如何使 WordPress 網站符合 GDPR？

（GDPR）通用數據保護條例自2018年5月25日起生效，這給數據隱私和監管法律領域帶來了最大的變化。 任何為歐盟公民服務的網站都必須符合 GDPR。 如果沒有，該網站最終將觸犯法律並面臨重罰。

知道了這一點，你肯定不想觸犯法律吧？ 這就是為什麼有必要讓您的 WordPress GDPR 合規。 如果您不知道該過程，本文將為您介紹。

在這裡，我們解釋了什麼是 WordPress GDPR 合規性，在 GDPR 下您需要做什麼，以及如何使您的 WordPress 網站符合 GDPR。

現在，讓我們開始吧！

#什麼是GDPR？

GDPR 是一項歐盟 (EU) 法律，它賦予歐盟公民更好、更強大的控制權，以控制他們的數據如何在線被跟踪、收集、存儲和使用。 GDPR 的主要目標是改變歐盟內外組織（在線企業和網站所有者/開發者）的數據隱私方法。

歐盟委員會於 2016 年 4 月 14 日批准了 GDPR，標誌著數據隱私法規的重要變化。 GDPR 規則取代了 1995 年 10 月 24 日的數據保護指令規則，並且比 2011 年的 Cookie 法更廣泛。 但是，GDPR 規則的推出期限為兩年，截止日期為 2018 年 5 月 25 日。

您可能已經收到來自 Google 和其他公司的關於使您的 WordPress 網站符合 GDPR、隱私政策和其他法律內容的電子郵件。 嗯，這是因為歐盟對那些不遵守 GDPR 的人進行了巨額處罰。

以下是一些讓您了解 GDPR 的關鍵術語：

• 控制者：控制者決定處理個人數據的方式和目的。
• 處理者：處理者代表控制者負責所有個人數據處理。
• 個人數據：個人數據是任何可以識別個人身份的信息，即使與其他信息間接相關。

#為什麼需要 GDPR？

歐盟不是一個試圖無中生有地強制執行某事的邪惡政府。 他們實施了 GDPR 規則，目的是保護消費者的數據不被非法記錄、跟踪或使用。 這可以防止魯莽的數據處理和破壞。

重罰是為了引起大公司的注意，例如保留大量個人記錄的谷歌、亞馬遜和 Facebook。 此外，這鼓勵組織更加重視保護人民的權利。

因此，儘管您可能將 GDPR 視為惡棍，但一旦您了解了法律的精神，您就會意識到這並不瘋狂。

#GDPR 規定是什麼？

我們已經提到，GDPR 在這裡是為了保護用戶的個人信息，並在收集、存儲和使用這些信息時引導組織達到一定的水平。

個人信息可以包括姓名、IP 地址、實際地址、電子郵件、銀行詳細信息和交易代碼、健康信息、收入等。

GDPR 法規長達 200 頁（11 章，99 篇文章），瀏覽每一頁都需要時間。 因此，我們將重點介紹您必須了解的最重要的支柱：

1. 明確同意

如果您的網站從歐盟公民那裡收集個人數據，您必須獲得他們的明確同意。 您不能只向填寫您的聯繫表格或給您名片的人發送未經請求的電子郵件。 除非他們註冊您的營銷通訊，否則您發送給他們的電子郵件會被標記為垃圾郵件。

要使您的表格被稱為明確同意，它必須遵循以下規則：

• 它必須有一個積極的選擇加入（意思是，沒有預先勾選的複選框）
• 它必須包含明確的措辭，即沒有法律術語。
• 它必須與您的其他條款和條件分開。

2. 數據權利

您必須告知用戶您的網站如何、為何以及在何處存儲、處理和使用他們的數據。 用戶有權下載其個人資料。 他們還保留刪除其數據的權利。

因此，如果用戶取消訂閱或要求您的公司刪除他們的個人資料，您需要這樣做。

3. 違規通知

組織和網站必須在 72 小時內向有關當局報告某些數據洩露事件。 公司還必須立即通知受違規影響的個人。 但是，如果違規行為是無害的並且不會對用戶數據造成風險，則無需報告。

4. 數據保護官

如果您是一家上市公司或存儲/處理大量個人信息，您必須任命一名數據保護官。 如果您有任何疑問，您可以諮詢律師。

總結一下：

• 如果他們沒有要求，你就不能繼續向他們發送電子郵件。
• 您可以在不徵得用戶明確同意的情況下出售用戶數據。
• 如果他們要求，您需要從您的電子郵件列表中刪除並取消訂閱它們。
• 您需要向有關當局報告數據洩露事件。

