Ogólne Rozporządzenie o ochronie danych (RODO) jest ważnym nowym prawodawstwem w dziedzinie ochrony danych. Opracowany przez Unię Europejską, ma na celu wzmocnienie praw osób fizycznych w zakresie gromadzenia, wykorzystywania i przechowywania ich danych osobowych.

Prawo ma zastosowanie do przedsiębiorstw lub organizacji w Unii Europejskiej. Ci spoza UE, którzy oferują towary i usługi (płatne lub nie) ludziom mieszkającym w UE, lub monitorują ich zachowanie, muszą również przestrzegać.

W efekcie, RODO staje się globalnym standardem ochrony danych.

Co zatem liczy się jako dane osobowe?

Wszelkie dane, które można wykorzystać do bezpośredniej lub pośredniej identyfikacji żyjącej osoby, są klasyfikowane jako dane osobowe.

Na przykład:

  • Nazwa
  • Adres
  • Adres e-mail
  • Numer ubezpieczenia społecznego
  • Dane lokalizacji
  • Adres IP

Co To Są Wrażliwe Dane Osobowe?

Wrażliwe dane osobowe to szczególna Klasa danych osobowych, które muszą być jeszcze ostrożniej przetwarzane. Obejmuje takie czynniki jak:

  • Wyścig
  • Stan zdrowia
  • Orientacja seksualna
  • Przekonania religijne
  • Przekonania polityczne

Jakie prawa przysługują osobom, których dane dotyczą, zgodnie z RODO?

Jak wyjaśnia ICO, osoby, których dane dotyczą, mają następujące prawa dotyczące ich danych osobowych:

  1. Informacje
  2. Dostęp
  3. Rektyfikacja
  4. Kasowanie
  5. Ograniczenia przetwarzania
  6. Przenoszenie danych
  7. Sprzeciw
  8. Weryfikacja zautomatyzowanych decyzji lub profilowania
GDPR data subject rights
RODO prawa osób, których dane dotyczą

RODO odnosi się w dużej mierze do przetwarzanie danych. Odnosi się to po prostu do wszelkich operacji wykonywanych na danych osobowych – gromadzenia, przechowywania, poprawiania, usuwania itp.

Co musi zrobić Twoja firma, aby zachować zgodność z RODO?

1. Audyt Twoich danych osobowych

Dowiedz się, jakie dane osobowe przetwarzasz, szczegółowo poniżej.

2. Dokumentuj wszystko

Zapisz swoje zasady i procedury dotyczące przetwarzania danych osobowych. Jest to część wykazania zgodności z rozporządzeniem.

Będziesz potrzebował planu, co zrobić w przypadku:

Wnioski o dostęp do tematu

Osoby fizyczne mogą żądać dostępu do swoich danych osobowych, ich aktualizacji lub usunięcia. Jak zweryfikować ich tożsamość i spełnić wniosek?

Bezpieczeństwo danych

Szczegółowo, co robisz, aby zapewnić bezpieczeństwo danych osobowych. Może to obejmować takie techniki, jak szyfrowanie, anonimizacja i Kontrola dostępu.

Naruszenia danych

Wszelkie naruszenia danych osobowych, które mogłyby znacząco zaszkodzić osobom fizycznym, muszą być zgłaszane w ciągu 72 godzin do “odpowiedniego organu nadzorczego”. W Wielkiej Brytanii jest to ICO. Jeśli naruszenie jest wystarczająco poważne, musisz również poinformować osoby dotknięte.

3. Poinformuj swoich odbiorców

Stwórz lub zaktualizuj swoje oświadczenie o ochronie prywatności, aby wyjaśnić, jakie dane osobowe zbierasz i do czego są wykorzystywane w zwięzły i czytelny sposób.

Happytables privacy policy summary
Podsumowanie Polityki Prywatności Happytables

Nie tylko Kopiuj i wklej jeden; upewnij się, że jest dostosowane do Twojej firmy i posiadanych danych.

4. Określ podstawę prawną dla wszystkich działań związanych z przetwarzaniem danych osobowych

Wszelkie przetwarzanie danych osobowych musi mieć uzasadnienie prawne. Więcej o tym później.

5. Rozważ posiadanie IOD

Inspektor Ochrony Danych (IOD) jest odpowiedzialny za wszystkie działania w zakresie ochrony danych. Inspektor Ochrony Danych może znajdować się w organizacji lub na zewnątrz.

