如何使您的网站符合 GDPR

已发表: 2021-07-19

GDPR 要求在英国退欧期间继续适用,并适用于与欧盟进行贸易的所有企业。 以下是您现在应该对您的网站进行的 10 项更改,以保持法律的正确性,并让您的客户满意。

在这篇文章中,我想专门介绍如何使您的网站符合 GDPR的狭窄领域,并为您需要进行的特定更改提出建议。

英国退欧和 2020 年怎么样……GDPR 仍然是一项要求吗?

通用数据保护条例 (GDPR) 适用于所有位于欧盟的公司以及那些以欧盟公民为客户的公司。 对于英国企业而言,脱欧协议不会对过渡期内的合规需要做出任何改变,在欧盟范围内进行贸易的企业的要求也不会改变。

此外,英国致力于维持 GDPR 的高标准(政府计划在英国退欧后将其纳入英国法律。

当前的 GDPR 法规于 2018 年 5 月 25 日生效。

考虑执行 GDPR 法规很有趣,GDPR Enforcement Tracker 网站提供了欧盟数据保护机构根据 GDPR 实施的罚款和处罚的清单和概述。

首先,我不得不说我不是法律专业人士,其次这是一个粗略的分析。 在撰写本文时,数据库包含

  • 摘要中包含“网络”一词的 16 起罚款和处罚案例,包括 2019 年 12 月关于法律新闻网站运营商的案例,其隐私声明仅提供英文版本,但也针对荷兰语和法语人士观众。
  • 摘要中包含“电子邮件”一词的 5 个案例,其中包括 2019 年 Vodaphone 向大量收件人(客户)发送营销电子邮件而未使用密件复制功能的案例。 最初的 60.000 欧元罚款减少到 36.000 欧元。

一方面,这并不是对违规行为的大量起诉,而是将此风险与个人数据处理的敏感性增加以及对此问题的认识相结合,GDPR 合规不仅成为一项法定要求,而且良好的商业意识。

GDPR 如何影响我的网站计划和功能?

GDPR 对网站要求有重大影响,这将对您的网站如何与您的其他数字活动(如电子邮件营销、社交媒体和电子商务活动)集成产生连锁反应。

将所有这些建议联系在一起的金线是,在 GDPR 下,自由、具体和知情同意概念正在得到加强,新规则的出台意味着像我们这样的企业需要提供更多的透明度。

以下是您需要查看网站的 10 个步骤,并与您的 Web 开发团队讨论必要的更改。 有任何问题,请随时与我联系。

让我们从您需要进行的简单更改开始,然后再进行更复杂的领域。

1. 表格:主动选择加入

邀请用户订阅时事通讯或指明联系偏好的表单必须默认为“否”或为空白。 您需要检查您的表格以确保是这种情况。

例如,当前的 Boots 注册表符合 GDPR 之前的规定勾选了选择加入框,迫使用户主动选择退出。 很调皮,用户体验不好,五月份必须改。

GDPR 选择加入失败

2020 年,该表格现已根据 GDPR 要求取消勾选

Boots 2020 网站 GDPR 合规性

另一方面,我认为塞恩斯伯里通过假设选择加入并强迫我在方框中选择退出并没有给我一个很好的体验。 我认为他们可能在这方面顺风顺水,并且绝对不会让我作为潜在客户感到高兴:

2020 年 GDPR 塞恩斯伯里选择退出

2. 非捆绑选择加入

您要求的同意应单独列出接受条款和条件,以及接受其他使用数据方式的同意。

在这个例子中,Sainsbury's 明确规定了接受他们的条款和条件,并单独规定了他们的联系权限的主动选择。

遗憾的是,Sainsbury's 没有在通信选择偏好(电子邮件、短信、帖子)方面获得更细化的选项。

塞恩斯伯里颗粒选择加入

3. 细粒度的选择加入

用户应该能够为不同类型的处理提供单独的同意。

在这个例子中,ABC Awards 要求对每种类型的处理(邮寄、电子邮件、电话)进行特定许可,并要求允许将详细信息传递给第三方。

4. 易于撤销许可或选择退出

取消同意必须与授予同意一样容易,而且个人始终需要知道他们有权撤回同意。

就您的网络用户体验而言,这意味着取消订阅可能包括有选择地撤回对特定通信流的同意:

撤销同意 GDPR

或轻松更改通信频率,或完全停止所有通信:

撤回同意频率

5. 指名方

您的网络表单必须清楚地标识获得同意的每一方。 仅仅说第三方组织的具体定义类别是不够的。 他们需要被命名。

在此示例中,您可以看到 John Lewis 了解我们需要为来自 Waitrose、John Lewis 和 John Lewis Financial Services 的更新提供命名权限的要点。

