商業網站的 GDPR 電子商務清單 - 完整指南

已發表: 2020-09-26

介紹

GDPR 合規性是任何向歐洲國家提供產品或服務的網站的主要要求。 它不僅使網站符合法律框架,而且使其在訪問者眼中值得信賴。 因為它增加了它的透明度。 但是對於一些網站所有者來說,如何遵守 GDPR 可能是一個模糊點。

在本文中,我們為您帶來了 GDPR 電子商務清單。 無論您是該領域的新手還是專家,我們的 GDPR 清單都將作為電子商務合規的指導框架。 在文章的最後,我們還將告訴您如何使用兩個簡單的 WordPress 插件輕鬆地使您的網站符合 GDPR。 閱讀本文,您將能夠通過幾個簡單的步驟使您的網站符合 GDPR,而不會遇到任何麻煩。

什麼是 GDPR?

1

通用數據保護條例或 GDPR 是歐洲法律框架。 它於 2018 年 5 月 25 日實施,以保護歐盟居民的數據隱私。

GDPR 適用於誰?

GDPR 適用於營利性組織,如果它:

  • 在任何歐盟國家都有業務存在。
  • 在歐盟沒有業務存在,但處理歐洲居民的個人數據並向歐盟國家的居民提供其產品或服務
  • 擁有超過250名員工的實力
  • 員工人數少於 250 人,但其數據收集和處理會影響數據主體的隱私權和自由,該過程是定期的,並且包括某些類型的敏感數據。

您需要了解的電子商務 GDPR 罰款

以下是 GDPR 規定的主要罰款 -

  • 高達公司上一年年收入的 2% 或高達 1000 萬美元,以較高者為準。 它適用於不合規的情況。
  • 最高可達公司上一年年收入的 4% 或 2000 萬美元,以較高者為準。 這是針對數據洩露的。

GDPR 的主要要求以及如何遵守 GDPR

處理數據的法律依據

根據 GDPR,歐盟居民的個人數據只有在至少有一個法律基礎的情況下才能被擁有。 以下是 GDPR 為數據處理提供的法律依據 -

  • 用戶已出於特定目的同意
  • 需要數據處理來維護或簽訂用戶作為參與者的合同
  • 數據處理是履行以數據控制者為主體的法律義務所必需的
  • 為保護用戶利益需要進行數據處理
  • 為公共利益進行的活動需要數據處理
  • 數據處理是為了數據控制者或其他人的合法利益而進行的

同意

同意一詞僅表示用戶對數據處理的許可。 同意必須是自願的,並且通常在性質上是可變的。 意味著,用戶可以隨時更改他或她的同意。 同意通知必須清晰明了。 它不應該有任何歧義。

機構必須保存以下同意記錄——

  • 誰同意的?
  • 以何種方式獲得用戶的同意以及何時獲得
  • 在收集同意書時是否向用戶提供了同意書
  • 收集同意書時適用哪些法律文件和條件

用戶權利

GDPR 賦予歐盟公民許多保護其隱私和安全的權利。 以下是 GDPR 下的主要權利 -

  • 知情權

必須告知數據主體有關數據處理的信息,並在收集數據之前徵得他們的同意。 他們有權知道收集數據的目的、如何處理和存儲數據以及是否要與第三方共享、與誰共享。

  • 訪問權

數據主體現在有權隨時訪問組織數據庫中的個人數據。 如果用戶請求,控制器必然會呈現數據處理過程的概述。

  • 整改權

如果數據不完整或不准確,用戶現在有權更正他們的數據。 GDPR 還規定,必須向參與該過程的所有第三方接收者披露整改。 如果用戶提出請求,組織必須通知他第三方接收者。

  • 刪除權

用戶可以要求組織從其數據庫中刪除他的數據。 在這種情況下,組織必須刪除信息。

  • 限制處理的權利

數據主體有權限制數據處理。 該請求必須在收到請求後的一個月內處理。

  • 數據可移植性的權利

用戶可以獲取他們的個人數據,以便將其從一個控制器傳輸到另一個控制器,而不會受到數據處理器的任何反對。 提供的和觀察到的數據都屬於這個規則。

  • 反對權

GDPR 賦予用戶反對某些涉及其個人數據的特定數據處理活動的權利。 如果數據處理是為了公共利益而進行的,用戶必須給出反對的有效動機。 如果僅出於營銷目的進行處理,則不需要用戶方提出反對的動機。

  • 與自動決策和分析相關的權利

數據主體有權對自動化數據處理系統說不。 只有在需要簽訂或維護歐盟國家法律承認的合同、基於用戶許可且對數據主體沒有任何法律或類似影響的情況下,組織才可以進行自動化數據處理。

