Как обеспечить соответствие WooCommerce GDPR

Опубликовано: 2018-05-08
header image for WooCommerce GDPR article

Последнее обновление — 14 сентября 2021 г.

Если вы владелец магазина WooCommerce, вы, должно быть, уже слышали о GDPR. Это Общий регламент по защите данных (GDPR), который применяется Европейским союзом. Все владельцы магазинов, которые продают товары на европейские рынки и обрабатывают данные европейских граждан, должны соблюдать правила GDPR. 25 мая 2018 года — крайний срок, чтобы убедиться, что ваш магазин WooCommerce соответствует всем правилам конфиденциальности данных, указанным в GDPR. Эта статья призвана помочь вам понять нюансы соответствия WooCommerce GDPR, на которые вам как владельцу магазина необходимо обратить внимание. После прочтения этой статьи у вас должно быть четкое представление о различных аспектах GDPR, а также о важных мерах, которые необходимо предпринять.

Примечание. Информация в этой статье предназначена только для общего ознакомления. Возможно, вам понадобится профессиональная юридическая консультация для вашего конкретного бизнес-сценария.

Важность GDPR

GDPR применяется для того, чтобы пользователи (особенно граждане ЕС) по всему миру могли лучше контролировать данные, которыми они делятся с компаниями. Предлагается огромный штраф, чтобы большинство предприятий соблюдали это правило. Штраф может достигать 20 миллионов евро, или 4% от годового оборота компании в предыдущем финансовом году. Большая сумма будет наложена в качестве штрафа на те предприятия, которые не соблюдают правила.

Во всем мире компании серьезно относятся к этим рекомендациям. Опрос, проведенный PwC среди американских компаний, показал, что более 77% компаний готовы заплатить более 1 миллиона долларов, чтобы обеспечить соблюдение GDPR. Это важный указатель, который даст вам представление о том, какое глобальное влияние имеет этот вопрос.

WooCommerce с точки зрения GDPR

Как владельцу магазина WooCommerce, вам, возможно, придется специально рассмотреть определенные аспекты, связанные с вашим магазином. У каждого сайта WordPress свой подход к сбору данных своих пользователей. Вам необходимо провести тщательное исследование различных аспектов, связанных с вашим сайтом, и соответственно разработать план. Вообще говоря, сайт WordPress может собирать пользовательские данные несколькими способами. К ним относятся регистрации пользователей, комментарии, аналитические данные, контактные формы, решения для обеспечения безопасности и т. д. И многие другие используемые вами плагины могут собирать информацию о пользователях.

Как владелец магазина, наиболее важным аспектом соответствия WooCommerce GDPR является эффективное информирование пользователя о том, как вы собираете и используете его данные. Например, вам может потребоваться обновить свою политику конфиденциальности, чтобы объяснить различные меры, которые вы предприняли для обеспечения соответствия GDPR. Также важно получать согласие ваших пользователей каждый раз, когда вы собираете от них какие-либо данные.

изображение, изображающее конфиденциальность данных для статьи GDPR WooCommerce
Конфиденциальность данных является растущей проблемой для пользователей Интернета во всем мире.

Рекомендации GDPR

Каждый владелец сайта должен следовать рекомендациям GDPR, которые включают в себя некоторые пункты, перечисленные ниже:

Прозрачность

Вам необходимо четко сообщить своим пользователям о причинах сбора данных, о том, как долго вы собираетесь их хранить, кто будет иметь к ним доступ и т. д. Это важно для того, чтобы пользователи понимали возможности, с помощью которых бизнес может использовать их данные.

Согласие

Вам также необходимо получить информированное согласие от ваших пользователей относительно любых данных, которые вы собираетесь собирать от них. И это должно быть решение пользователя предоставить согласие на сбор данных. Например, включение определенных полей по умолчанию не рекомендуется в соответствии с рекомендациями GDPR.

Право на доступ

Ваши пользователи должны иметь право доступа к своим данным в любое время. Помимо информации о конкретных точках данных, их хранении и обработке, а также причинах сбора, ваши пользователи также должны иметь возможность получить копию данных по запросу. Это несколько сложный аспект для владельца магазина WooCommerce, поскольку он может использовать несколько сторонних плагинов и решений, которые также должны придерживаться этих рекомендаций. И владелец сайта несет ответственность за то, чтобы все инструменты, собирающие пользовательские данные, соответствовали новым правилам.

Право отозвать согласие

Пользователи будут иметь гораздо лучший контроль над своими данными в соответствии с этими рекомендациями. В любое время пользователь будет иметь право отозвать согласие, данное сайту на хранение данных. И если они хотят, пользователи должны иметь возможность удалять свои данные с сайта.

Уведомление об утечке данных

Еще одним важным аспектом рекомендаций GDPR является требование незамедлительно информировать пользователей о любой утечке данных на вашем сайте. Согласно рекомендациям, вы должны информировать пользователей об утечке данных в течение 72 часов после того, как вам стало известно об этом. Использование хорошего плагина безопасности, такого как Wordfence, для мониторинга трафика и журналов активности может быть хорошим вариантом в этом отношении.