#GDPR 的基本原則

控制者需要遵循 GDPR 的七項基本原則：

• 處理數據應該是合法、公平和透明的。
• 個人數據的收集將用於明確、合法和特定的目的，並且只能用於該目的。
• 個人數據應該是有限的、相關的，並且僅適用於必要的數據。
• 個人數據必須準確，並應保持最新。
• 個人數據應以可識別的形式在最短的時間內保存。
• 應通過確保數據安全來處理個人數據。
• 控制者全權負責證明遵守所有這些原則。

#GDPR 下的用戶權利

以下是 GDPR 下的主要用戶權利：

• 知情權：用戶有權知道他們的個人數據是如何被收集、跟踪和使用的。
• 訪問權：用戶有權訪問其個人信息並從網站免費下載電子副本。
• 更正權：用戶可以對任何個人數據進行更正，或者在其不正確或不完整的情況下分別完成。
• 刪除權：用戶有權隨時離開網站並刪除所有信息和個人數據。 它也被稱為被遺忘權。
• 限制處理權：用戶有權隨時限制其個人數據的處理。
• 數據可移植性權利：用戶可以出於自己的目的下載和重複使用他們的個人數據。
• 反對權：用戶可以隨時禁止將任何數據用於營銷或任何其他目的。
• 被告知數據洩露的權利：用戶有權在知道任何數據洩露的 72 小時內得到所有者的通知。
• 與自動決策相關的權利：用戶保留在沒有他們積極參與的情況下否定任何決策的權利。

#不遵守 GDPR 法的罰款

歐盟對不遵守 GDPR 規則的人設置了罰款幅度。 企業可能面臨高達其全球年收入的 4% 或 2000 萬歐元，即超過 2350 萬美元。

#使 WordPress 網站符合 GDPR 的不同方法

我們希望您現在了解有關 WordPress GDPR 合規性的基礎知識以及不遵守規則的後果。 這就引出了我們的主要話題——如何使 WordPress 網站符合 GDPR。

好吧，沒有具體的方法可以做到這一點。 但是，我們將解釋各種選項以幫助您走上正軌。

1. 聘請律師

我們知道您沒有觸犯任何法律，但並非總是在重罪之後才聘請律師。 有時，在活動前諮詢律師會很有幫助。 我們建議聘請一位了解 GDPR 規則的律師（即使是臨時的），可以幫助您解決您對 GDPR 的擔憂。

此外，您可以獲得專門針對您的情況和利益量身定制的法律建議。 這樣，您就可以避免我們上面談到的巨額罰款。

2. 審查數據收集和處理流程

您的網站收集和使用用戶數據的方式在確定其是否符合 GDPR 方面起著關鍵作用。 根據新規則，WordPress 網站在收集數據時必須清楚地告訴用戶以下內容：

• 你是誰
• 您收集什麼樣的個人數據
• 為什麼要收集此類數據
• 您將這些數據存儲在哪裡
• 您將這些數據存儲多長時間
• 您出於什麼目的使用這些數據
• 您的數據安全措施是什麼

無論您從何種個人數據中收集，無論何種媒介，都必須具有透明度。 明確同意對於收集和監控個人數據至關重要。

我們建議您瀏覽您的 WordPress 網站並確定數據收集和處理的位置。 您還可以找出該信息的存儲位置。 常見的檢查事項是：

• 電子商務結帳頁面或註冊頁面。
• Cookie 標識符、IP 地址和 GPS 位置。
• Google Analytics、Hotjar 和其他分析服務。

在您確定了數據收集、存儲和使用的所有領域之後，請確保您正在徵求用戶的許可並披露您如何使用這些數據。 現在，您可以擺脫那些您不需要或沒有價值的數據。 在審核您收集的數據後，您離實現 WordPress GDPR 合規性又近了一步。

3. 更新所有文件

隨著 GDPR 的實施，您應該更新您的隱私頁面、條款和條件頁面、附屬條款以及與用戶有關的其他法律協議或文件。 該規則不允許您的表單沒有復選框，除非它們在處理數據的合法性下。 簡而言之，您必須為用戶提供一種明確同意的方式。

GDPR 規則現在加強了同意條件。 公司現在必須提供一份易於理解且易於訪問的同意書，該同意書也描述了數據處理的目的。 同意必須使用清晰明了的語言來明確和區分。 此外，必須很容易撤回同意，因為它是給予的。

您可以諮詢您的律師。 如果您運行一個簡單的博客，您可以使用 iubenda 或類似的工具來重新生成符合 GDPR 的隱私政策。 此外，WordPress 4.9.6 及更高版本具有新的隱私頁面功能。 這使您可以在您的網站上指定一個顯示在登錄和註冊頁面上的隱私頁面。 您也可以將其放在您網站的頁腳中。

