商业网站的 GDPR 电子商务清单 - 完整指南
已发表: 2020-09-26介绍
GDPR 合规性是任何向欧洲国家提供产品或服务的网站的主要要求。 它不仅使网站符合法律框架,而且使其在访问者眼中值得信赖。 因为它增加了它的透明度。 但是对于一些网站所有者来说,如何遵守 GDPR 可能是一个模糊点。
在本文中,我们为您带来了 GDPR 电子商务清单。 无论您是该领域的新手还是专家,我们的 GDPR 清单都将作为电子商务合规的指导框架。 在文章的最后,我们还将告诉您如何使用两个简单的 WordPress 插件轻松地使您的网站符合 GDPR。 阅读本文,您将能够通过几个简单的步骤使您的网站符合 GDPR,而不会遇到任何麻烦。
什么是 GDPR?
通用数据保护条例或 GDPR 是欧洲法律框架。 它于 2018 年 5 月 25 日实施,以保护欧盟居民的数据隐私。
GDPR 适用于谁?
GDPR 适用于营利性组织,如果它 -
- 在任何欧盟国家都有业务存在。
- 在欧盟没有业务存在,但处理欧洲居民的个人数据并向欧盟国家的居民提供其产品或服务
- 拥有超过250名员工的实力
- 员工人数少于 250 人,但其数据收集和处理会影响数据主体的隐私权和自由,该过程是定期的,并且包括某些类型的敏感数据。
您需要了解的电子商务 GDPR 罚款
以下是 GDPR 规定的主要罚款 -
- 高达公司上一年年收入的 2% 或高达 1000 万美元,以较高者为准。 它适用于不合规的情况。
- 最高可达公司上一年年收入的 4% 或 2000 万美元,以较高者为准。 这是针对数据泄露的。
GDPR 的主要要求以及如何遵守 GDPR
处理数据的法律依据
根据 GDPR,欧盟居民的个人数据只有在至少有一个法律基础的情况下才能被拥有。 以下是 GDPR 为数据处理提供的法律依据 -
- 用户已出于特定目的同意
- 需要数据处理来维护或签订用户作为参与者的合同
- 数据处理是履行以数据控制者为主体的法律义务所必需的
- 为保护用户利益需要进行数据处理
- 为公共利益进行的活动需要数据处理
- 数据处理是为了数据控制者或其他人的合法利益而进行的
同意
同意一词仅表示用户对数据处理的许可。 同意必须是自愿的,并且通常在性质上是可变的。 意味着,用户可以随时更改他或她的同意。 同意通知必须清晰明了。 它不应该有任何歧义。
机构必须保存以下同意记录——
- 谁同意的?
- 以何种方式获得用户的同意以及何时获得
- 在收集同意书时是否向用户提供了同意书
- 收集同意书时适用哪些法律文件和条件
用户权利
GDPR 赋予欧盟公民许多保护其隐私和安全的权利。 以下是 GDPR 下的主要权利 -
- 知情权
必须告知数据主体有关数据处理的信息,并在收集数据之前征得他们的同意。 他们有权知道收集数据的目的、如何处理和存储数据以及是否要与第三方共享、与谁共享。
- 访问权
数据主体现在有权随时访问组织数据库中的个人数据。 如果用户请求,控制器必然会呈现数据处理过程的概述。
- 整改权
如果数据不完整或不准确,用户现在有权更正他们的数据。 GDPR 还规定,必须向参与该过程的所有第三方接收者披露整改。 如果用户提出请求,组织必须通知他第三方接收者。
- 删除权
用户可以要求组织从其数据库中删除他的数据。 在这种情况下,组织必须删除信息。
- 限制处理的权利
数据主体有权限制数据处理。 该请求必须在收到请求后的一个月内处理。
- 数据可移植性的权利
用户可以获取他们的个人数据,以便将其从一个控制器传输到另一个控制器,而不会受到数据处理器的任何反对。 提供的和观察到的数据都属于这个规则。
- 反对权
GDPR 赋予用户反对某些涉及其个人数据的特定数据处理活动的权利。 如果数据处理是为了公共利益而进行的,用户必须给出反对的有效动机。 如果仅出于营销目的进行处理,则不需要用户方提出反对的动机。
- 与自动决策和分析相关的权利
数据主体有权对自动化数据处理系统说不。 只有在需要签订或维护欧盟国家法律承认的合同、基于用户许可且对数据主体没有任何法律或类似影响的情况下,组织才可以进行自动化数据处理。
跨境数据传输
