我们有一个 WordPress 网站,可以在包括欧洲国家在内的世界各地销售和运送产品。我们已根据需要修改了 UK-Cookie-Consent 插件。我们目前在页面顶部显示以下警告,点击“了解更多”会将用户带到我们的隐私页面:
同时,我们不会在欧洲以外的大陆显示 cookie 警告。我们还有一些第三方跟踪 cookie,例如我们用于各种跟踪目的的 facebook、google analytics 和 klaviyo。
当我通过各种网络扫描仪(例如 cookiebot、cookieserve.com、gdprcookiescan.eu 和ezigdpr.com )扫描我们的网站以了解 GDPR 合规性时,该网站显示为不合规。
我的问题是,作为一个 wordpress 开发人员,如果我可以采取任何其他步骤来使网站符合 GDPR 标准,那么我可以采取哪些额外步骤。
我的另一个问题是,是否应该关注上述扫描仪的 GDPR 扫描结果,以及是否有其他更受尊重的扫描仪被推荐用于确保 GDPR 合规性。
首先是一些背景信息:
这很重要,因为那里有很多关于这个主题的错误信息和混乱。我会尽力澄清它。这里有 2 种不同的法律(法规/指令)起作用。
那么这一切意味着什么,它又是如何结合在一起的呢?
由于 ePrivacy,您需要显示 cookie 横幅,并且您需要有法律依据来处理通过 cookie 检索到的数据,因为 GDPR 可能会因 cookie 的用途而异。有 3 种类型的法律依据可能与您的网站相关:合法权益、同意和合同(处理客户购买)
重要提示:根据 GDPR,您需要向您的用户提供有关处理哪些数据的信息,在何种法律基础下以及处理的目的。这需要进入您的隐私政策。
那么什么时候可以设置哪些类型的cookie呢?
绝对必要的 cookie:无需明确同意即可设置。(仍然需要您通过横幅通知您的用户您使用 cookie)这些是您的网站运行所需的 cookie。就像您客户的登录会话和购物车一样。
统计数据:假设您的网站使用某种不与广告网络共享任何数据的分析服务。您可以争辩说您拥有合法权益,在这种情况下类似于“通过分析网站使用情况来改进网站”。我肯定至少会为这种类型提供选择退出。
定位/营销 Cookie:在这里很难说您有“合法利益”,因为正在跟踪和分析用户。对于这些选择加入是必须的。这意味着如果用户选择加入,您的法律依据是同意。例如,Facebook 像素应该是选择加入的。
答案:
我的问题是,作为一名 WordPress 开发人员,我可以采取哪些额外步骤来使网站符合 GDPR 标准。
您需要做的不仅仅是正确处理 cookie。这只是 GDPR 合规性所需的一小部分。您需要确定您从客户/用户那里收集的所有类型的个人数据的处理目的。这需要包含在您的隐私政策中,不要忘记处理的法律依据。当您收集任何个人数据时,您需要能够告知(隐私政策)您的用户/客户以下内容:GDPR 第 13 条
我的另一个问题是,是否应该关注上述扫描仪的 GDPR 扫描结果,以及是否有其他更受尊重的扫描仪被推荐用于确保 GDPR 合规性。
我一般不会依赖扫描仪,除非可能要弄清楚您的网站设置了哪些类型的 cookie,而您可能忽略了这些 cookie。这些扫描程序无法告诉您您的网站是否符合 GDPR,在最好的情况下,它们可以告诉您您的 cookie 同意对话是否有效,例如仅查找“绝对必要”的 cookie。顺便说一句,您拥有的那个横幅是为了暗示同意,在 GDPR 之前的大多数情况下,这本来可以,但是,不再可以了。如果您在用户单击“我同意”之前设置了 Facebook 的 cookie,那么这可能就是扫描仪说您不合规的原因。
希望我没有吓到任何人 ;) 每个人都处于对某些方面不完全确定的同一条船上,即使是大企业也是如此。GDPR 有很多方面的文本并不完全清楚,留有解释空间。
旁注:
我们为一些客户构建了一个解决方案,可以持续自动生成隐私政策,使其与网站保持一致,集中更新政策变更以及管理 cookie、社交媒体等的隐私控制。我们在过程将其变成任何人都可以使用的通用解决方案。我们正在寻找可以与之合作以进一步开发它的试点客户。你可以在这里查看:TRUENDO
您可以使用此GDPR Cookie 同意解决方案,它会在同意之前自动阻止 cookie。它适用于所有平台,如 WordPress、Drupal 等。