WooCommerce:如何使网站符合 GDPR? (12 个步骤)

已发表: 2018-04-10

好的,我们都知道欧盟通用数据保护条例(GDPR)将于 2018 年 5 月 25 日生效。

所以主要问题是:我们需要对我们的 WooCommerce 网站进行哪些更改才能合规? 另一个重要的问题可能是: GDPR 如何影响非欧洲 WooCommerce 网站

在本文中,我将确切地告诉您您需要做什么。 有一百万篇关于 WordPress GDPR 合规性的文章和插件,但没有“终极”博客告诉你应该做什么。

如果您不知道 GDPR 是什么或需要好好复习,请阅读 Wikipedia 的 GDPR 页面或 WooCommerce 官方博客上的“WooCommerce 商店 GDPR 合规性简介”。

我读过的许多博客和参加过的 WordCamp 活动并没有真正给我所需的答案。 我并不特别关心 GDPR 本身,我只想知道我需要在我的 WooCommerce 网站上做什么。

那么,让我们看看您需要进行哪些更改。

请注意:我不是律师,不能保证这篇文章会让您 100% 合规 - 请务必与合格的顾问一起评估您的 GDPR 合规性。

WooCommerce GDPR 合规性:摘要

为了符合 GDPR,您需要审核您的 WooCommerce 网站和营销程序。

请注意:欧盟 GDPR 将影响欧盟内外的企业。 任何与欧盟客户打交道的非欧盟公司都必须遵守 GDPR。

为了在 2018 年 5 月底前实现完全合规,WooCommerce 企业需要:

  1. 告诉用户您是谁、您收集什么数据、为什么收集数据、您保留数据的时间以及哪些第三方接收数据(如果有)
  2. 在收集任何数据之前获得明确的同意
  3. 让用户访问他们的数据
  4. 让用户下载他们的数据
  5. 让用户删除他们的数据
  6. 让用户知道是否发生了数据泄露

如果您不严格遵守这些规则,您最终将被罚款高达 2000 万欧元或全球年营业额的 4%,以较高者为准……

现在,很高兴知道这一点,但实际上最重要的问题是:我需要在我的 WordPress/WooCommerce 网站上进行哪些更改

好吧,我的目标是将 GDPR 翻译成简单的英语和“WordPressian”(我刚刚创建的一种新语言),上面概述的 6 条规则将对以下方面产生影响:

  • WooCommerce 条款和条件(结帐页面)
  • WooCommerce 隐私政策(结帐页面)
  • WooCommerce 用户注册(我的帐户页面)
  • WooCommerce 购物车放弃(结帐页面)
  • WooCommerce 产品评论(单一产品页面)
  • WordPress 评论(博客页面)
  • WordPress 和 WooCommerce 选择加入表格(时事通讯、铅磁铁等)
  • WordPress 联系表格(联系我们页面、小部件等)
  • WooCommerce 分析(谷歌分析、Metorik 等)
  • WordPress 和 WooCommerce 插件和 API(支付、电子邮件营销等)
  • 违规通知

这是相当多的工作……但鉴于我必须为 Business Bloomer 做这件事,为什么不也与您分享呢? 因此,这是我将要采取的 12 个 GDPR 合规步骤,以及作为 WooCommerce 商店所有者应该采取的相同步骤

再次,请与律师或 GDPR 顾问仔细检查,因为我不是这两者。

关于:即将到来的 WordPress 和 WooCommerce GDPR 更改的快速说明

WooCommerce 团队正在努力为给定客户实施数据删除和数据导出(请参阅 GitHub 上的状态),因此我们无需担心这部分。 他们可能会将这些新功能添加到“我的帐户”选项卡中。

此外,WooCommerce 开发团队在 4 月 10 日发布了一篇名为“我们如何在 WooCommerce 核心中处理 GDPR”的文章,我建议您阅读该文章。 他们确认他们正在努力发布对结帐页面的一些改进(主要是关于 T&C 和隐私政策)。

最后,WordPress 本身也在开发新功能(这里是已完成的 GDPR 任务),例如:

  1. 隐私政策生成器
  2. 评论表选择加入
  3. 匿名数据的辅助函数

GDPR 合规步骤 1:WooCommerce 条款和条件

根据 Quora 的文章《隐私政策与条款和条件有什么区别?》,隐私政策是为了告知用户您收集的数据,而条款和条件(也称为 T&C、服务条款或 ToS)包括将客户与您的业务绑定的法律条款和规则。

因此,虽然需要对您的隐私政策进行最大的更改(以及在各处显示此内容,请参阅以下部分),但您还应该根据新的 GDPR 术语和从WooCommerce 结帐。

在我看来,在您的 ToS 中添加一个链接到修订后的隐私政策以及整个个人数据使用文档的段落就足够了。

如果您根本没有 T&C 页面,您可以使用一些在线生成器(谷歌“条款和条件生成器”或“条款和条件模板”),使用 iUbenda 等高级服务,或者查看 T&C 页面流行的电子商务网站获得一些灵感

不用说——你现在肯定需要一个 T&C 页面以及一个用户必须单击的结帐复选框(默认情况下不能“选中”)。

值得庆幸的是,您可以从 WooCommerce 设置( WordPress 仪表板 > WooCommerce > 设置 > 高级 > 页面设置 > 条款和条件 > 选择页面)中做到这一点:

WordPress仪表板> WooCommerce>设置>结帐>条款和条件>选择一个页面

完成此操作后,WooCommerce 结帐将在结帐页面上显示一个复选框,其中包含默认文本和指向您在上一步中选择的 T&C 页面的链接:

WooCommerce 结帐页面:“我已阅读并接受条款和条件”复选框

待办事项清单:

  • 如果没有,请创建 T&C 页面(您可以使用 T&C 生成器或查看流行的电子商务 T&C 页面 - 请记住针对您的特定法律协议完善文档并由律师修改)
  • 在您的条款和条件中添加一个新的 GDPR 段落,链接到您的隐私政策页面
  • 使用 WooCommerce 结帐设置将复选框添加到结帐页面

GDPR 合规性第 2 步:WooCommerce 隐私政策

隐私政策页面是需要大量编辑和文案的页面。 最重要的是,我们需要在结帐页面和其他地方显示隐私政策选择加入消息,例如联系表格和选择加入表格(请参阅以下部分)。

关于隐私政策页面内容,您必须告知用户您收集、存储和使用的数据。

再一次,这里的建议是查看可靠的电子商务网站隐私政策页面,看看他们如何接近新的 GDPR 规则。

当然,您需要涵盖以下内容:

  • 你是谁(公司、地址等)
  • 您收集哪些数据(IP 地址、姓名、电子邮件、电话、地址等)
  • 出于什么原因收集数据(发票、跟踪、电子邮件通信等)
  • 您保留多长时间(例如,出于会计目的,您将发票保留 6 年)
  • 哪些第三方会收到它(MailChimp、Google、CRM 等)
  • 如何下载数据(自动或通过电子邮件发送给数据保护官)
  • 如何删除数据(自动或通过电子邮件发送给数据保护官)
  • 如何就数据相关问题与您联系(指定数据保护官的联系方式,可能是您)

请注意:WordPress 正在开发一个隐私政策文档生成器,所以如果我是你,我会等待更长时间的广告使用他们即将推出的功能(它将被添加到仪表板的“工具”菜单中)以节省时间。

现在您已经编写了隐私政策,您需要在网站的每个页面上显示此内容(页脚中的链接就可以了),并且 - 最重要的是 - 在任何选择加入、用户注册表单上的隐私政策复选框和结帐表格。

根据我在本文中收到的有用评论,用户需要主动“检查”或“同意”隐私政策(与人们对您的 T&C 所做的方式完全相同),因此您必须显示一个复选框(并且您不能预先- 默认情况下选中该复选框)。

那么,如何在结帐页面上添加“隐私政策”复选框? 好吧,在这种情况下,您可以在默认的“我已阅读并接受条款和条件”之上添加第二个复选框

第二个复选框可能会显示“我已阅读并接受隐私政策”之类的内容(或者更人性化的标签,例如“您的个人数据将帮助我们创建您的帐户并支持您在整个网站上的用户体验。请阅读并接受我们的隐私政策文件,您可以在其中找到有关我们如何使用您的个人数据的更多信息”) 。 您可以使用一个简单的 WooCommerce 代码段在结账时添加另一个复选框,包括验证以防客户未选中。

