Introducere
GDPR este o reglementare UE legată de protecția datelor personale ale persoanelor fizice. Practic este o lege a confidențialității, concepută pentru a reda cetățenilor controlul asupra datelor lor personale.
În cazul unui site WordPress, persoanele vizate sunt vizitatorii site-ului nostru care provin din Uniunea Europeană. Termenul persoană vizată se referă direct la persoana căreia îi aparțin datele pe care le colectăm.
GDPR consideră orice acțiune întreprinsă asupra datelor ca prelucrare a datelor, de la simpla colectare și stocare până la utilizare, organizare și orice altă formă de prelucrare.
Având un site web, ești client al unei companiei de găzduire și din punctul de vedere al GDPR ești denumit controlor de date. Aceasta înseamnă că ești responsabil pentru implementarea măsurilor tehnice și organizatorice adecvate pentru a te asigura și a demonstra că orice prelucrare a datelor este efectuată în conformitate cu GDPR.
Cele șapte principii ale GDPR
Regulamentul general privind protecția datelor ( GDPR ) se bazează pe șapte principii cheie pe care organizațiile trebuie să le respecte atunci când prelucrează date cu caracter personal.
1. Legalitate, echitate și transparență. Aceasta înseamnă că trebuie să explici clar și direct ce date colectezi, de ce ai nevoie de ele și cum le vei utiliza.
2. Limitarea scopului. Trebuie să prelucrezi datele în conformitate cu consimțământul persoanei vizate și trebuie să obțineți consimțământul utilizatorului / vizitatorului înainte de colectarea și prelucrarea datelor acestuia.
3. Reducerea la minim a datelor. Ar trebui colectate numai datele care sunt necesare în mod direct pentru prelucrare și pentru care utilizatorul și-a dat consimțământul.
4. Exactitate. Te asiguri că datele personale colectate sunt corecte și actualizate.
5. Limitări legate de durata stocării. Datele cu caracter personal nu trebuie păstrate mai mult decât este necesar, conform scopului pentru care sunt prelucrate.
6. Integritatea, securitatea și confidențialitatea datelor. Acest principiu este cel mai tehnic dintre toate cele șapte și cere ca datele sunt prelucrate astfel încât să se asigure integritatea și confidențialitatea acestora. Operatorul de date trebuie să se asigure că sunt puse în aplicare măsuri de protecție împotriva accesului neautorizat, furtului, pierderii, distrugerii sau deteriorării pentru a asigura integritatea și confidențialitatea datelor cu caracter personal.
7. Responsabilitate. Operatorul de date este responsabil pentru respectarea principiilor de mai sus.
Poți citi mai mult despre aceste principii pe site-ul oficial al Uniunii Europene.
Verificarea dacă un site WordPress este conform cu GDPR
Datorită naturii dinamice a site-urilor web, nicio platformă, modul sau soluție software nu poate oferi 100% conformitate cu GDPR. Procesul de conformitate GDPR va varia în funcție de tipul de site web pe care îl ai, de datele personale pe care le stochezi și de modul în care le procesezi pe site.
Verificarea dacă un site WordPress este conform cu GDPR implică o revizuire a procedurilor de manipulare a datelor de pe site, pentru a te asigura că acestea respectă cerințele GDPR.
Iată aspectele de care ar trebui să ții cont în calitate de proprietar de site WordPress, pentru a verifica și a asigura conformitatea GDPR:
Versiunea WordPress
Versiunea de WordPress trebuie să fie minim 4.9.6 Începând cu WordPress 4.9.6, software-ul de bază WordPress este compatibil cu GDPR. Este important să reții că atunci când vorbesc despre WordPress mă refer la WordPress.org (auto-găzduire) și nu la WordPress.com .
Politica de confidențialitate
O pagină web cu politica de confidențialitate, care include informații clare despre colectarea, prelucrarea, stocarea datelor personale, precum și drepturile utilizatorilor. Fiind un document legal, recomand să fie întocmită de un avocat specializat.
Consimțământ pentru cookie-uri
Atunci când un utilizator intră pe site, el trebuie anunțat că salvezi cookies. Trebuie să-i arăți tipurile de cookies pe care le folosești și trebuie să își dea acceptul pentru salvarea lor. Practic, pe site trebuie afișat un banner sau o fereastră pop-up care solicită consimțământul utilizatorului pentru cookie-uri. Site-ul tău trebuie să încarce cookie-uri și scripturi de urmărire numai după obținerea consimțământului utilizatorului.
