如何使您的網站符合 GDPR

已發表: 2021-07-19

GDPR 要求在英國退歐期間繼續適用,並適用於與歐盟進行貿易的所有企業。 以下是您現在應該對您的網站進行的 10 項更改,以保持法律的正確性,並讓您的客戶滿意。

在這篇文章中,我想專門介紹如何使您的網站符合 GDPR的狹窄領域,並為您需要進行的特定更改提出建議。

英國退歐和 2020 年怎麼樣……GDPR 仍然是一項要求嗎?

通用數據保護條例 (GDPR) 適用於所有位於歐盟的公司以及那些以歐盟公民為客戶的公司。 對於英國企業而言,脫歐協議不會對過渡期內的合規需要做出任何改變,在歐盟範圍內進行貿易的企業的要求也不會改變。

此外,英國致力於維持 GDPR 的高標準(政府計劃在英國退歐後將其納入英國法律。

當前的 GDPR 法規於 2018 年 5 月 25 日生效。

考慮執行 GDPR 法規很有趣,GDPR Enforcement Tracker 網站提供了歐盟數據保護機構根據 GDPR 實施的罰款和處罰的清單和概述。

首先,我不得不說我不是法律專業人士,其次這是一個粗略的分析。 在撰寫本文時,數據庫包含

  • 摘要中包含“網絡”一詞的 16 起罰款和處罰案例,包括 2019 年 12 月關於法律新聞網站運營商的案例,其隱私聲明僅提供英文版本,但也針對荷蘭語和法語使用者觀眾。
  • 摘要中包含“電子郵件”一詞的 5 個案例,其中包括 2019 年 Vodaphone 向大量收件人(客戶)發送營銷電子郵件而未使用密件複製功能的案例。 最初的 60.000 歐元罰款減少到 36.000 歐元。

一方面,這並不是對違規行為的大量起訴,而是將此風險與個人數據處理的敏感性增加以及對此問題的認識相結合,GDPR 合規不僅成為一項法定要求,而且良好的商業意識。

GDPR 如何影響我的網站計劃和功能?

GDPR 對網站要求有重大影響,這將對您的網站如何與您的其他數字活動(如電子郵件營銷、社交媒體和電子商務活動)集成產生連鎖反應。

將所有這些建議聯繫在一起的金線是,在 GDPR 下,自由、具體和知情同意概念正在得到加強,新規則的出台意味著像我們這樣的企業需要提供更多的透明度。

以下是您需要查看網站的 10 個步驟,並與您的 Web 開發團隊討論必要的更改。 有任何問題,請隨時與我聯繫。

讓我們從您需要進行的簡單更改開始,然後再進行更複雜的領域。

1. 表格:主動選擇加入

邀請用戶訂閱時事通訊或指明聯繫偏好的表單必須默認為“否”或為空白。 您需要檢查您的表格以確保是這種情況。

例如,當前的 Boots 註冊表符合 GDPR 之前的規定勾選了選擇加入框,迫使用戶主動選擇退出。 很調皮,用戶體驗不好,五月份必須改。

GDPR 選擇加入失敗

2020 年,該表格現已根據 GDPR 要求取消勾選

Boots 2020 網站 GDPR 合規性

另一方面,我認為塞恩斯伯里通過假設選擇加入並強迫我在方框中選擇退出並沒有給我一個很好的體驗。 我認為他們可能在這方面順風順水,並且絕對不會讓我作為潛在客戶感到高興:

2020 年 GDPR 塞恩斯伯里選擇退出

2. 非捆綁選擇加入

您要求的同意應單獨列出接受條款和條件,以及接受其他使用數據方式的同意。

在這個例子中,Sainsbury's 明確規定了接受他們的條款和條件,並單獨規定了他們的聯繫權限的主動選擇。

遺憾的是,Sainsbury's 沒有在通信選擇偏好(電子郵件、短信、帖子)方面獲得更細化的選項。

塞恩斯伯里顆粒選擇加入

3. 細粒度的選擇加入

用戶應該能夠為不同類型的處理提供單獨的同意。

在此示例中,ABC Awards 要求對每種類型的處理(郵寄、電子郵件、電話)進行特定許可,並要求將詳細信息傳遞給第三方。

4. 易於撤銷許可或選擇退出

取消同意必須與授予同意一樣容易,而且個人始終需要知道他們有權撤回同意。

就您的網絡用戶體驗而言,這意味著取消訂閱可能包括有選擇地撤回對特定通信流的同意:

撤銷同意 GDPR

或輕鬆更改通信頻率,或完全停止所有通信:

撤回同意頻率

5. 指名方

您的網絡表單必須清楚地標識獲得同意的每一方。 僅僅說第三方組織的具體定義類別是不夠的。 他們需要被命名。

在此示例中,您可以看到 John Lewis 了解我們需要為來自 Waitrose、John Lewis 和 John Lewis Financial Services 的更新提供命名權限的要點。

