如何使 WordPress 网站符合 GDPR？

（GDPR）通用数据保护条例自2018年5月25日起生效，这给数据隐私和监管法律领域带来了最大的变化。 任何为欧盟公民服务的网站都必须符合 GDPR。 如果没有，该网站最终将触犯法律并面临重罚。

知道了这一点，你肯定不想触犯法律吧？ 这就是为什么有必要让您的 WordPress GDPR 合规。 如果您不知道该过程，本文将为您介绍。

在这里，我们解释了什么是 WordPress GDPR 合规性，在 GDPR 下您需要做什么，以及如何使您的 WordPress 网站符合 GDPR。

现在，让我们开始吧！

#什么是GDPR？

GDPR 是一项欧盟 (EU) 法律，它赋予欧盟公民更好、更强大的控制权，以控制他们的数据如何在线被跟踪、收集、存储和使用。 GDPR 的主要目标是改变欧盟内外组织（在线企业和网站所有者/开发者）的数据隐私方法。

欧盟委员会于 2016 年 4 月 14 日批准了 GDPR，标志着数据隐私法规的重要变化。 GDPR 规则取代了 1995 年 10 月 24 日的数据保护指令规则，并且比 2011 年的 Cookie 法更广泛。 但是，GDPR 规则的推出期限为两年，截止日期为 2018 年 5 月 25 日。

您可能已经收到来自 Google 和其他公司的关于使您的 WordPress 网站符合 GDPR、隐私政策和其他法律内容的电子邮件。 嗯，这是因为欧盟对那些不遵守 GDPR 的人进行了巨额处罚。

以下是一些让您了解 GDPR 的关键术语：

• 控制者：控制者决定处理个人数据的方式和目的。
• 处理者：处理者代表控制者负责所有个人数据处理。
• 个人数据：个人数据是任何可以识别个人身份的信息，即使与其他信息间接相关。

#为什么需要 GDPR？

欧盟不是一个试图无中生有地强制执行某事的邪恶政府。 他们实施了 GDPR 规则，目的是保护消费者的数据不被非法记录、跟踪或使用。 这可以防止鲁莽的数据处理和破坏。

重罚是为了引起大公司的注意，例如保留大量个人记录的谷歌、亚马逊和 Facebook。 此外，这鼓励组织更加重视保护人民的权利。

因此，尽管您可能将 GDPR 视为恶棍，但一旦您了解了法律的精神，您就会意识到这并不疯狂。

#GDPR 规定是什么？

我们已经提到，GDPR 在这里是为了保护用户的个人信息，并在收集、存储和使用该信息时引导组织达到一定的水平。

个人信息可以包括姓名、IP 地址、实际地址、电子邮件、银行详细信息和交易代码、健康信息、收入等。

GDPR 法规长达 200 页（11 章，99 篇文章），浏览每一页都需要时间。 因此，我们将重点介绍您必须了解的最重要的支柱：

1. 明确同意

如果您的网站从欧盟公民那里收集个人数据，您必须获得他们的明确同意。 您不能只向填写您的联系表格或给您名片的人发送未经请求的电子邮件。 除非他们注册您的营销通讯，否则您发送给他们的电子邮件会被标记为垃圾邮件。

要使您的表格被称为明确同意，它必须遵循以下规则：

• 它必须有一个积极的选择加入（意思是，没有预先勾选的复选框）
• 它必须包含明确的措辞，即没有法律术语。
• 它必须与您的其他条款和条件分开。

2. 数据权利

您必须告知用户您的网站如何、为何以及在何处存储、处理和使用他们的数据。 用户有权下载其个人资料。 他们还保留删除其数据的权利。

因此，如果用户取消订阅或要求您的公司删除他们的个人资料，您需要这样做。

3. 违规通知

组织和网站必须在 72 小时内向有关当局报告某些数据泄露事件。 公司还必须立即通知受违规影响的个人。 但是，如果违规行为是无害的并且不会对用户数据造成风险，则无需报告。

4. 数据保护官

如果您是一家上市公司或存储/处理大量个人信息，您必须任命一名数据保护官。 如果您有任何疑问，您可以咨询律师。

总结一下：

• 如果他们没有要求，你就不能继续向他们发送电子邮件。
• 您可以在不征得用户明确同意的情况下出售用户数据。
• 如果他们要求，您需要从您的电子邮件列表中删除并取消订阅它们。
• 您需要向有关当局报告数据泄露事件。