您可以在 WordPress 儀表板上的“設置”>“隱私”下找到該選項。

4. 提供數據可移植性

GDPR 規則第 20 條規定：

“數據主體有權以結構化、常用和機器可讀的格式接收他或她提供給控制者的有關他或她的個人數據，並有權將這些數據傳輸給另一個控制者不受向其提供個人數據的控制者的阻礙。”

這意味著收集數據的企業還必須為用戶提供在其他地方下載和傳輸數據的能力。

確保您有適當的系統，可以根據用戶的要求為他們提供可下載的數據文件。 如果您目前不提供此類服務，請聘請 WordPress 開發人員來幫助您。

幸運的是，WordPress 4.9.6 及更高版本允許您導出包含用戶個人數據的 ZIP 文件。 您還可以從此處刪除用戶數據。

為此，請轉到您的 WordPress 儀表板。 然後單擊工具以找到選項。

還有一個基於電子郵件的選項來確認請求。

5. 隱私保護框架下的自我認證

由於許多網站從世界各地收集數據，許多公司現在都根據瑞士-美國和歐盟-美國隱私保護框架進行認證。 這些框架由歐盟委員會、美國商務部和瑞士政府設計，旨在為公司提供符合數據保護要求的機制。

了解有關隱私護盾計劃的更多信息。

6. 加密您的數據/HTTPS

GDPR 法的第 83 條規定：

“為了維護安全並防止處理違反本條例，控制者或處理者應評估處理中固有的風險，並採取措施降低這些風險，例如加密。”

加密是指各種操作，例如網絡流量 (HTTPS) 加密和數據存儲設施加密。 無論您對 WordPress GDPR 合規性有何擔憂，我們都建議您加密您的網絡流量。

你可以簽出 如何從 HTTP 遷移到 HTTPS。

“加密”一詞在 GDPR 規則中只提到過幾次，並不一定是強制性的。 但是，遷移到 HTTPS 的好處對您的網站大有裨益。

7. 更新您的隱私政策

使用自動生成的隱私政策是一種很好且方便的方式。 但是，您安裝的 WordPress 主題和插件會收集和存儲數據。 因此，您必須更新披露您網站上收集的所有 cookie 和數據的政策。

以下是一些常用的 cookie：

• 谷歌分析和其他跟踪服務
• Cloudflare 和 CDN 服務
• Google Adwords、Bing 和其他廣告網絡
• 推送通知
• 選項或彈出窗口
• 熱圖
• 視頻播放器
• 購物車

以下是一些可以很好地處理 GDPR 的流行插件：

聯繫表格插件

實現 WordPress GDPR 合規性的最簡單方法之一是在您的聯繫表單中添加一個複選框，以獲得用戶對數據收集和存儲的同意。 幸運的是，大多數流行的聯繫表單插件已經具有此功能，以確保您的 WordPress 符合 GDPR。

以下是一些內置 GDPR 就緒的聯繫表單插件：

• 聯繫表格 7
• WP表格
• 重力形式 GDPR
• NinjaForms GDPR

添加 GDPR 協議同意複選框後，您還需要在隱私政策中單獨設置一個部分。 在這裡，您需要披露您收集的所有信息。 這取決於您在表格中包含的字段——姓名、電話號碼、電子郵件地址、實際地址、年齡等。

評論插件

甚至您在 WordPress 上使用的評論插件也會收集個人信息。 因此，您需要在用戶提交評論之前添加一個同意複選框，以確保您符合 GDPR。 但是，某些情況可能屬於我們將在本文後面討論的處理的合法性。

以下是一些內置 GDPR 的評論插件：

• WordPress 原生評論
• 噴氣背包 GDPR
• Disqus GDPR

默認情況下，WordPress 已添加對本機評論的同意。 這適用於 WordPress 4.9.6 及以上版本。

營銷服務和插件

與聯繫表格類似，您還需要徵得用戶對營銷服務和插件的同意。 包括時事通訊插件、測驗插件、調查插件、電子郵件營銷軟件和推送通知插件在內的所有內容都受到 GDPR 的影響。 因此，您需要用戶同意。