以前,該表單要求用戶選擇退出而不是選擇加入:

約翰劉易斯權限

6. 隱私聲明和條款和條件

信息專員辦公室 (ICO) 非常友好地提供了一份隱私聲明樣本,您可以在您的網站上使用它。 它簡潔、透明且易於訪問。

您還需要更新您網站上的條款和條件以引用 GDPR 術語。 尤其是,您需要讓您在收到信息後將如何處理這些信息,以及您將在您的網站和辦公系統上保留這些信息的時間。

您還需要傳達您收集數據的方式和原因。 您的隱私政策需要詳細說明您用來跟踪用戶交互的應用程序。

7. 在線支付

如果您是電子商務企業,那麼您很可能會使用支付網關進行金融交易。 您自己的網站可能會在將詳細信息傳遞到支付網關之前收集個人數據。

如果是這種情況,並且您的網站在信息傳遞後存儲這些個人詳細信息,則您需要修改您的網絡流程以在一段合理的時間(例如 60 天)後刪除任何個人信息。 GDPR 立法並未明確規定天數,您可以自行判斷什麼是合理和必要的。

8.第三方跟踪軟件

當涉及到第三方跟踪軟件時,事情現在開始變得棘手。

許多網站在其網站上使用第三方營銷自動化軟件解決方案。 這些可能是潛在客戶跟踪應用程序,如 Lead Forensics、Leadfeeder 或 CANDDI。 或者它們可以是呼叫跟踪應用程序,例如 Infinity Call Tracking 或 Ruler Analytics。

這些跟踪應用程序的使用在 GDPR 合規性方面提出了一些非常有趣的問題,在我看來,這仍然是一個灰色地帶。 乍一看,這些應用程序以他們意想不到的方式跟踪用戶,而且他們沒有同意。 例如,每次我返回您的網站或查看您網站上的特定頁面時,它都會跟踪我的行為。

但是,這些應用程序的供應商向我們保證它們符合 GDPR。

首先,像 CANNDI 這樣的供應商建議使用橫幅明確無誤地說明正在使用 cookie,

CANNDI GDPR 合規性

而且,軟件供應商爭辯說,使用 cookie 跟踪技術符合您作為數據控制者的企業的合法利益,特別是 Recital 47 允許“出於直接營銷目的進行處理或防止欺詐”。

康迪建議:

合法利益 如果在您的網站跟踪中使用合法利益原則,建議您在 GDPR 準備期間記錄這種情況。 這應該包括您使用它的理由。

我要感謝 CANNDI 分享他們的 GDPR 觀點,並建議您閱讀它 (PDF。)

CANNDIO GDPR 觀點

這些工具的提供者確信它們符合 GDPR。 但是,如果該軟件的行為是非法的,那麼作為數據控制者,您的企業有責任。 真正的問題是識別使用此類軟件時的 GDPR 合規性風險,並降低您作為企業主的風險。 因此,您需要仔細審查與這些軟件提供商的合同。

9. 谷歌分析和谷歌標籤管理器怎麼樣?

如果您對 Google 對 GDPR 的承諾感興趣,那麼可以從這個網站開始:Google 如何遵守數據保護法

許多網站都配置為使用 Google Analytics 來跟踪用戶行為。 Google Analytics 一直是一個匿名跟踪系統。 沒有收集“個人數據”,因此我相信 GDPR 不會影響其使用。

關於 Google 標籤管理器; 它是一種強大的工具,可讓您的網站通過插入少量代碼將信息發送到第三方應用程序。 您可以集成內部數據存儲庫、外部再營銷和重定向系統以及許多其他服務。 與標籤管理器有關的企業問題是確保您與有權訪問您的標籤管理器的個人(可能是您的網頁設計師或數字營銷機構)簽訂合同,以確保他們了解他們的法律責任代表您作為數據控制者的數據處理者。

因此,新 GDPR 的根本問題是確定並與您的第三方數據處理器簽訂合同,以保護您自己的利益。

10. 最後……不僅僅是您的網站需要符合 GDPR

GDPR 帶來的變化將滲透到您的整個業務中,在本系列文章中,我們只關注您的數字營銷。

當您開始規劃網​​站的細節時,您將發現需要考慮的問題。 信息專員提供了一組極好的資源供您參考,但在我們接近 5 月截止日期時,現在需要考慮以下幾個關鍵問題:

  • 您可能在企業的各個地方存儲了大量個人數據。 您是否對您持有的數據有很好的理解和記錄?
  • 您是否需要獲得或更新您持有的數據的同意?
  • 您是否對個人數據的保留時間制定了明確的政策,這樣您就不會不必要地保留它,並確保它保持最新狀態?
  • 您的數據是否被安全保存,同時考慮到數據安全中的技術和人為因素?
  • 無論您是數據控制者還是數據處理者(或兩者兼有),您是否有正確的法律安排?

如果您在網頁設計和創意方面需要幫助,請隨時與我們聯繫。