Odkrywanie danych osobowych, które gromadzi Twoja firma

Dowiedz się:

  1. O kim masz dane?
  2. Jakie dane osobowe są gromadzone? Czy coś z tego jest wrażliwe?
  3. Jakie typy plików są używane?
  4. Gdzie jest przechowywany – lokalnie, na serwerze WWW, w chmurze?
  5. Czy dane są przetwarzane przez osoby trzecie? Które? Gdzie się znajdują?
  6. Jeśli dane były początkowo gromadzone i przechowywane w UE, czy są one przekazywane poza UE w dowolnym momencie? (Przekazywanie danych poza UE jest dozwolone tylko wtedy, gdy dane osobowe mają odpowiednie zabezpieczenia. Jeśli dane są przesyłane do USA, odpowiednimi ramami przekazywania danych jest Tarcza Prywatności.)
  7. Jak długo przechowywane są dane?
  8. Czy jest w jakikolwiek sposób zabezpieczony?
  9. Czy podmioty są informowane o tym, jakie dane są przechowywane i wykorzystywane podczas ich gromadzenia?

Dane osobowe czają się w wielu miejscach! Jeśli jesteś podobny do mnie, użyjesz wielu narzędzi.

Oto kilka miejsc do wyszukiwania:

  • Strony internetowe na żywo, tworzenie i tworzenie witryn z:
    • Wtyczki WordPress, które zbierają i przechowują dane osobowe
    • Użytkownicy WordPress-zwłaszcza w instalacjach BuddyPress i bbPress
    • Natywne komentarze WordPress lub inne oprogramowanie komentujące
    • Rozwiązania WordPress ecommerce np. WooCommerce
  • Pliki-dokumenty, Arkusze kalkulacyjne, bazy danych, pliki PDF
  • Przechowywanie i tworzenie kopii zapasowych: komputery, dyski przenośne, pamięci USB, DVD, online
  • Przechowywanie w chmurze: Dropbox, Dysk Google, Amazon S3
  • Intranety
  • E-mail i załączniki e-mail
  • Systemy CRM
  • Oprogramowanie do e-mail marketingu: MailChimp i podobne
  • Social media: Sprawdź swoją “książkę adresową”
  • Aplikacje do przesyłania wiadomości np. Slack, Facebook Messenger, Interkom
  • Aplikacje produktywne np. Zapier. Trello
  • Oprogramowanie do rezerwacji np. Eventbrite, Calendly
  • I nie zapominaj, że liczą się zarówno płyty papierowe, jak i elektroniczne!

Przetwarzanie Przez Osoby Trzecie

Sprawdź politykę prywatności i / lub umowy dostawców stron trzecich, z których korzystasz. Dowiedz się, jakie są ich plany przestrzegania RODO. Jeśli nie uzyskasz satysfakcjonujących odpowiedzi, poszukaj alternatywnych dostawców.

Na przykład MailChimp napisał na blogu o procesie zgodności z RODO.

Wtyczki WordPress, Które Zbierają Dane Osobowe

Poszukaj sposobów na zminimalizowanie gromadzenia danych osobowych. Przyjmij podejście do Prywatności przez projekt.

Unikaj tworzenia takich formularzy, prosząc o wiele danych, nie wyjaśniając, do czego są używane.

A "greedy form" with many fields
“Chciwa forma” z wieloma polami

Jeśli jesteś programistą wtyczek, wbuduj opcje, aby pozwolić właścicielom witryn wybrać, co chcą zbierać i przechowywać, oraz opcję usuwania danych. Upewnij się, że po usunięciu wtyczki wszystkie dane są czyszczone.

Zaimplementuj dostęp za pośrednictwem ról użytkownika WordPress: subskrybenci nie powinni mieć możliwości przeglądania danych formularza, na przykład.

Teraz spójrz na niektóre Konkretne wtyczki.

1. Akismet

Skontaktowałem się z programistami odpowiedzialnymi za Akismet i zapytałem, co dzieje się z danymi osobowymi, gdy sprawdza komentarze WordPress pod kątem spamu.

Chris z Automattic odpowiedział:

“Pracujemy nad pełną zgodnością z RODO, zanim wejdzie ono w życie na początku przyszłego roku.”

(Możemy wywnioskować, że dotyczy to również Jetpack i WooCommerce.)

Kontynuował:

“Jedyną informacją wysyłaną do Akismet, gdy komentarz jest testowany pod kątem spamu, są informacje dostarczone przez komentatora: ich imię i nazwisko, adres e-mail, adres URL witryny i komentarz (oraz inne informacje nieosobowe, takie jak aktualny czas itp.). Informacje te nie są przesyłane do żadnych serwerów innych niż Akismet, ale nie możemy zagwarantować, w którym kraju będą przetwarzane. W tym celu podpisaliśmy wzorcowe klauzule umowne z naszą irlandzką spółką zależną, które obejmują przekazywanie danych do UE i poza nią w celu ich przetwarzania.”