您可以使用用戶在完成註冊之前必須單擊的複選框或使用雙重選擇加入您的郵件列表來收集同意。

一些符合 GDPR 的營銷插件包括：

• MailChimp GDPR
• MailerLite GDPR
• ActiveCampaign GDPR
• 韋伯 GDPR

分析、跟踪、再營銷

任何收集數據的第三方插件或服務都必須遵守 GDPR。 這些服務/插件包括谷歌分析、熱圖服務、A/B 測試插件、再營銷平台等。

電子商務解決方案和支付數據

如果您的網站是一個在線中心，那麼當您收集個人信息、銷售數據、用戶帳戶數據並與第三方支付方式集成時，您就在 GDPR 的範圍內。 因此，您需要披露您如何收集、保留和使用數據。

在 WooCommerce 中，您可以獲得內置的隱私功能。 要啟用它：

• 轉到WooCommerce > 設置 > 帳戶和隱私部分。
• 然後，啟用個人數據保留、個人數據刪除和隱私政策鏈接的選項。

確保在您的隱私政策中添加披露。 您可以說明您的網站為何收集此類個人數據以及如何使用這些數據。 您還可以添加它如何改進您的網站（以獲得更好的交易和促銷）以及您如何保護這些數據和支付處理。

其他符合 GDPR 的流行電子商務解決方案包括：

• 輕鬆數字下載
• 條紋
• 貝寶

社區插件

社區插件、會員插件和論壇插件存儲了大量個人信息，除了 WordPress 註冊中使用的信息。 因此，請確保這些插件符合 GDPR。

一些符合 GDPR 的社區插件是：

• LearnDash GDPR
• bbPress GDPR
• BuddyPress GDPR

第三方 API

甚至第三方 API 也存儲數據。 一個很好的例子是谷歌字體。 你們中的大多數人可能都在使用 Google 字體來設計您的網站，無論是作為內置主題功能還是在手動將其添加到您的網站之後。 無論哪種情況，請查看您網站上的每個 API，並找出提供商正在收集哪些數據。

#處理的合法性

使用上述方式徵求用戶同意是確保 WordPress GDPR 合規性的一種簡單方法。 然而，這不是唯一的方法。 事實上，在某些情況下，該規則允許在不需要用戶同意的情況下處理數據。 這被稱為“處理的合法性”。 這裡有一些例子：

合同必要性

GDPR 第 6 (1) b 條允許在必要時進行數據處理。 它指出，“如果有必要執行數據主體作為一方的合同，或者為了在簽訂合同之前應數據主體的要求採取措施，則允許數據處理。”

合法權益

GDPR 第 6 條第 1 款 f 規定：“為了控制者或第三方追求的合法利益，允許進行數據處理，除非此類利益被控制者的利益或基本權利和自由凌駕於其他利益之上。需要保護個人數據的數據主體，特別是在數據主體是兒童的情況下。”

注意：當公共當局執行其任務處理時，此規則不適用。

#有用的 GDPR WordPress 插件

以下是一些 GDPR WordPress 插件，它們有助於使您的 WordPress 網站符合 GDPR。

1. WP安全審計日誌

WP Security Audit Log 插件可以很容易地查看您的 WordPress 網站中發生的事情。 出於安全原因，我們建議使用此插件。 但是，它甚至可以成為查看您的網站正在收集哪些數據的絕佳工具，例如用戶註冊、聯繫表單條目、評論等。

2. WP GDPR 合規性

WP GDPR 合規插件是一種流行的工具，可幫助您的 WordPress 網站遵守 GDPR 規則。 它通過提供常見的遵守提示來提供幫助。 此外，它還提供與其他流行插件的集成，例如 Contact Form 7、Gravity Forms、WooCommerce 和 WordPress 原生評論。

3. GDPR

GDPR 是另一個有效的插件，可幫助您使您的 WordPress GDPR 兼容。 此插件中的一些顯著功能是：

• 隱私政策和服務條款註冊同意管理
• 使用確認電子郵件刪除數據的權利
• 與數據處理器設置一起發布聯繫信息
• 從儀表板訪問數據和導出數據的權利
• Cookie 偏好管理等

4. GDPR Cookie 合規性

GDPR Cookie 合規插件允許用戶同意特定的 cookie 目的，以及在粒度級別啟用和禁用 cookie 設置的能力。

5. Iubenda Cookie 和 GDPR 同意解決方案

Iubenda Cookie and Consent Solution 是一個插件，它使用一體化方法幫助您的 WordPress GDPR 合規。 它通過生成隱私政策文本、阻止 cookie 管理和顯示 cookie 橫幅來實現。

6. 符合 GDPR

Complianz GDPR 插件是一個輕鬆的插件，它可以完成實現 WordPress GDPR 合規性所需的一切。 它會自動檢測您的網站是否需要 cookie 警告。 該插件與 Google Analytics 集成，掃描您網站上的 cookie，提供阻止 cookie 的選項，生成 cookie 策略以及許多其他功能。

