2016 年推出的新通用数据保护条例 (GDPR) 是欧盟最重要的改革之一 隐私规定 过去20年在欧洲。 GDPR 的最终目标是统一欧洲的数据隐私法,保护欧洲公民的私人数据,并赋予他们对自己数据的更多权利和控制权。
在线企业需要持续的数据流,以改善网站上的用户体验、重新定位网站访问者和客户或生成个性化广告。 然而,根据新的 GDPR,网站用户需要明确同意才能收集数据。 现在需要告知用户如何收集和处理数据。 因此,隐私政策需要可供用户访问且易于理解。 网站用户在同意服务条款之前需要了解将收集哪些类型的数据以及出于何种目的,因为不遵守 GDPR 可能会导致巨额罚款甚至审判。
欧洲各地的网站托管商需要考虑法律的许多不同方面,这可能相当复杂。 但并不是每个人都能负担得起公司内的 GDPR 专家。 因此,以下提示将为您带来第一印象,让您了解您的企业和网站如何持续更加符合欧洲数据保护法。 本指南不包含法律建议,但试图建立对 GDPR 要求的基本了解。
1.了解术语
在尝试使您的网站符合 GDPR 之前,您应该对术语有基本的了解。
个人数据
个人数据描述了可以直接或通过收集的数据组合来识别一个人的信息。 可以识别一个人的数据可以是电子邮件地址、IP 地址(可以预测用户的确切位置)、姓名、收入、宗教或个人照片。 此外,是网站上的整体行为个人数据,因为 Cookie 可以跟踪多个网站的浏览活动(例如,用户滚动浏览哪些内容或用户点击哪些内容)。
隐私政策
隐私政策描述了您收集我们用户的哪种数据以及如何进一步处理这些数据。 此外,隐私政策是否应包含对如何保密个人数据或谁有权访问该数据的描述。 隐私政策应易于网站用户理解和访问。
数据处理器和控制器
数据控制者是确定数据用途以及如何进一步处理数据的个人或软件。 另一方面,数据处理者是代表数据控制者处理和分析数据的个人或软件。
GDPR合规性
遵守 GDPR 到底意味着什么? 遵守当前的 GDPR 可能具有不同的含义,具体取决于业务、组织、用户和数据质量。 然而,为了总体遵守 GDPR,收集个人数据的公司或个人必须实施具体措施,以确保默认情况下安全处理、处理和存储这些数据。
2. 根据现行数据保护规定修改我们的网站
当该法律于 2016 年生效时,大多数网站运营商都有同样的问题:如何使我的网站符合 GDPR? 以下步骤将使您的网站更符合一般数据保护法规。
在您的网站上设置选择加入和选择退出表格。
在您的网站上放置一个用户清晰可见的表格,并告知他们网站上的数据收集和处理活动。 大多数网站都使用 cookie 弹出窗口,其中包括用户内容表单。 个人还需要能够轻松撤回收集个人数据的许可。 它通常也称为“选择退出”选项。
列出所有第三方跟踪软件
许多网站使用第三方程序来更有效地分析收集的数据。 在您的隐私政策或 Cookie 弹出横幅中设置一个部分,列出并描述网站上使用的第三方跟踪软件。 此外,网站必须明确说明向哪一方授予同意,或者是否存在例外情况。
让您的用户轻松撤回给定的权限 - 尤其是在电子邮件营销中
在不影响网站用户体验的情况下,撤回给定数据处理权限的许可可能很难在网站上实施。 然而,根据 GDPR,它必须像以前授予的那样易于删除。 公司应对这一挑战的单向方法是列出数据可能用于的特定领域,用户可以同意或拒绝(例如个性化广告、行为跟踪、网站上的个性化用户体验)。 这主要是通过 Cookie 完成的。 此外,您的时事通讯订阅者是否应该可以轻松地随时从您的邮件列表中选择退出。 如果您的电子邮件中没有明确标记,或者根本没有选择退出的选项,那么可能会导致巨额罚款。
3. 遵守 GDPR 的 Google Analytics 使用
Google Analytics 是迄今为止使用最多且最受欢迎的 网站追踪 工具,为用户提供网站访问者行为的独特内部信息。 但 Google Analytics 是否符合 GDPR?
您可以采取一些简单的步骤,使您的网站使用 Google Analytics 合规。 Google Analytics 为每个用户注册一个唯一的用户 ID,以便显示网站上的访问者总数(例如新客户或回头客)、行为(例如客户通过哪些网站进行转化;跳出率)以及网站上的互动。网站。 此外,Analytics 可以根据年龄、性别甚至收入对用户进行细分。 根据 GDPR,所有提到的信息都被视为个人数据,可以潜在地识别个人身份。 然而,由于谷歌不断开发和改进该工具,因此很难确定通过谷歌分析收集的数据的全部范围。
谷歌的统计数据显示,根据其欧盟同意政策,网站所有者有责任披露该网站使用了谷歌分析。 此外,他们需要获得欧盟网站最终用户的同意,并说明收集个人数据的确切原因。 因此,Google Analytics 将数据保护要求的责任转移给网站所有者。 以下提示可帮助您在使用 Google Analytics(分析)时控制 GDPR 的合规性。
开启IP匿名化
根据 GDPR,IP 地址算作个人数据。 Google 使用用户的 IP 地址来生成地理报告。 因此,匿名化会降低通过 Google Analytics 跟踪用户的准确性。 您可以通过将以下变量添加到 Google Analytics 跟踪代码脚本来存档 IP 地址的匿名化:
{ 'anonymize_ip': true }
一旦该功能添加到 Google Analytics 跟踪代码中,IP 地址将在收集时进行匿名化处理。
2.通过Google Analytics的伪小说设置检查
谷歌分析已经采取措施来防止识别单个用户。 但是,您应该检查以下伪小说设置是否处于活动状态并正在运行。
用户名: 确保通过数字或字母识别用户,而不是通过纯文本的特定电子邮件地址或用户名。
交易ID:将交易 ID 与帐户中的其他数据源相结合可能会识别个人身份。 因此,请确保 ID 是随机字母数字标识符。
加密数据: 加密数据可以包括电子邮件地址或个人电话号码。 因此,建议避免通过 Google Analytics 收集加密数据。 Google Analytics 的最低哈希要求为 SHA256,并建议使用至少 8 个字符的盐。
- 检查 URL 页面标题
当 URL 包含“email= querystring”作为参数时,您很可能正在将个人数据传输到网站上的其他营销工具。 检查您的页面标题和 URL,以确保没有收集任何个人数据。
- 持续合规的其他措施
除了技术方面之外,以下测量对于持续遵守 GDPR 非常重要。
- 在公司中寻找负责数据保护和定期检查 GDPR 合规性的人员。
- 记录并记录您的所有 GDPR 投诉措施并确保所有已填写的同意书的安全
- 定期评估您的数据保护措施
- 培训员工,促进并帮助他们了解个人数据的合规使用和收集
总结
尽管自 2016 年该法案推出以来,围绕 GDPR 的炒作明显减少,但它不应该被遗忘或忽视。 公司可以采取不同的合规措施,从而产生不同程度的合规性。 如何遵守 GDPR 要求取决于各个网站所有者。 然而,遵循建议的提示可以让您更接近 GDPR 合规性。
