如何使您的网站符合GDPR 《通用数据保护条例》


原文地址:如何使您的网站符合GDPR 《通用数据保护条例》

在这篇文章中,我想专门介绍如何使您的网站符合GDPR的狭窄领域  ,并针对需要进行的特定更改提出建议。

GDPR要求在英国退欧期间以及与欧盟进行贸易的所有企业中继续适用。您现在应该对网站进行以下10个更改,以保持法律的正确性并保持客户满意。

在这篇文章中,我想专门介绍如何使您的网站符合GDPR的狭窄领域  ,并针对需要进行的特定更改提出建议。

那么英国脱欧和2020年……GDPR是否仍是一项要求?

通用数据保护条例(GDPR)适用于所有在欧盟境内的公司以及以欧盟公民为客户的公司。对于英国企业而言,英国退欧协议不会对过渡期间的合规性要求做出任何改变,对于在欧盟范围内进行贸易的企业,要求也不会改变。

此外,英国致力于维护GDPR的高标准(英国政府计划在英国退欧后将其纳入英国法律。

当前的GDPR法规于2018年5月25日生效。

考虑执行GDPR法规很有趣,GDPR Enforcement Tracker网站提供了欧盟内部数据保护机构根据GDPR规定的罚款清单和罚款清单。

首先,我必须说我不是法律专业人士,其次,这是一个粗略的分析。在撰写本文时,数据库包含

  • 摘要中包含``网络''一词的16起罚款和处罚案件,包括2019年12月有关法律新闻网站运营商的案例,该隐私声明仅以英语提供,尽管该声明也针对荷兰语和法语听众。
  • 5个案例的摘要中包含“电子邮件”一词,其中包括2019年Vodaphone向大量收件人(客户)发送营销电子邮件而未使用密件抄送功能的案例。最初的罚款60.000欧元减少为36.000欧元。

一方面,这不是针对违规的大量起诉,但是将这种风险与个人数据处理的敏感性提高以及对此问题的认识相结合,GDPR的合规性不仅成为一项法定要求,而且还成为良好的商业意识。

GDPR如何影响我的网站计划和功能?

GDPR对网站要求有重大影响,这将对您的网站与电子邮件营销,社交媒体和电子商务活动等其他数字活动的集成方式产生连锁反应。

将所有这些建议联系在一起的金线是,根据GDPR ,通过新规则加强了自由,具体和知情同意 的  概念,这意味着像我们这样的企业需要提高透明度。

您将需要查看以下10个步骤,以与您的网站进行讨论,并与Web开发团队讨论必要的更改。如有任何疑问,请随时与我联系。

让我们从您需要进行的简单更改开始,然后继续进行更复杂的区域。

1.表格:主动加入

邀请用户订阅新闻通讯或指示联系人首选项的表单必须默认为“否”或为空白。您将需要检查表格以确保是这种情况。

例如,当前的Boots注册表格符合GDPR之前的规定,在“选择加入”框中打了勾,迫使用户积极选择退出。非常顽皮,糟糕的用户体验,必须在5月之前进行更改。

如何使您的网站符合GDPR 《通用数据保护条例》

到了2020年,根据GDPR要求,现在尚未选中该表格

如何使您的网站符合GDPR 《通用数据保护条例》

另一方面,我认为塞恩斯伯里(Sainsbury's)无法通过选择加入并强迫我在选择框上选择退出来给我带来很好的体验。我会争辩说,他们可能因此而风起云涌,并且绝对不会让我作为潜在客户感到高兴:

如何使您的网站符合GDPR 《通用数据保护条例》

2.取消选择加入

您要征求的同意应单独列出以接受条款和条件,并接受同意以其他方式使用数据。

在此示例中,塞恩斯伯里(Sainsbury's)明确列出了接受其条款和条件的情况,并单独列出了其联系人许可权的有效加入。

令人遗憾的是,塞恩斯伯里(Sainsbury's)没有选择在通讯选择偏好(电子邮件,短信,邮件)方面更加细化。

如何使您的网站符合GDPR 《通用数据保护条例》

3.选择性加入

用户应能够针对不同类型的处理提供单独的同意。

在此示例中,ABC奖要求针对每种处理类型(邮寄,电子邮件,电话)获得特定许可,还要求对过去的详细信息授予第三​​方。

如何使您的网站符合GDPR 《通用数据保护条例》

4.容易撤消许可或选择退出

取消同意必须与授予同意一样容易,而且个人始终需要知道他们有权撤回同意。

就您的网络用户体验而言,这意味着退订可以包括选择性地撤消对特定通信流的同意:

如何使您的网站符合GDPR 《通用数据保护条例》

或轻松更改通信频率,或完全停止所有通信:

如何使您的网站符合GDPR 《通用数据保护条例》

5.命名方

您的Web表单必须清楚地标识获得同意的各方。仅说特定定义的第三方组织类别还不够。他们需要被命名。

在此示例中,您可以看到John Lewis理解了我们需要为Waitrose,John Lewis和John Lewis Financial Services的每个更新授予命名权限的要点。

以前,该表格要求用户选择退出而不是  选择加入:

如何使您的网站符合GDPR 《通用数据保护条例》

6.隐私声明以及条款和条件

信息专员办公室(ICO)非常友好地提供了示例隐私声明,您可以在您的网站上使用它。它简洁,透明且易于访问。

您还需要在网站上更新条款和条件,以引用GDPR术语。特别是,您将需要使其透明化,以使收到信息后将如何处理,以及将这些信息保留在网站上以及办公室系统中保留多长时间。

如何使您的网站符合GDPR 《通用数据保护条例》

您还需要说明收集数据的方式和原因。您的隐私权政策将需要详细说明您用于跟踪用户互动的应用程序。

7.在线支付

如果您是电子商务企业,那么您可能正在使用付款网关进行金融交易。在将详细信息传递到支付网关之前,您自己的网站可能正在收集个人数据。

如果是这种情况,并且您的网站在传递这些信息之后正在存储这些个人详细信息,那么您将需要  修改您的Web流程,以在合理的期限(例如60天)之后删除所有个人信息。GDPR立法并未明确规定天数,您可以自行决定是否可以合理合理地辩护。

8.第三方跟踪软件

现在,有关第三方跟踪软件的事情开始变得棘手。

许多网站在其网站上使用第三方营销自动化软件解决方案。这些可能是潜在客户跟踪应用,例如潜在客户取证,潜在客户或CANDDI。或者,它们可能是诸如无限呼叫跟踪或标尺分析之类的呼叫跟踪应用程序。

这些追踪应用程序的使用就GDPR合规性提出了一些非常有趣的问题,我认为这仍然是一个灰色领域。乍一看,这些应用程序以他们不希望看到的方式以及未获得用户同意的方式跟踪用户。  例如,它在我每次返回您的网站或查看您网站上的特定页面时跟踪我的行为。

但是,这些应用程序的供应商向我们保证它们符合GDPR。

如何使您的网站符合GDPR 《通用数据保护条例》

而且,软件供应商认为,使用cookie跟踪技术符合您作为数据控制器的企业的  合法利益,尤其是Recital 47允许“为直接营销目的进行处理或防止欺诈”。

CANNDI建议:

合法权益-如果在您的网站跟踪中使用合法利益原则,建议在GDPR准备过程中记录这种情况。这应该包括您使用它的依据。

如何使您的网站符合GDPR 《通用数据保护条例》

这些工具的提供者对它们符合GDPR充满信心。但是,如果软件做非法行为,那么作为数据控制器,这是您的企业责任。真正的问题是确定使用此类软件的GDPR合规风险,并减轻作为企业主的风险。因此,您需要仔细查看与这些软件提供商的合同。

9. Google Analytics和Google Tag Manager怎么样?

如果您对Google对GDPR的承诺感兴趣,那么以下网站是一个不错的起点:  Google如何遵守数据保护法

许多网站都配置为使用Google Analytics(分析)来跟踪用户行为。Google Analytics(分析)一直以来都是匿名跟踪系统。没有收集“个人数据”,因此我相信GDPR不会影响其使用。

关于Google跟踪代码管理器;它是一个功能强大的工具,可让您的网站通过插入少量代码将信息发送给第三方应用程序。您可以集成内部数据存储库,外部再营销和重定向系统以及许多其他服务。对于企业而言,与标签管理器有关的问题是要确保您与有权访问标签管理器的个人(可能是您的网页设计师或数字营销代理)签有合同,以确保他们了解自己的法律责任代表您作为数据控制器的数据处理器。

因此,新GDPR的根本问题是识别第三方数据处理器并与之签订合同,以保护您自己的利益。

10.最后,不仅是您的网站需要符合GDPR

GDPR引入的更改将渗透到您的整个业务中,在本系列文章中,我们将重点仅放在您的数字营销上。

当您开始计划网站的详细信息时,您将发现阿拉丁需要解决的问题。该信息专员提供了一个极好的资源集供您参考,但这里有几个关键问题要考虑,现在我们接近五月截止时间:

  • 您可能在企业各处存储了许多个人数据。您是否对所拥有的数据有很好的理解和记录在案?
  • 您是否需要获得或刷新您持有的数据的同意书?
  • 您是否有关于保留个人数据多长时间的明确政策,因此您不必不必要地保留它并确保其保持最新状态?
  • 是否同时牢记技术和人为因素来安全地保存数据?
  • 无论您是数据控制器还是数据处理器(或两者兼有),您是否已制定正确的法律安排?

评论

登录后评论

服务器优惠活动

Top