Niemieccy użytkownicy mogą chcieć użyć wtyczki Polityki Prywatności Akismet, aby ostrzec, że dane komentarzy mogą być wysyłane do USA. (Nie ma jeszcze tłumaczenia na język angielski.)

2. Formularz kontaktowy

Uważaj na wtyczki formularzy, które przechowują dane osobowe w bazie danych WordPress. Ponieważ nie należy przechowywać danych osobowych dłużej niż jest to wymagane, idealną sytuacją jest ich usunięcie, gdy nie są już potrzebne.

Szersze wpisy formularzy grawitacyjnych blokują przechowywanie wpisów formularzy grawitacyjnych.

Formularze Ninja mają ustawienie, aby nie przechowywać wpisów formularza. Musisz go włączyć dla każdego formularza.

Ninja Forms storage turned off
Ninja Forms storage wyłączony

Sprawdź również, czy nie ma żadnych formularzy, które automatycznie włączają użytkowników do wiadomości marketingowych za pomocą wstępnie zaznaczonych pól wyboru.

3. Wtyczki” Email This Page”

Print, PDF, Email by Print Friendly gromadzi adresy e-mail przesłane przez użytkownika.

Deweloperzy wyraźnie zobowiązali się do ochrony danych osobowych:

Print, PDF, Email Privacy & Data
Drukuj, PDF, e-mail prywatność i dane

4. Giveaway Plugins

Wtyczki takie jak KingSumo uruchamiają prezenty. Uczestnicy są dodawani do listy subskrybentów wiadomości e-mail.

A co z ciasteczkami?

Pliki cookie są objęte rozporządzenie o prywatności i łączności elektronicznej, odrębnie od RODO. Data jego wdrożenia miała pokrywać się z RODO, ale prawdopodobnie zostanie opóźniona, ponieważ jest jeszcze w projekcie.

W rozporządzeniu o ochronie danych osobowych rozróżnia się własne pliki cookie obsługiwane przez domenę użytkownika oraz pliki cookie innych firm, np. z Google Analytics i niektórych wtyczek udostępniania społecznościowego.

Może się zdarzyć, że ustawienia przeglądarki będą używane jako forma zgody użytkownika na pliki cookie innych firm, ale jest to coś, na co musimy mieć oko.

Znalezienie podstawy prawnej przetwarzania Twoich danych osobowych

Istnieje 6 głównych podstaw legalnego przetwarzania danych osobowych. Co najmniej jeden warunek musi być spełnione.

Dwa z nich nie mają zastosowania do osób pracujących w sieci-żywotnych interesów i funkcji publicznych.

Pozostawia to następujące:

1. Niezbędne do wykonania umowy

Działania takie jak zbieranie informacji o płatnościach od dostawcy są objęte tą zasadą.

2. Obowiązek prawny

Na przykład, firmy brytyjskie są zobowiązane przez prawo do prowadzenia ewidencji wydatków przez 5 lat po terminie składania zeznania podatkowego 31 stycznia.

3. Zgoda

Jest to kluczowe kryterium przetwarzania dla większości przedsiębiorstw. Jeśli nie ma innej podstawy prawnej, konieczne będzie uzyskanie zgody na przetwarzanie danych osobowych.

Zgoda musi być:

Podane swobodnie – nikt nie powinien być oszukany lub zmuszany do dostarczania swoich danych osobowych.

Explicit – jeśli chcesz również dodać adresy e-mail z formularza kontaktowego do listy mailingowej, nie możesz użyć wstępnie zaznaczonego pola wyboru Automatycznie je akceptując.

A booking form with auto-completed checkbox
Formularz rezerwacji z automatycznie wypełnionym checkboxem

Dotyczy to:

Specyficzne i oddzielne – jeśli istnieje wiele celów przetwarzania, należy poprosić o zgodę osobno dla każdego z nich. Dla wspomnianej wcześniej wtyczki Kingsumo powinny być idealnie 2 pola wyboru.

  1. Tak, aby wziąć udział w konkursie zgodnie z jego regulaminem.
  2. Tak do otrzymywania e-mail marketingu.

Nazwane – podaj nazwę swojej organizacji i wszelkie inne osoby, które będą przetwarzać dane.

Możliwość wycofania w dowolnym momencie – jeśli ktoś chce zrezygnować później, musisz mu na to pozwolić. Powinieneś to ułatwić.

Musisz nagrać:

  1. Na co ktoś się zgodził.
  2. Kiedy wyrazili zgodę.
  3. Jak to zrobili.
  4. Co im powiedziano o tym, jak zostaną wykorzystane ich informacje.