GDPR 仅允许数据传输到 EEA 或欧洲经济区以外的国家/地区,前提是数据传输到的国家/地区具有符合欧盟标准的足够数据保护水平。
另一个条件是必须告知数据主体。 未经主体同意,不得传输任何数据。
设计和默认隐私
数据处理必须从业务流程的设计及其开发开始就包括在内。 换言之,就数据处理生命周期而言,公司必须确保数据处理的标准很高,并采取所有必要的措施来满足 GDPR 设定的标准。
违规通知
如果发生数据泄露事件,数据控制者必须在发现数据泄露事件后 72 小时内通知上级当局。 如果数据由数据处理者代表数据控制者处理,他必须在得知数据泄露的那一刻通知控制者。 还必须告知用户有关数据泄露的信息。
数据保护官
数据保护官是帮助组织遵守 GDPR 法律的人。 他帮助组织实施所有规则、制定议程并采取行动以实现内部合规。
特别是在以下情况下需要数据保护主任 -
- 定期进行大规模系统用户监控的地方
- 如果数据处理由公共当局完成
- 如果对用户数据进行复杂的操作,尤其是在处理敏感数据时。
维护处理活动的记录
GDPR 要求数据控制者和处理者都对用户数据保持全面和更新的“完整和广泛”记录。
如有以下情况,必须保存记录——
- 数据处理不是偶然的
- 可能对欧盟居民的隐私权和自由造成风险
- 涉及敏感或特殊类别的数据
- 处理由拥有 250 多名员工的组织完成
该记录必须包括——
- 数据控制者的姓名和联系方式
- 数据处理的目的
- 对数据类别、用户和数据接收者的充分描述
- 处理不同类别数据的大致时间限制
- 组织的技术安全措施的描述
数据保护影响评估 (DPIA)
DPIA 或数据保护影响评估是一个帮助组织升级自身以满足 GDPR 标准并遵守该标准的过程。 它主要是一个记录保存的过程。 在数据处理有可能对数据主体的隐私造成风险的情况下,这是强制性的。 为方便组织,DIPA 必须以书面形式记录。
DIPA 包括以下内容 -
- 处理数据说明
- 数据处理的目的
- 与目的相关的数据处理要求和范围的评估报告
- 风险因素评估
- 描述为应对风险而采取的措施
以下是您开始完全合规所需的条件:
有许多不同的方法可以符合 GDPR。 该目的的主要要求是电子商务网站的隐私政策、用户同意收集其个人数据以及在您使用 cookie 时的 cookie 通知政策。 满足这些要求的最简单方法是使用 WordPress 插件。 我们会推荐两个用户友好的插件,称为 WP Legal Pages Pro 和 WP Cookie Consent。
WP Legal Pages PRO
WP Legal Pages Pro 是一款功能强大的 WordPress 工具,只需单击几下,即可帮助您在 WordPress 网站上制作律师级别的法律文件。 它带有 25 多个预先设计的模板。 这个 WordPress 隐私政策插件包括电子商务网站的 GDPR 隐私政策。 您所要做的就是安装并激活插件、导入模板、添加您的详细信息并单击“发布”按钮以使您的网站符合 GDPR。
WP Cookie 同意
WP Cookie Consent 是一个优雅而现代的 WordPress cookie 同意插件,可帮助您通过在其上使用自定义 cookie 栏使您的网站符合 GDPR。 它允许您在几分钟内轻松创建 cookie 通知。 您可以根据地理位置显示或隐藏这些通知。 有一个一键式扫描仪,可在启用时自动检测所有网站和第三方 cookie。 您可以手动编辑 cookie 详细信息。
最后的想法
在本文中,我们试图给出有关 GDPR 法律框架和电子商务合规性的想法。 我们还提供了详细的 GDPR 要求清单,以帮助您使您的网站符合新实施的隐私规则。 在文章的最后,我们推荐了两个对初学者友好且响应迅速的插件,旨在生成 GDPR 所需的法律文件。 您可以获取插件并继续前进。 几分钟之内,您就可以使您的网站符合 GDPR。
如果您觉得这篇文章有用,请在 Twitter 和 Facebook 上分享。 在下面的评论部分留下您的看法。 我们很乐意倾听您的反馈。 如果您需要任何进一步的信息,请随时与我们联系。 我们会尽快回复您。 订阅我们的 YouTube 频道以获取我们的视频教程。
免责声明:这是来自邻居博客的客人投稿