跨境數據傳輸

GDPR 允許在 EEA 或歐洲經濟區之外傳輸數據,前提是數據傳輸到的國家/地區具有符合歐盟標準的足夠數據保護水平。

另一個條件是必須告知數據主體。 未經主體同意,不得傳輸任何數據。

設計和默認隱私

數據處理必須從業務流程的設計及其開發開始就包括在內。 換言之,就數據處理生命週期而言,公司必須確保數據處理的標準很高,並採取所有必要的措施來滿足 GDPR 設定的標準。

違規通知

如果發生數據洩露事件,數據控制者必須在發現數據洩露事件後 72 小時內通知上級當局。 如果數據由數據處理者代表數據控制者處理,他必須在得知數據洩露的那一刻通知控制者。 還必須告知用戶有關數據洩露的信息。

數據保護官

數據保護官是幫助組織遵守 GDPR 法律的人。 他幫助組織實施所有規則、制定議程並採取行動以實現內部合規。

特別是在以下情況下需要數據保護主任 -

  • 定期進行大規模系統用戶監控的地方
  • 如果數據處理由公共當局完成
  • 如果對用戶數據進行複雜的操作,尤其是在處理敏感數據時。

維護處理活動的記錄

GDPR 要求數據控制者和處理者都對用戶數據保持全面和更新的“完整和廣泛”記錄。

如有以下情況,必須保存記錄——

  • 數據處理不是偶然的
  • 可能對歐盟居民的隱私權和自由造成風險
  • 涉及敏感或特殊類別的數據
  • 處理由擁有 250 多名員工的組織完成

該記錄必須包括——

  • 數據控制者的姓名和聯繫方式
  • 數據處理的目的
  • 對數據類別、用戶和數據接收者的充分描述
  • 處理不同類別數據的大致時間限制
  • 組織的技術安全措施的描述

數據保護影響評估 (DPIA)

DPIA 或數據保護影響評估是一個幫助組織升級自身以滿足 GDPR 標準並遵守該標準的過程。 它主要是一個記錄保存的過程。 在數據處理有可能對數據主體的隱私造成風險的情況下,這是強制性的。 為方便組織,DIPA 必須以書面形式記錄。

DIPA 包括以下內容 -

  • 處理數據說明
  • 數據處理的目的
  • 與目的相關的數據處理要求和範圍的評估報告
  • 風險因素評估
  • 描述為應對風險而採取的措施

以下是您開始完全合規所需的內容:

有許多不同的方法可以符合 GDPR。 該目的的主要要求是電子商務網站的隱私政策、用戶同意收集其個人數據以及在您使用 cookie 時的 cookie 通知政策。 滿足這些要求的最簡單方法是使用 WordPress 插件。 我們會推薦兩個用戶友好的插件,稱為 WP Legal Pages Pro 和 WP Cookie Consent。

WP Legal Pages PRO

2

WP Legal Pages Pro 是一款功能強大的 WordPress 工具,只需單擊幾下,即可幫助您在 WordPress 網站上製作律師級別的法律文件。 它帶有 25 多個預先設計的模板。 這個 WordPress 隱私政策插件包括電子商務網站的 GDPR 隱私政策。 您所要做的就是安裝並激活插件、導入模板、添加您的詳細信息並單擊“發布”按鈕以使您的網站符合 GDPR。

WP Cookie 同意

3

WP Cookie Consent 是一個優雅而現代的 WordPress cookie 同意插件,可幫助您通過在其上使用自定義 cookie 欄使您的網站符合 GDPR。 它允許您在幾分鐘內輕鬆創建 cookie 通知。 您可以根據地理位置顯示或隱藏這些通知。 有一個一鍵式掃描儀,可在啟用時自動檢測所有網站和第三方 cookie。 您可以手動編輯 cookie 詳細信息。

最後的想法

在本文中,我們試圖給出有關 GDPR 法律框架和電子商務合規性的想法。 我們還提供了詳細的 GDPR 要求清單,以幫助您使您的網站符合新實施的隱私規則。 在文章的最後,我們推薦了兩個對初學者友好且響應迅速的插件,旨在生成 GDPR 所需的法律文件。 您可以獲取插件並繼續前進。 幾分鐘之內,您就可以使您的網站符合 GDPR。

如果您覺得這篇文章有用,請在 Twitter 和 Facebook 上分享。 在下面的評論部分留下您的看法。 我們很樂意傾聽您的反饋。 如果您需要任何進一步的信息,請隨時與我們聯繫。 我們會盡快回复您。 訂閱我們的 YouTube 頻道以獲取我們的視頻教程。

免責聲明:這是來自鄰居博客的客人投稿