Czy kończy się zgoda?

Nie ma minimalnego czasu trwania zgody-zależy to od kontekstu.

A co z uzyskaną wcześniej zgodą?

Wielu z nas ma listy e-mail z subskrybentami, którzy zdecydowali się na informacje marketingowe.

Możesz zachować swoje istniejące dane abonenta, jeśli możesz udowodnić, że zostały uzyskane na podstawie tych samych przepisów, co w RODO.

Oczywistym sposobem na to jest ponowne poproszenie subskrybentów e-maili o zgodę marketingową, ale uważaj: Flybe i Honda zostały ukarane za to!

Komunikator ma pomocną tabelę do radzenia sobie ze starszymi listami e-mail.

4. Uzasadnione interesy

Przetwarzanie danych jest dozwolone na podstawie uzasadnionych interesów firmy, pod warunkiem, że nie jest nadrzędne wobec praw osoby fizycznej.

Korzystanie z tej podstawy do przetwarzania danych oznacza, że musisz:

  1. Udokumentuj swoją ocenę swoich interesów w stosunku do osób, których to dotyczy
  2. Określ w swojej polityce prywatności, że korzystasz z uzasadnionych interesów jako warunku prawnego do przetwarzania danych
  3. Umożliwienie osobom fizycznym wyrażenia sprzeciwu wobec tego typu przetwarzania danych

Na przykład możesz użyć wtyczki zabezpieczającej, która rejestruje adresy IP odwiedzających. Po dokonaniu oceny interesów użytkownik decyduje, że zbieranie danych jest uzasadnione na podstawie uzasadnionych interesów. Oświadczasz w swojej polityce prywatności, że zbierasz adresy IP odwiedzających Twoją witrynę w celu ochrony Twojej witryny przed próbami włamania.

Co Dalej?

Po przeprowadzeniu audytu i zidentyfikowaniu podstawy prawnej przetwarzania danych osobowych:

Jeśli są jakieś dane osobowe, których już nie potrzebujesz, usunąć.

Brytyjska sieć pubów Wetherspoons postanowiła niedawno usunąć całą bazę e-mail klientów:

Czuliśmy, że wolelibyśmy nie trzymać nawet adresów e-mail dla klientów. Im mniej mamy informacji o klientach, których obecnie prawie nie ma, tym mniejsze ryzyko związane z danymi.

Do a ocena ryzyka na temat pozostawionych danych osobowych zidentyfikuj dane wysokiego ryzyka i podejmij kroki w celu ich ochrony.

Run a Ocena Wpływu Na Prywatność o wszelkich przyszłych lub przeszłych projektach związanych z gromadzeniem danych osobowych.

W Podsumowaniu

Zrozumienie i przestrzeganie RODO to wyzwanie, ale jest to wyzwanie, któremu możemy sprostać. Wyższe standardy ochrony danych są korzystne dla nas wszystkich.

Zacznijcie przygotowania. Skorzystaj z następujących zasobów w celu uzyskania wskazówek:

  • Sieć Ochrony Danych
  • ICO: reforma ochrony danych
  • Ogólne rozporządzenie o ochronie danych-Isle of Man Information Commissioner
  • Przewodnik po ogólnym rozporządzeniu o ochronie danych
  • Sesja wirtualna: RODO bez szumu
  • RODO: jak tworzyć najlepsze praktyki w zakresie ochrony prywatności (z przykładami)
  • Kiedy i w jaki sposób należy przeprowadzić ocenę wpływu na prywatność?

Jakie kroki ty przestrzegać RODO?

Czy wiesz, jakie informacje zbierasz od odwiedzających Twoją witrynę? Jak myślisz, ile pracy będzie wymagało uczynienie Twojej witryny zgodną z RODO? Podziel się swoimi przemyśleniami w komentarzach poniżej.

Tagi:

You May Also Like

Jak naprawić nieprawidłowy błąd JSON w WordPress (Przewodnik dla początkujących)

W artykule: Co powoduje błąd “nieprawidłowa odpowiedź JSON” w WordPress?1. Sprawdź adresy…

Jak naprawić błąd krytyczny w WordPress (krok po kroku)

W artykule: Co To jest błąd krytyczny w WordPress?Co powoduje krytyczny błąd…

Jak zmienić kolor linku w WordPress (poradnik dla początkujących)

W artykule: Dlaczego Linki Są Ważne?Jak dodawać linki w postach i stronach…

9 Najlepsze Darmowe Wtyczki WordPress Author Bio Box

W artykule: 1. Simple Author Box2. Branda3. Autor postu WP4. Author Bio…