以前,该表单要求用户选择退出而不是选择加入:

约翰刘易斯权限

6. 隐私声明和条款和条件

信息专员办公室 (ICO) 非常友好地提供了一份隐私声明样本,您可以在您的网站上使用它。 它简洁、透明且易于访问。

您还需要更新您网站上的条款和条件以引用 GDPR 术语。 尤其是,您需要让您在收到信息后将如何处理这些信息,以及您将在您的网站和办公系统上保留这些信息的时间。

您还需要传达您收集数据的方式和原因。 您的隐私政策需要详细说明您用来跟踪用户交互的应用程序。

7. 在线支付

如果您是电子商务企业,那么您很可能会使用支付网关进行金融交易。 您自己的网站可能会在将详细信息传递到支付网关之前收集个人数据。

如果是这种情况,并且您的网站在信息传递后存储这些个人详细信息,则您需要修改您的网络流程以在一段合理的时间(例如 60 天)后删除任何个人信息。 GDPR 立法并未明确规定天数,您可以自行判断什么是合理和必要的。

8.第三方跟踪软件

当涉及到第三方跟踪软件时,事情现在开始变得棘手。

许多网站在其网站上使用第三方营销自动化软件解决方案。 这些可能是潜在客户跟踪应用程序,如 Lead Forensics、Leadfeeder 或 CANDDI。 或者它们可以是呼叫跟踪应用程序,例如 Infinity Call Tracking 或 Ruler Analytics。

这些跟踪应用程序的使用在 GDPR 合规性方面提出了一些非常有趣的问题,在我看来,这仍然是一个灰色地带。 乍一看,这些应用程序以他们意想不到的方式跟踪用户,并且他们没有同意。 例如,每次我返回您的网站或查看您网站上的特定页面时,它都会跟踪我的行为。

但是,这些应用程序的供应商向我们保证它们符合 GDPR。

首先,像 CANNDI 这样的供应商建议使用横幅明确无误地说明正在使用 cookie,

CANNDI GDPR 合规性

而且,软件供应商争辩说,使用 cookie 跟踪技术符合您作为数据控制者的企业的合法利益,特别是 Recital 47 允许“出于直接营销目的进行处理或防止欺诈”。

康迪建议:

合法利益 如果在您的网站跟踪中使用合法利益原则,建议您在 GDPR 准备期间记录这种情况。 这应该包括您使用它的理由。

我要感谢 CANNDI 分享他们的 GDPR 观点,并建议您阅读它 (PDF。)

CANNDIO GDPR 观点

这些工具的提供者确信它们符合 GDPR。 但是,如果该软件有违法行为,那么作为数据控制者,您的企业有责任。 真正的问题是在使用此类软件时识别 GDPR 合规性风险,并降低您作为企业主的风险。 因此,您需要仔细审查与这些软件提供商的合同。

9. 谷歌分析和谷歌标签管理器怎么样?

如果您对 Google 对 GDPR 的承诺感兴趣,那么可以从这个网站开始:Google 如何遵守数据保护法

许多网站都配置为使用 Google Analytics 来跟踪用户行为。 Google Analytics 一直是一个匿名跟踪系统。 没有收集“个人数据”,因此我相信 GDPR 不会影响其使用。

关于 Google 标签管理器; 它是一种强大的工具,可让您的网站通过插入少量代码将信息发送到第三方应用程序。 您可以集成内部数据存储库、外部再营销和重定向系统以及许多其他服务。 与标签管理器有关的企业问题是确保您与有权访问您的标签管理器的个人(可能是您的网页设计师或数字营销机构)签订合同,以确保他们了解他们的法律责任代表您作为数据控制者的数据处理者。

因此,新 GDPR 的根本问题是确定并与您的第三方数据处理器签订合同,以保护您自己的利益。

10. 最后……不仅仅是您的网站需要符合 GDPR

GDPR 带来的变化将渗透到您的整个业务中,在本系列文章中,我们只关注您的数字营销。

当您开始规划网站的细节时,您将发现需要考虑的问题。 信息专员提供了一组极好的资源供您参考,但在我们接近 5 月截止日期时,现在需要考虑以下几个关键问题:

  • 您可能在企业的各个地方存储了大量个人数据。 您是否对您持有的数据有很好的理解和记录?
  • 您是否需要获得或更新您持有的数据的同意?
  • 您是否对个人数据的保留时间制定了明确的政策,这样您就不会不必要地保留它,并确保它保持最新状态?
  • 您的数据是否被安全保存,同时考虑到数据安全中的技术和人为因素?
  • 无论您是数据控制者还是数据处理者(或两者兼有),您是否有正确的法律安排?

如果您在网页设计和创意方面需要帮助,请随时与我们联系。