為您的網站提供 5 個 GDPR 快速修復

已發表: 2018-03-27

新的歐洲通用數據保護條例 (GDPR)將於 2018 年 5 月 25 日生效。這會帶來因不遵守而被處以嚴重罰款的風險。 確保公司及其在線渠道符合GDPR通常是一項重大任務,這就是為什麼自 2016 年 5 月以來有一個寬限期的原因。但讓我們現實一點:很多公司還沒有為 GDPR 做好準備,或者目前正在全速工作,以在 2018 年 5 月之前實現合規。在這篇博文中,我們將向您展示五個快速修復您的網站,以朝著GDPR 合規邁出重要一步。

1. 添加 Cookie 橫幅

GDPR 規定必須通知用戶有關個人信息的存儲。 其中包括 IP 地址和在線標識符,例如存儲在 cookie 中的標識符。 個人數據的收集、處理和存儲也需要數據主體(用戶)的同意。 當前的 2002 年歐洲電子隱私指令(電子隱私指令)承認跟踪和功能性 cookie 對於網站的改進和運營是必要的,並允許默示同意,但必須明確告知用戶。 這導致了眾所周知的 cookie 橫幅的實施。

至少,您應該在您的網站上包含一個 cookie 橫幅。 如果您在您的網站上使用營銷 cookie(展示廣告網絡再營銷營銷自動化等),則只能在用戶同意後進行設置。

通過進一步使用網站,在默示同意的情況下進行跟踪的示例 cookie 橫幅:

Cookie 橫幅示例

用於跟踪和定位的 cookie 橫幅示例:此處,營銷 cookie 只能在單擊“接受 cookie”後設置。

Cookie 橫幅示例

理想情況下,您應該讓用戶有機會決定他希望允許使用哪種 cookie。 Cookies可以細分為:

  • 所需的 cookie(例如登錄會話、購物車等)
  • 功能性 cookie(如 vimeo.com 等)
  • 跟踪/性能 cookie(如 Google Analytics 等)
  • 廣告和定位 cookie(如 DoubleClick、AppNexus 等)
  • 自定義 cookie(如 HubSpot、Marketo 等)

需要注意的是,需要用戶的明確同意,尤其是廣告和定位以及定制類別。

OneTrust開箱即用的 cookie 管理解決方案示例

Cookie 同意解決方案 - Cookie 管理中心

還有其他供應商提供此類解決方案,如TRUSTeEvidon

GDPR 還規定,撤回同意必須與給予同意一樣容易。 在上面的示例中,這通過指向每個頁面頁腳中 cookie 設置的鏈接來保證。

2. 調整表格

從 GDPR 的角度來看,一種久經考驗的檢查表單的方法是想像每個包含個人信息的字段都應該像您的信用卡號碼、護照號碼或您母親的電話號碼一樣受到同樣的關注。

  • 每個表單域只應在明確需要時才存在。 如果不是這種情況,請解釋必要性或刪除不必要的字段。 採取極簡主義的方法,只收集絕對必要的東西。
  • 對於所有表格,請確保其中包含直接指向隱私政策的鏈接。
  • 用戶必須能夠在提交表單之前了解他或她的數據發生了什麼變化,包括數據存儲的原因、位置和時間。
  • 不要使用任何預先填寫的複選框(特別是對於時事通訊訂閱,因為需要明確同意)。
  • 包含個人信息的表格只能以加密形式傳輸。
  • 避免使用 GET 方法,因為它會映射 URL 中的表單內容,從而將其保存在分析工具和日誌文件中。
  • 以表格方式收集的信息只能用於用戶在填寫表格時同意的用途。 例如,如果電子郵件地址包含在訂單中,您可能不會自動使用電子郵件地址進行電子郵件營銷。
  • 或者,您也可以完全刪除該表單並用電子郵件鏈接和/或電話號碼替換它。

3. 分析工具中的 IP 地址匿名化

在您的分析套件中激活 IP 匿名化。 在 Google Analytics 中,您看不到訪問者的 IP 地址,但它在跟踪期間存儲在 Google 服務器上。 如果您啟用 IP 匿名化,則可以防止這種情況發生。 在 Google Analytics 中,這可以在跟踪代碼中通過添加 ga('set','anonymizeIp', true) 進行設置。

4. 更新隱私政策

根據 GDPR,數據控制者(在我們的例子中是網站的運營商)必須以用戶可以理解的語言清晰明確地提供有關存儲和使用收集的任何個人信息的信息。 除其他外,必須報告以下幾點:

  • 收集哪些信息?
  • 誰收集這些數據?
  • 這些數據是如何收集的?
  • 為什麼要收集這些數據?
  • 如何使用/處理數據?
  • 與哪些第三方實體以及出於什麼目的共享數據?
  • 數據出境了嗎?
  • 用戶如何联系:1. 查看數據,2. 更正數據,3. 刪除數據和 4. 撤回對處理這些數據的同意?

5. 查看/刪除第三方內容

渲染網站時在瀏覽器外部加載的任何內容(如Facebook Like 按鈕、外部圖像和 PDF 等社交插件)都會告知訪問者 IP 地址的來源。 對於使用 cookie 的頁面,還可以將附加信息發送到第三方服務器。 例如,Facebook 知道用戶 XY 訪問了您的網站,即使他沒有在您的網站上執行 Facebook 操作。 作為網站所有者和數據控制者,您有責任確定哪些第三方實體可以訪問個人信息。

因此,建議檢查外部資源並儘可能刪除不必要的內容。 保留的任何來源都需要包含在數據保護協議中,並且在某些情況下,在收集第三方提供商的目標信息時,還需要明確的用戶同意。

請注意,實施這些快速修復並不意味著完全符合 GDPR。 需要滿足其他重要條件。 因此,我們建議您對您的在線渠道進行全面的 GDPR 合規性審核。

單擊此處申請GDPR 審核的個人報價。

有關新數據保護條例的更多信息,請訪問我們的數字合規部分或查看我們的合規博客帖子