至此,隐私政策工作到此结束。

待办事项清单:

  • 如果您没有或等待 WordPress 发布他们的 PP 生成器,请创建一个隐私政策页面
  • 在隐私政策中添加谁 - 什么 - 如何 - 为什么 - 何时
  • 在页脚中显示指向隐私政策的链接
  • 使用 WooCommerce 代码段在结帐页面上显示隐私政策

GDPR 合规性第 3 步:WooCommerce 用户注册

好的,现在您对 GDPR 有了更熟悉的了解,我们将了解下一个 WooCommerce 网站更改。

WooCommerce“我的帐户”页面有一个带有用户名和密码的注册表单,如果您已从 WooCommerce 设置启用此功能( WordPress 仪表板 > WooCommerce > 设置 > 帐户和隐私 > 在“我的帐户”页面上启用客户注册):

WordPress 仪表板 > WooCommerce > 设置 > 帐户 > 在“我的帐户”页面上启用客户注册

由于这是个人数据,我们需要在前端显示隐私政策复选框,类似于我们在结帐页面上所做的。

还要记住只收集您经营业务所严格要求的信息(更多信息请参见下一节)。

这是一个片段,可让您在 WooCommerce 我的帐户注册表单上添加内容 - 但是,您需要更改“hook”,而不是使用“ woocommerce_register_form_start ”,您可以尝试使用“ woocommerce_register_form_end ”,以便您的 HTML 复选框可以位于下方注册按钮(新!这是添加隐私政策同意的工作片段:https://businessbloomer.com/woocommerce-add-privacy-policy-consent-my-account-registration/)。

待办事项清单:

  • 仔细检查您是否启用了 WooCommerce 我的帐户注册
  • 如果是,请在带有 WooCommerce 代码段的注册表单中添加隐私政策复选框

GDPR 合规性第 4 步:WooCommerce 购物车放弃

这是一个巨大的、超级重要的、受到严重影响的 WooCommerce 功能。 购物车放弃插件未经同意收集电子邮件地址。 事实上,当用户在结账页面并输入她的电子邮件地址而未完成付款时,她“没有时间”勾选并接受条款和条件并阅读隐私政策。

这违反了 GDPR,它需要明确的同意(即勾选一个框)。

希望主要的 Cart Abandonment 插件(YITH 和 Jilt)已经在为此工作,并将为您提供符合 GDPR 的解决方法。

无论哪种方式 - 我担心我们可能需要添加隐私政策链接,或者 - 更糟糕的是 - WooCommerce Checkout 账单电子邮件地址字段下方的复选框。

这是我的想象:

符合 GDPR 的购物车放弃插件的可能解决方案

为了添加该 HTML 内容,我只需使用默认的 WooCommerce 过滤器编辑“billing_email”结帐字段标签。 如果你想试一试,请遵循这个 WooCommerce 教程:https://docs.woocommerce.com/document/tutorial-customising-checkout-fields-using-actions-and-filters/#section-2

另一种选择是启用“多步骤”结帐(尽管这对您的转化率来说很糟糕),您只在第一步中收集电子邮件地址并为用户提供同意结帐。 只有这样,您才能转到第 2 步并让他们完成结帐。

或者您可以从 WooCommerce 设置中“禁用访客结账”。 再一次,你的销售转化率是一个糟糕的主意,但对 GDPR 来说确实是一个非常好的主意……这样,用户将需要创建一个帐户才能继续结帐——因此你可以使用你的购物车放弃策略,而无需麻烦。

待办事项清单:

  • 询问 WooCommerce Cart Abandonment 插件开发人员他们将如何实施 GDPR 合规性

GDPR 合规性第 5 步:WooCommerce 产品评论

啊,产品评论! 在电子商务中,它们真的很重要,不是吗?