#GDPR 的基本原则

控制者需要遵循 GDPR 的七项基本原则：

• 处理数据应该是合法、公平和透明的。
• 个人数据的收集将用于明确、合法和特定的目的，并且只能用于该目的。
• 个人数据应该是有限的、相关的，并且仅适用于必要的数据。
• 个人数据必须准确，并应保持最新。
• 个人数据应以可识别的形式在最短的时间内保存。
• 应通过确保数据安全来处理个人数据。
• 控制者全权负责证明遵守所有这些原则。

#GDPR 下的用户权利

以下是 GDPR 下的主要用户权利：

• 知情权：用户有权知道他们的个人数据是如何被收集、跟踪和使用的。
• 访问权：用户有权访问其个人信息并从网站免费下载电子副本。
• 更正权：用户可以对任何个人数据进行更正，或者在其不正确或不完整的情况下分别完成。
• 删除权：用户有权随时离开网站并删除所有信息和个人数据。 它也被称为被遗忘权。
• 限制处理权：用户有权随时限制其个人数据的处理。
• 数据可移植性权利：用户可以出于自己的目的下载和重复使用他们的个人数据。
• 反对权：用户可以随时禁止将任何数据用于营销或任何其他目的。
• 被告知数据泄露的权利：用户有权在知道任何数据泄露的 72 小时内得到所有者的通知。
• 与自动决策相关的权利：用户保留在没有他们积极参与的情况下否定任何决策的权利。

#不遵守 GDPR 法的罚款

欧盟对不遵守 GDPR 规则的人设置了罚款幅度。 企业可能面临高达其全球年收入的 4% 或 2000 万欧元，即超过 2350 万美元。

#使 WordPress 网站符合 GDPR 的不同方法

我们希望您现在了解有关 WordPress GDPR 合规性的基础知识以及不遵守规则的后果。 这就引出了我们的主要话题——如何使 WordPress 网站符合 GDPR。

好吧，没有具体的方法可以做到这一点。 但是，我们将解释各种选项以帮助您走上正轨。

1. 聘请律师

我们知道您没有触犯任何法律，但并非总是在重罪之后才聘请律师。 有时，在活动前咨询律师会很有帮助。 我们建议聘请一位了解 GDPR 规则的律师（即使是临时的），可以帮助您解决您对 GDPR 的担忧。

此外，您可以获得专门针对您的情况和利益量身定制的法律建议。 这样，您就可以避免我们上面谈到的巨额罚款。

2. 审查数据收集和处理流程

您的网站收集和使用用户数据的方式在确定其是否符合 GDPR 方面起着关键作用。 根据新规则，WordPress 网站在收集数据时必须清楚地告诉用户以下内容：

• 你是谁
• 您收集什么样的个人数据
• 为什么要收集此类数据
• 您将这些数据存储在哪里
• 您将这些数据存储多长时间
• 您出于什么目的使用这些数据
• 您的数据安全措施是什么

无论您从何种个人数据中收集，无论何种媒介，都必须具有透明度。 明确同意对于收集和监控个人数据至关重要。

我们建议您浏览您的 WordPress 网站并确定数据收集和处理的位置。 您还可以找出该信息的存储位置。 常见的检查事项有：

• 电子商务结帐页面或注册页面。
• Cookie 标识符、IP 地址和 GPS 位置。
• Google Analytics、Hotjar 和其他分析服务。

在您确定了数据收集、存储和使用的所有领域后，请确保您正在征求用户的许可并披露您如何使用这些数据。 现在，您可以摆脱那些您不需要或没有价值的数据。 在审核您收集的数据后，您离实现 WordPress GDPR 合规性又近了一步。

3. 更新所有文件

随着 GDPR 的实施，您应该更新您的隐私页面、条款和条件页面、附属条款以及其他与用户有关的法律协议或文件。 该规则不允许您的表单没有复选框，除非它们在处理数据的合法性下。 简而言之，您必须为用户提供一种明确同意的方式。

GDPR 规则现在加强了同意条件。 公司现在必须提供一份易于理解且易于访问的同意书，该同意书也描述了数据处理的目的。 同意必须使用清晰明了的语言来明确和区分。 此外，必须很容易撤回同意，因为它是给予的。

您可以咨询您的律师。 如果您运行一个简单的博客，您可以使用 iubenda 或类似的工具来重新生成符合 GDPR 的隐私政策。 此外，WordPress 4.9.6 及更高版本具有新的隐私页面功能。 这使您可以在您的网站上指定一个显示在登录和注册页面上的隐私页面。 您也可以将其放在您网站的页脚中。

