приведены плагины, которые помогут вам поддержать требования GDPR:
- WP Security Audit Log. Один из лучших способов узнать, как работает ваш WordPress сайт. Мы обычно рекомендуем этот плагин из соображений безопасности, но в данном примере он прекрасно подойдет для того, чтобы понять, где собираются данные (во время регистрации, в комментариях, в контактных формах и т.д.).
- WP GDPR Compliance. Плагин помогает владельцам сайтов получить общие подсказки и рекомендации, позволяющие соблюсти требования GDPR при интеграции плагинов, таких как Gravity Forms, Contact Form 7, WooCommerce и т.д.
- GDPR. Еще один плагин, позволяющий добиться совместимости с GDPR. Включает в себя получение согласия на обработку данных, возможность удаления данных в email, параметры процессинга данных, параметры публикации контактной информации, права на доступ к данным из консоли и их экспорт, управление предпочтениями cookie и т.д.
- WP GDPR. Плагин создает страницу, где пользователи могут запрашивать доступ к своим персональным данным, хранящимся на вашем сайте.
Остались вопросы по GDPR? Задавайте их в комментариях. Попробуем вместе разобраться.
Источник: kinsta.com