Шаги, которые необходимо предпринять для соответствия WooCommerce GDPR

Как владелец магазина WooCommerce, вы должны предпринять несколько шагов, чтобы убедиться, что ваш сайт соответствует правилам GDPR. Некоторые из этих шагов перечислены ниже:

Обновите свою политику конфиденциальности

Вам необходимо обновить политику конфиденциальности на своем сайте, чтобы ваши пользователи знали обо всех шагах, которые вы предприняли для обеспечения соответствия GDPR. Здесь вы также должны указать, какую информацию вы собираете от пользователей и почему вы ее собираете. Кроме того, вы также должны сообщить своим пользователям, как вы обрабатываете данные и кто имеет к ним доступ. Еще одна важная информация, которую вам необходимо сообщить своим пользователям, — это период времени, в течение которого вы будете хранить их информацию. Возможно, вы уже видели уведомления об обновлении политики конфиденциальности на многих популярных веб-сайтах.

Убедитесь, что пользователь дал согласие

Вы должны убедиться, что пользователи согласны с вами на сбор и хранение их личной информации на вашем сайте. Этого можно достичь, активно принимая согласие на каждую конкретную информацию, которую вы запрашиваете у пользователя. Здесь следует сосредоточиться на одном аспекте, чтобы убедиться, что вы не включаете автоматические подписки. Каждое конкретное поле, запрашивающее согласие пользователей, должно быть отключено по умолчанию. Вы можете собирать личную информацию от пользователей только в том случае, если они активно решат предоставить ее вам.

Собирайте только актуальную информацию

Многие сайты и владельцы бизнеса склонны собирать и хранить информацию, которая на самом деле не имеет отношения к их бизнесу. Эта тенденция прекратится с введением GDPR. По сути, вам придется удалить любую информацию, которую вы больше не используете. И нет необходимости собирать какую-либо информацию, которая, по вашему мнению, будет полезна в будущем. На самом деле, если вы соберете меньший объем информации, это снизит риск утечки данных.

Кроме того, убедитесь, что вы храните только одну версию данных. Однако вам, возможно, придется хранить несколько копий при сохранении резервной копии. Стандартно вы можете хранить до четырех резервных копий. Кроме того, вам нужно будет правильно записать место, где вы храните резервную копию, чтобы она была прозрачна для аудита данных.

Создайте процесс для потенциальных утечек данных

Существует несколько сценариев, когда данные пользователя на вашем сайте будут скомпрометированы. Одним из частых случаев будет взлом сайта, когда злоумышленники могут получить доступ к вашим данным. Помимо этого, несанкционированный доступ со стороны обработчиков данных также может представлять проблему. Все плагины, программное обеспечение и другие инструменты на вашем сайте, которые получают доступ к данным ваших пользователей, называются обработчиками данных. Иногда вы можете передавать доступ к личной информации ваших пользователей процессорам, которые не должны ее получать. Это также может рассматриваться как утечка данных. Точно так же передача личной информации в страну, не соответствующую GDPR, также считается утечкой данных.

Изображение, изображающее процессоры данных для статьи GDPR WooCommerce
Плагины и программное обеспечение, которые вы используете на своем сайте, могут быть обработчиками данных, и их доступ к личной информации пользователей вашего сайта может различаться.

Рекомендуется заблаговременно иметь четкий процесс, чтобы справиться с любыми нарушениями данных. В соответствии с рекомендациями GDPR вы должны сообщить пользователям об утечке данных в течение 72 часов после того, как вы впервые узнали об этом.

Создайте процессы для обработки, когда пользователи запрашивают свои данные

Соблюдение GDPR позволяет вашим пользователям гораздо лучше контролировать свою личную информацию. К ним относятся запросы на копирование, перенос или удаление данных, а иногда и отзыв ранее данного согласия. Вы должны быть готовы обрабатывать все эти запросы без сбора дополнительных данных от пользователей.

Также обратите внимание, что рекомендации GDPR в равной степени применимы как к крупным, так и к малым предприятиям.

Вывод

GDPR или Общий регламент по защите данных — это набор нормативных документов, применимых ко всем веб-сайтам и предприятиям, пользователями которых являются граждане Европейского Союза. На самом деле, это попытка обеспечить лучшую конфиденциальность данных во всем мире. Основные аспекты рекомендаций GDPR можно резюмировать следующим образом:

  1. Информируйте своих пользователей обо всех личных данных, которые вы от них собираете. Вам также необходимо сообщить, почему вы собираете данные, кто будет иметь к ним доступ, как долго вы храните их на своем сайте и т. д.
  2. Получите информированное согласие от ваших пользователей, прежде чем собирать информацию от них в любой форме.
  3. Собирайте данные только тогда, когда они действительно имеют отношение к вашему бизнесу. Когда у вас меньше данных, вы можете защитить их более эффективно.
  4. Создайте процесс для предоставления пользователям их данных всякий раз, когда они запрашивают доступ.
  5. Немедленно уведомляйте пользователей о любых утечках данных.

Владелец магазина WooCommerce считается контролером данных в соответствии с рекомендациями GDPR. Несмотря на то, что разные инструменты могут иметь разные подходы к конфиденциальности данных, владелец магазина несет ответственность за то, чтобы все плагины и инструменты соответствовали рекомендациям. Крайний срок соответствия GDPR — 25 мая 2018 года, и пора сосредоточиться на нем, если вы еще не предприняли необходимые шаги.

дальнейшее чтение

  • Плагины безопасности WordPress
  • Плагины резервного копирования WooCommerce