您可以在 WordPress 仪表板上的“设置”>“隐私”下找到该选项。

4. 提供数据可移植性

GDPR 规则第 20 条规定：

“数据主体有权以结构化、常用和机器可读的格式接收他或她提供给控制者的有关他或她的个人数据，并有权将这些数据传输给另一个控制者不受向其提供个人数据的控制者的阻碍。”

这意味着收集数据的企业还必须为用户提供在其他地方下载和传输数据的能力。

确保您有适当的系统，可以根据用户的要求为他们提供可下载的数据文件。 如果您目前不提供此类服务，请聘请 WordPress 开发人员来帮助您。

幸运的是，WordPress 4.9.6 及更高版本允许您导出包含用户个人数据的 ZIP 文件。 您还可以从此处删除用户数据。

为此，请转到您的 WordPress 仪表板。 然后单击工具以找到选项。

还有一个基于电子邮件的选项来确认请求。

5. 隐私保护框架下的自我认证

由于许多网站从世界各地收集数据，许多公司现在都根据瑞士-美国和欧盟-美国隐私保护框架进行认证。 这些框架由欧盟委员会、美国商务部和瑞士政府设计，旨在为公司提供符合数据保护要求的机制。

了解有关隐私护盾计划的更多信息。

6. 加密您的数据/HTTPS

GDPR 法的第 83 条规定：

“为了维护安全并防止处理违反本条例，控制者或处理者应评估处理中固有的风险，并采取措施降低这些风险，例如加密。”

加密是指各种操作，例如网络流量 (HTTPS) 加密和数据存储设施加密。 无论您对 WordPress GDPR 合规性有何担忧，我们都建议您加密您的网络流量。

你可以签出 如何从 HTTP 迁移到 HTTPS。

“加密”一词在 GDPR 规则中只提到过几次，并不一定是强制性的。 但是，迁移到 HTTPS 的好处对您的网站大有裨益。

7. 更新您的隐私政策

使用自动生成的隐私政策是一种很好且方便的方式。 但是，您安装的 WordPress 主题和插件会收集和存储数据。 因此，您必须更新披露您网站上收集的所有 cookie 和数据的政策。

以下是一些常用的 cookie：

• 谷歌分析和其他跟踪服务
• Cloudflare 和 CDN 服务
• Google Adwords、Bing 和其他广告网络
• 推送通知
• 选项或弹出窗口
• 热图
• 视频播放器
• 购物车

以下是一些可以很好地处理 GDPR 的流行插件：

联系表格插件

实现 WordPress GDPR 合规性的最简单方法之一是在您的联系表单中添加一个复选框，以获得用户对数据收集和存储的同意。 幸运的是，大多数流行的联系表单插件已经具有此功能，以确保您的 WordPress 符合 GDPR。

以下是一些内置 GDPR 就绪的联系表单插件：

• 联系表格 7
• WP表格
• 重力形式 GDPR
• NinjaForms GDPR

添加 GDPR 协议同意复选框后，您还需要在隐私政策中单独设置一个部分。 在这里，您需要披露您收集的所有信息。 这取决于您在表格中包含的字段——姓名、电话号码、电子邮件地址、实际地址、年龄等。

评论插件

甚至您在 WordPress 上使用的评论插件也会收集个人信息。 因此，您需要在用户提交评论之前添加一个同意复选框，以确保您符合 GDPR。 但是，某些情况可能属于我们将在本文后面讨论的处理的合法性。

以下是一些内置 GDPR 的评论插件：

• WordPress 原生评论
• 喷气背包 GDPR
• Disqus GDPR

默认情况下，WordPress 已添加对本机评论的同意。 这适用于 WordPress 4.9.6 及以上版本。

营销服务和插件

与联系表格类似，您还需要征得用户对营销服务和插件的同意。 包括时事通讯插件、测验插件、调查插件、电子邮件营销软件和推送通知插件在内的所有内容都受到 GDPR 的影响。 因此，您需要用户同意。