当然,评论包含个人数据。 你明白了,你需要用户同意。

避免这种“同意”的一个好方法是只允许购买产品的登录客户发表评论(在WordPress 仪表板 > WooCommerce > 设置 > 产品 > 常规 > 评论只能由“经过验证的所有者”留下):

WordPress 仪表板 > WooCommerce > 设置 > 产品 > 常规 > 评论只能由“经过验证的所有者”留下

这是一个很好的妥协。 客户已经选择加入您的 T&C 和隐私政策,因此如果他们已登录,则无需在产品评论表单中添加任何内容。

如果您允许未登录的非购买者用户进行评论,那就是另一回事了。 不确定您为什么要这样做,但在这种情况下,您需要将隐私政策复选框添加到产品评论表单中。

就那么简单

待办事项清单

  • 在 WooCommerce 设置中勾选“评论只能由“经过验证的所有者”留下”复选框

GDPR 合规性第 6 步:WordPress 评论

如果您的 WordPress 页面和帖子启用了评论,则会出现另一个 GDPR 合规性问题。

通常会提示用户输入他们的姓名、电子邮件地址和网站 URL 以及他们的消息,而无需注册帐户(例如,这发生在 Business Bloomer 上,但在您的情况下,您可能会强制用户注册,在这种情况下您是默认情况下,关于 WordPress 评论符合 GDPR)。

然后,此信息(还包括用户 IP 地址和 cookie,以便在她想提交第二条评论时“记住”用户评论输入字段)存储在 WordPress 仪表板(评论)、WordPress 单个页面和单个帖子(编辑帖子> 评论),当然还有您的 WordPress 数据库

再一次,这非常简单——您需要在“发表评论”表单和“cookies opt-out”中添加隐私政策同意消息

我使用默认的 WordPress 评论,他们正在努力使评论表单 UX 更加流畅和 GDPR 友好。

待办事项清单

  • 使用默认的 WordPress 评论(GDPR 更新即将推出)或选择符合 GDPR 的 WordPress 评论插件
  • 确保在用户提交评论之前显示隐私政策复选框

GDPR 合规性第 7 步:WordPress 和 WooCommerce 选择加入表格

选择加入表单是一种联系表单,用户在其中输入他们的姓名和电子邮件地址(通常)以加入您的电子邮件营销列表(或联系人数据库)

首先,您必须删除您网站上的所有自动选择加入。 默认情况下不得选中所有复选框(默认情况下,“选中”复选框不能表示接受)。

此外,您是否将这些电子邮件地址传递给子公司或其他合作伙伴? 希望不会……

无论哪种方式,用户都必须:

  • 同意
  • 知道为什么需要他们的个人数据(“输入您的电子邮件地址以接收我们的每周通讯”)
  • 只给你相关的信息(加入你的时事通讯,你不需要问出生日期……除非你想在他们生日那天给他们送礼物!在这种情况下,你必须清楚你为什么要那条个人数据
  • 知道如何随时删除/下载数据
  • 知道如何选择退出

通常,选择加入表单与特定软件相关联,例如 Mailchimp。 在这种情况下,Mailchimp 应该在即将发布的插件版本中为您提供“修订的”、符合 GDRP 的选择加入表格

无论您将该电子邮件地址发送给谁,请确保他们是可靠的(Mailchimp、ConvertKit、Aweber 等),并且他们正在积极努力帮助您为 GDPR 做好准备。

待办事项清单

  • 审核您的所有选择加入表格
  • 查看您的选择加入表格/时事通讯/电子邮件营销提供商是否有 GDPR 解决方案
  • 确保在用户选择加入之前显示隐私政策复选框

GDPR 合规性第 8 步:WordPress 联系表

我们中的许多人在我们的联系我们页面和其他 WordPress 页面上使用联系表格 7、忍者表格、重力表格等。

这些表格现在需要隐私政策同意

简而言之,您应该在“提交”按钮附近添加一个复选框(使用上述任何插件都非常简单),以确保用户同意您的隐私政策。

例如,要向联系表 7添加“接受复选框”,请查看 https://contactform7.com/acceptance-checkbox/

待办事项清单

  • 将隐私政策复选框添加到您的所有联系表格
  • 如果联系表单要将个人数据存储在数据库中和/或与电子邮件营销软件相关联,您需要告诉用户您存储数据的原因和位置

GDPR 合规性第 9 步:WooCommerce 分析

上周我写了一篇关于高级 WooCommerce 跟踪的大文章。 无论您使用 Google Analytics、Metorik 还是两者都使用,您都是在未经同意的情况下获取用户数据和使用 cookie 。 这同样适用于 Google AdWords、Facebook 像素和类似内容。