Poți verifica gratuit aici, ce tipuri de cookie-uri salvează site-ul tău aici.
Măsuri tehnice
GDPR.EU oferă două exemple de măsuri tehnice pe care le poți lua pentru a proteja datele utilizatorilor. Prima este autentificarea cu doi factori, iar a doua se referă la criptarea end-to-end.
GDPR nu impune criptarea în mod direct. În schimb, subliniază măsurile adecvate pentru securizarea datelor cu caracter personal – criptarea fiind un exemplu al unei astfel de măsuri. Aceste măsuri, oricare ar fi acestea, ar trebui să acopere două stări ale datelor – datele în tranzit și datele în repaus.
Securitatea datelor
Datele în tranzit sunt cele care sunt trimise prin rețeaua Internetului, iar datele în repaus sunt stocate în baza de date WordPress. Pentru acestea din urmă, WordPress nu oferă criptarea datelor, în acest moment. Prin urmare, trebuie să iei măsurile pentru a securiza datele personale ale utilizatorilor:
-
- parole puternice
- autentificare multifactor
- menținerea WordPress și a modulelor actualizate
- implementarea unor module de securitate
Pentru datele în tranzit verifică dacă ai instalat un certificat de securitate SSL pe WordPress, acesta asigurând criptarea acestora. Dacă site-ul deține un astfel de certificat instalat URL-ul apare în browser marcat cu https:// în loc de http:// și în stânga lui apare simbolul unui lacăt.
Un lucru de reținut este că securitatea WordPress este un proces iterativ. Nu este ceva pe care îl configurezi o dată și uiți de el. Are nevoie de monitorizare și optimizare constantă pentru asigurarea unui nivelul de securitate adecvat, pe măsură ce tehnologia evoluează și cerințele de business se schimbă.
În cazul unei încălcări a securității care poate duce la pierderea sau compromiterea datelor cu caracter personal, proprietarul site-ului web trebuie să notifice autoritățile competente și utilizatorii afectați în termen de 72 de ore.
Servicii terțe
În timp ce WordPress nu colectează date personale în mod implicit, formularele personalizate și modulele terțe ( de exemplu: module pentru buletine informative, module pentru sondaje, module pentru notificări push și software-ul de marketing prin e-mail) pot colecta astfel de date. Trebuie să verifici că acestea sunt, de asemenea, conforme cu GDPR.
Consimțământul utilizatorului
Este esențial să obții întotdeauna consimțământul utilizatorului, explicând de ce colectezi datele și cum le vei utiliza. Acesta trebuie să ofere consimțământul lui explicit pentru colectarea și prelucrarea datelor sale. De exemplu, poți trimite email cu buletinul informativ numai utilizatorilor care s-au înscris în mod explicit la acesta.
Respectarea drepturile utilizatorilor
Utilizatorii au dreptul de a solicita accesul la datele lor personale, rectificarea acestora sau ștergerea lor. Astfel, dacă o persoană îți cere să-i ștergi toate datele sale personale de pe site, trebuie să respecți solicitarea respectivă în termen de 30 de zile. Pentru exercitarea acestor drepturi, utilizatorii trebuie să găsească date de contact în politica de confidențialitate.
Concluzie
A rămîne compliant cu GDPR este un proces continuu. În calitate de controlor de date trebuie să poți dovedi că respecți GDPR. Aceasta înseamnă să ai documentația necesară a procesului, procedurile, notificările, înregistrările și evaluările conforme cu GDPR.
Recomand consilierea juridică profesională, pentru a te asigura că respecți regulamentul GDPR.
Declinarea responsabilității: Acest articol nu constituie consultanță juridică.
Dan Stefan
Profesionist IT, cu o diplomă în inginerie electrică și un MBA, Dan este certificat CompTIA, Microsoft și AWS. Compania sa oferă soluții IT personalizate care optimizează infrastructura IT și îmbunătățesc prezența online a afacerilor mici prin dezvoltare web pe WordPress și SEO.
Comentarii recente