您可以使用用户在完成注册之前必须单击的复选框或使用双重选择加入您的邮件列表来收集同意。

一些符合 GDPR 的营销插件包括：

• MailChimp GDPR
• MailerLite GDPR
• ActiveCampaign GDPR
• 韦伯 GDPR

分析、跟踪、再营销

任何收集数据的第三方插件或服务都必须遵守 GDPR。 这些服务/插件包括谷歌分析、热图服务、A/B 测试插件、再营销平台等。

电子商务解决方案和支付数据

如果您的网站是一个在线中心，那么当您收集个人信息、销售数据、用户帐户数据并与第三方支付方式集成时，您就在 GDPR 的范围内。 因此，您需要披露您如何收集、保留和使用数据。

在 WooCommerce 中，您可以获得内置的隐私功能。 要启用它：

• 转到WooCommerce > 设置 > 帐户和隐私部分。
• 然后，启用个人数据保留、个人数据删除和隐私政策链接的选项。

确保在您的隐私政策中添加披露。 您可以说明您的网站为何收集此类个人数据以及如何使用这些数据。 您还可以添加它如何改进您的网站（以获得更好的交易和促销）以及您如何保护这些数据和支付处理。

其他符合 GDPR 的流行电子商务解决方案包括：

• 轻松数字下载
• 条纹
• 贝宝

社区插件

社区插件、会员插件和论坛插件存储了大量个人信息，除了 WordPress 注册中使用的信息。 因此，请确保这些插件符合 GDPR。

一些符合 GDPR 的社区插件是：

• LearnDash GDPR
• bbPress GDPR
• BuddyPress GDPR

第三方 API

甚至第三方 API 也存储数据。 一个很好的例子是谷歌字体。 你们中的大多数人可能都在使用 Google 字体来设计您的网站，无论是作为内置主题功能还是在手动将其添加到您的网站之后。 无论哪种情况，请查看您网站上的每个 API，并找出提供商正在收集哪些数据。

#处理的合法性

使用上述方式征求用户同意是确保 WordPress GDPR 合规性的一种简单方法。 然而，这不是唯一的方法。 事实上，在某些情况下，该规则允许在不需要用户同意的情况下处理数据。 这被称为“处理的合法性”。 这里有一些例子：

合同必要性

GDPR 第 6 (1) b 条允许在必要时进行数据处理。 它指出，“如果有必要执行数据主体作为一方的合同，或者为了在签订合同之前应数据主体的要求采取措施，则允许数据处理。”

合法权益

GDPR 第 6 条第 1 款 f 规定：“为了控制者或第三方追求的合法利益，允许进行数据处理，除非此类利益被控制者的利益或基本权利和自由凌驾于其他利益之上。需要保护个人数据的数据主体，特别是在数据主体是儿童的情况下。”

注意：当公共当局执行其任务处理时，此规则不适用。

#有用的 GDPR WordPress 插件

以下是一些 GDPR WordPress 插件，它们有助于使您的 WordPress 网站符合 GDPR。

1. WP安全审计日志

WP Security Audit Log 插件可以很容易地查看您的 WordPress 网站中发生的事情。 出于安全原因，我们建议使用此插件。 但是，它甚至可以成为查看您的网站正在收集哪些数据的绝佳工具，例如用户注册、联系表单条目、评论等。

2. WP GDPR 合规性

WP GDPR 合规插件是一种流行的工具，可帮助您的 WordPress 网站遵守 GDPR 规则。 它通过提供常见的遵守提示来提供帮助。 此外，它还提供与其他流行插件的集成，例如 Contact Form 7、Gravity Forms、WooCommerce 和 WordPress 原生评论。

3. GDPR

GDPR 是另一个有效的插件，可帮助您使您的 WordPress GDPR 兼容。 此插件中的一些显着功能是：

• 隐私政策和服务条款注册同意管理
• 使用确认电子邮件删除数据的权利
• 与数据处理器设置一起发布联系信息
• 从仪表板访问数据和导出数据的权利
• Cookie 偏好管理等

4. GDPR Cookie 合规性

GDPR Cookie 合规插件允许用户同意特定的 cookie 目的，以及在粒度级别启用和禁用 cookie 设置的能力。

5. Iubenda Cookie 和 GDPR 同意解决方案

Iubenda Cookie and Consent Solution 是一个插件，它使用一体化方法帮助您的 WordPress GDPR 合规。 它通过生成隐私政策文本、阻止 cookie 管理和显示 cookie 横幅来实现。

6. 符合 GDPR

Complianz GDPR 插件是一个轻松的插件，它可以完成实现 WordPress GDPR 合规性所需的一切。 它会自动检测您的网站是否需要 cookie 警告。 该插件与 Google Analytics 集成，扫描您网站上的 cookie，提供阻止 cookie 的选项，生成 cookie 策略以及许多其他功能。