7. GDPR Cookie 同意

GDPR Cookie 同意插件允許您在您的網站上顯示 cookie 同意通知。 它僅在用戶明確同意時才允許將 cookie 安裝在用戶的瀏覽器上。 用戶可以隨時撤銷他們的同意。 該插件提供了其他幾個自定義選項來設置您的同意欄以匹配您網站的主題。

#使 WordPress 網站符合 GDPR 的其他方法

除了我們提到的那些之外，這裡還有一些確保 WordPress GDPR 合規性的其他方法：

1. 添加 Cookie 通知

您的網站可能正在從用戶那裡收集 cookie，例如推送通知、熱圖、購物車、彈出窗口等。 雖然收集 cookie 的主要目的是提高網站性能，但它仍然是正在收集的數據。 因此，您需要在首頁添加 cookie 披露和接受通知。

有大量的插件可以幫助你。 在這裡，我們提到了兩個最受歡迎的：

Cookie 通知插件

Cookie Notice 是一個免費的 cookie 通知插件，可幫助您添加簡單的 cookie 通知並輕鬆選擇。 此插件包括幫助您添加自定義消息、鏈接和按鈕以接受或拒絕 cookie 的設置。

您還可以選擇添加 cookie 過期時間、在頁眉或頁腳上定義腳本位置，以及添加具有不同顏色、按鈕樣式、動畫和位置的樣式。

WeePie Cookie 允許

WeePie Cookie Allow 是一個高級插件，可幫助您遵守 GDPR。 它是一個符合英國、歐盟、意大利、荷蘭和德國 cookie 法律的高級 cookie 合規插件。 該插件允許您選擇同意方法（通過按鈕、隱含或滾動）、樣式（條形或框形設計），並添加指向您的隱私政策的鏈接。

該插件還與多站點兼容，並且對所有屏幕尺寸都有響應。

2. 方便用戶請求/刪除他們的信息

如前所述，WordPress 4.9.6 提供了用於用戶數據管理的內置選項。 因此，如果任何用戶想要獲取他們信息的副本或刪除他們提供給您的信息，他們可以立即這樣做。 但是，要允許用戶這樣做，您需要創建一個聯繫表單，讓他們與您取得聯繫。

根據您網站的類型，您可能需要安裝聯繫表單插件來簡化這些聯繫提交。 如果您的網站擁有大量用戶，例如會員網站或在線論壇，這是一個有效的選擇。

Ninja Forms 等一些插件包括內置的自定義導出數據和刪除數據模板。 但是，如果您的網站是沒有用戶帳戶的博客或商業網站，您只需在隱私政策頁面上添加聯繫電子郵件即可。

3. 發送任何政策更新或數據洩露的通知

這是 WordPress GDPR 合規性的最後一部分，也是重要的一部分。 如果發生任何政策更新或數據洩露，您的網站有義務向用戶發送通知。 它適用於提供用戶帳戶以收集客戶信息或維護時事通訊的網站。

如果您使用電子郵件平台進行通信，您可以向您的用戶發送快速隱私更新或數據洩露通知。 但是，如果您使用的是 GDPR 合規插件，則您已經有一個內置的通知系統來聯繫您的網站用戶。

某些 GDPR 插件甚至可以讓您自動發送有關政策更新或數據洩露的通知。 這可以為您節省大量時間。

#GDPR 審計

WordPress GDPR 合規性可能會讓您大吃一驚，而且可以超越困惑。 這是對個人數據收集和保護的巨大要求。 如果您不確定自己的 WordPress 網站，明智的做法是諮詢專家進行 GDPR 審核，最好是專門使用 WordPress 的專家。

常見問題 (FAQ)

概括

在運營網站時，GDPR 是一個大問題。 它影響互聯網上的每個 WordPress 網站。 如果您的網站收到歐盟公民，則您必須遵守 GDPR 規則。

在本指南中，我們簡要介紹了 GDPR 以及您應該遵守它的原因。 此外，我們還強調了使您的 WordPress 網站符合 GDPR 規則的各種方法。 我們建議您按照這些說明進行進一步研究，以確保您的 WordPress 完全符合 GDPR。

最後，我們還強烈建議聯繫 GDPR 顧問，最好是處理 WordPress GDPR 合規性的顧問。 他們可以為您提供各種提示，以確保完全遵守 GDPR。

不要拖延讓您的 WordPress GDPR 合規，否則您可能會面臨我們之前談到的驚人罰款。 對於任何進一步的疑慮和問題，請在下面發表評論。