在这种情况下,最好的办法是检查每个提供商的 GDPR 政策,因为他们正在收集数据,而不是您。 您只是将数据传递给他们:“根据 GDPR,如果您使用 Google Analytics,那么Google 就是您的数据处理器 您的组织是数据控制者,因为您可以控制将哪些数据发送到 Google Analytics(分析)“。

据谷歌分析团队称(他们于 2018 年 4 月 11 日向所有账户持有人发送了一封电子邮件):

  • 即使您的用户不在欧洲经济区 (EEA),GDPR 也需要您的关注和行动
  • 他们引入了精细的数据保留控制,允许您管理您的用户和事件数据在我们的服务器上保留多长时间。 Google Analytics 将自动删除早于您选择的保留期的用户和事件数据
  • 在 5 月 25 日之前,Google Analytics 还将推出一个新的用户删除工具,允许您从 Google Analytics 属性中删除与单个用户(例如网站访问者)相关的所有数据
  • GA 仍然致力于为可定制的 cookie 设置、隐私控制、数据共享设置、帐户终止时的数据删​​除和 IP 匿名提供功能
  • 他们还更新了他们作为数据处理器的政策

事实上,我刚刚在我的 GA 帐户中发现了这个新部分:

新 GDPR 部分 @ Google Analytics Admin

此外,如果您使用 Metorik 进行跟踪和报告,请查看他们的“Metorik & GDPR”文章,您将在其中找到详细信息。

待办事项清单

  • 仅使用可靠、符合 GDPR 的跟踪软件
  • 询问软件提供商他们如何处理 GDPR 合规性
  • 添加处理您的跟踪数据的隐私政策

GDPR 合规性第 10 步:WordPress 和 WooCommerce 插件

这是一个非常重要的部分,但我不会让你在这里太久。

这很容易。

插件 _____ 是否获取、读取、存储、使用、编辑、处理、访问用户个人数据?

只需为每个插件问自己这个问题。

如果答案是肯定的:

  • 确保它是一个可靠的插件
  • 确保他们已准备好 GDPR
  • 确保将插件添加到您的隐私政策中可以访问用户数据的“第三方”列表中

如果答案是否定的:

  • 你100%确定吗?
  • 真的,真的确定?
  • 那么好,你不需要做任何事情

GDPR 的美妙之处在于WordPress 生态系统将在数据处理、安全性和透明度方面呈指数级提高

谁知道GDPR实际上是一件好事!

待办事项清单

  • 问自己关于每个插件和主题的“神奇”GDPR 问题
  • 选择符合 GDPR 的插件
  • 丢弃不符合 GDPR 的插件

GDPR 合规性第 11 步:WordPress 和 WooCommerce API

我们之前已经提到过,但是“API”涵盖了很多不同的应用程序。 但首先,API 到底是什么(请用简单的英语)?

API(应用程序编程接口)基本上是“一段代码”,它允许您访问外部软件而无需离开您的网站

API用于在两方之间传输数据。 一个很好的类比是想象一辆公共汽车从一个城市到另一个城市来回行驶,在两点(数据)之间移动人们。 另一个好方法(请允许我对它有点意大利!)是将 API 视为服务员,它可以接受您的比萨订单并让厨房知道您想要什么配料无论哪种方式,API 都是“数据连接器” -私有数据可能会从您的网站传递到另一个软件,反之亦然,因此适用 GDPR。

例子:

  • 借助 Mailchimp API ,用户无需离开您的网站即可加入您的 Mailchimp 列表
  • 借助Stripe API ,用户无需离开您的网站即可使用 Stripe 结账
  • 等等…

Facebook、Twitter、任何类型的第三方软件都可以为您提供 API。 这些 API 将您的 WooCommerce 商店连接到外部世界,将数据传递给它——可能是私人的个人用户数据