7. GDPR Cookie 同意

GDPR Cookie 同意插件允许您在您的网站上显示 cookie 同意通知。 它仅在用户明确同意时才允许将 cookie 安装在用户的浏览器上。 用户可以随时撤销他们的同意。 该插件提供了其他几个自定义选项来设置您的同意栏以匹配您网站的主题。

#使 WordPress 网站符合 GDPR 的其他方法

除了我们提到的那些之外，这里还有一些确保 WordPress GDPR 合规性的其他方法：

1. 添加 Cookie 通知

您的网站可能正在从用户那里收集 cookie，例如推送通知、热图、购物车、弹出窗口等。 虽然收集 cookie 的主要目的是提高网站性能，但它仍然是正在收集的数据。 因此，您需要在首页添加 cookie 披露和接受通知。

有大量的插件可以帮助你。 在这里，我们提到了两个最受欢迎的：

Cookie 通知插件

Cookie Notice 是一个免费的 cookie 通知插件，可帮助您添加简单的 cookie 通知并轻松选择。 此插件包括帮助您添加自定义消息、链接和按钮以接受或拒绝 cookie 的设置。

您还可以选择添加 cookie 过期时间、在页眉或页脚上定义脚本位置，以及添加具有不同颜色、按钮样式、动画和位置的样式。

WeePie Cookie 允许

WeePie Cookie Allow 是一个高级插件，可帮助您遵守 GDPR。 它是一个符合英国、欧盟、意大利、荷兰和德国 cookie 法律的高级 cookie 合规插件。 该插件允许您选择同意方法（通过按钮、隐含或滚动）、样式（条形或框形设计），并添加指向您的隐私政策的链接。

该插件还与多站点兼容，并且对所有屏幕尺寸都有响应。

2. 方便用户请求/删除他们的信息

如前所述，WordPress 4.9.6 提供了用于用户数据管理的内置选项。 因此，如果任何用户想要获取他们信息的副本或删除他们提供给您的信息，他们可以立即这样做。 但是，要允许用户这样做，您需要创建一个联系表单，让他们与您取得联系。

根据您网站的类型，您可能需要安装联系表单插件来简化这些联系提交。 如果您的网站拥有大量用户，例如会员网站或在线论坛，这是一个有效的选择。

Ninja Forms 等一些插件包括内置的自定义导出数据和删除数据模板。 但是，如果您的网站是没有用户帐户的博客或商业网站，您只需在隐私政策页面上添加联系电子邮件即可。

3. 发送任何政策更新或数据泄露的通知

这是 WordPress GDPR 合规性的最后一部分，也是重要的一部分。 如果发生任何政策更新或数据泄露，您的网站有义务向用户发送通知。 它适用于提供用户帐户以收集客户信息或维护时事通讯的网站。

如果您使用电子邮件平台进行通信，您可以向您的用户发送快速隐私更新或数据泄露通知。 但是，如果您使用的是 GDPR 合规插件，则您已经有一个内置的通知系统来联系您的网站用户。

某些 GDPR 插件甚至可以让您自动发送有关政策更新或数据泄露的通知。 这可以为您节省大量时间。

#GDPR 审计

WordPress GDPR 合规性可能会让您大吃一惊，而且可以超越困惑。 这是对个人数据收集和保护的巨大要求。 如果您不确定自己的 WordPress 网站，明智的做法是咨询专家进行 GDPR 审核，最好是专门使用 WordPress 的专家。

常见问题 (FAQ)

概括

在运营网站时，GDPR 是一个大问题。 它影响互联网上的每个 WordPress 网站。 如果您的网站收到欧盟公民，则您必须遵守 GDPR 规则。

在本指南中，我们简要介绍了 GDPR 以及您应该遵守它的原因。 此外，我们还强调了使您的 WordPress 网站符合 GDPR 规则的各种方法。 我们建议您按照这些说明进行进一步研究，以确保您的 WordPress 完全符合 GDPR。

最后，我们还强烈建议联系 GDPR 顾问，最好是处理 WordPress GDPR 合规性的顾问。 他们可以为您提供各种提示，以确保完全遵守 GDPR。

不要拖延让您的 WordPress GDPR 合规，否则您可能会面临我们之前谈到的惊人罚款。 对于任何进一步的疑虑和问题，请在下面发表评论。