只要你知道:

  • 你使用什么 API
  • 发送什么数据
  • 如果 API 符合 GDPR

……那你就可以走了。 像往常一样,您必须将处理用户数据的 API 的详细列表添加到您的隐私政策中。

待办事项清单

  • 审核您的所有 API
  • 丢弃不符合 GDPR 的 API
  • 将 API 添加到您的隐私政策

GDPR 合规第 12 步:违规通知

根据 GDPR,如果您的网站发生数据泄露,则需要立即将其传达给受泄露影响的用户。 必须在 72 小时内发送通知。

顺便说一句,什么是数据泄露

好吧,当个人信息传递到以下位置时会发生这种情况:

  • 未经授权的数据处理者或分包商
  • 不符合 GDPR 的机构
  • 数据主体不知情的第三方
  • 黑客

除此之外,您还需要制定安全数据泄露响应计划和流程

待办事项清单

  • 请保护您的 WordPress/WooCommerce 网站!
  • 订阅您的所有第三方软件/API 提供商,以便您在发生影响您的用户的数据泄露时立即意识到
  • 减少您存储的数据量。 绝妙的解决方法,不是吗?
  • 制定数据泄露应急计划

(新!)GDPR 合规第 13 步:现有 WooCommerce 客户/订阅者的同意

你们中的一个人提出了这个问题,所以我对 GDPR、WooCommerce 以及新的隐私更改是否应该追溯进行了一些研究。

好吧,与此同时,我收到了来自我订阅的各个网站的几封电子邮件——要求我接受他们新的 T&C 和隐私政策。

你可以看到我要去的地方:GDPR 也是追溯性的。 您必须重新联系您现有的所有订阅者、客户、用户,并要求他们主动给予您“同意”,并告诉他们如何下载、删除或访问他们的个人数据。

然而,这似乎完全取决于您在 GDPR 之前如何捕获用户数据:

  1. 提供同意,并以符合 GDPR 的方式询问
  2. 提供了同意,但以不符合 GDPR 的方式询问
  3. 未提供同意

如果您在 2) 或 3) 范围内,您有两种选择:

  • 向现有用户发送电子邮件,要求他们同意您的新政策
  • 删除现有用户(哦,已经完成了!)

如果您当时将 WordPress 用户导入其中,则可以使用您的电子邮件营销平台与现有客户/订阅者联系。

否则,您可以使用导出/导入插件下载 WooCommerce“客户”,甚至使用名为 Metorik 的应用程序来访问您的客户数据库。

你不能再做的营销事情

到目前为止,我们已经看到了您应该做什么……但是到目前为止,有些人在他们的 WordPress/WooCommerce 网站上使用的那些“灰色区域”策略呢?

好吧,这需要停止:

  • 发送不请自来的电子邮件(请不要再购买电子邮件列表)
  • 除非购物者选择加入,否则发送电子邮件(你好,放弃购物车……)
  • 发送未经请求的短信(您也需要同意)
  • 进行任何形式的“阴暗”营销

希望你没有做任何这些 - 没有任何改变。 唯一的区别是你现在会被罚款。 我爱 GDPR

WooCommerce 的 GDPR 合规性:总结

GDPR 并不简单,而且在某种程度上是一个灰色地带。

如果你在欧盟有过数字销售、增值税、cookie 法等方面的经验——你已经知道这很疯狂。 每个会计师都有不同的想法。

你可以期待 GDPR 也是如此。 每个律师、公司、用户都会有不同的想法。 解释将是完全对比的。

所以,与其等待……请采取行动!

为您的 WooCommerce 网站完成步骤 1-12 并获得一些法律建议,无论您是否位于欧盟。 或者至少确保只使用符合 GPDR 的插件和 API,并写下您在过去 20 年中一直推迟的隐私政策……

如果您想为这篇文章做出贡献,请给我有用的链接,纠正我可能写的任何非法内容,请使用下面的评论区。

以下是您可以从中获得灵感的文档:

  • Business Bloomer 条款和条件
  • Business Bloomer 隐私政策(即将推出)

祝 GDPR 顺利!