Du kanske har hört termen ”GDPR” diskuteras på webben. Det är ett ganska hett ämne just nu, särskilt med allt som händer med dataöverträdelser och säkerhet i nyheterna. För att uttrycka det enkelt är GDPR, eller dataskyddsförordningen en integritetslag utformad för att ge medborgarna tillbaka kontroll över deras personuppgifter. Kort sagt, GDPR påverkar hur hela internet hanterar data. Den skrämmande delen är att tidsfristen var förra året (25 maj 2018) och många frågor om GDPR besvärar fortfarande folk:

  1. Vad är exakt GDPR? På lekmans termer
  2. Påverkar GDPR mig?
  3. Vad behöver jag göra för GDPR-överensstämmelse?

Många har en tendens att skjuta upp sådant de inte förstår. Skatter är ett bra exempel. För många av oss har dataskyddsförordningen helt enkelt varit lägre prioritet på våra checklistor. Men GDPR deadlinen har kommit och gåttoch du borde verkligen ta några minuter för att fundera över om du behöver göra några ändringar eller inte i avseendet hur dina affärer och/eller din webbplats fungerar. Om du inte gör det kan det innebära rejäla böter.

Oroa dig inte, vi försöker förklara allt du behöver veta om GDPR nedan, liksom vad du kan göra för att förbereda dig. Men vi är inte advokater, så vi försöker att inte tråka ut dig med alla juridiska detaljer.

GDPR kan verka överväldigande! 😫 Men ett ord av försiktighet, ignorera det inte.Click to Tweet

Observera att det här inlägget endast är avsett för informationsändamål och bör inte anses vara juridisk rådgivning.

Vad är GDPR? På lekmans termer

GDPR står för Allmänna dataskyddsförordningen. Det är en integritetslag som godkändes den 14 april 2016 av Europeiska kommissionen för att skydda alla EU-medborgares rättigheter (28 medlemsstater) och deras personuppgifter. Detta ersätter direktiv 95/46/EG om dataskydd från den 24 oktober 1995 och är mycket mer omfattande än lagen om cookies 2011 (snart ersatt av den nya EU-förordningen om e-privatlivet, som går hand i hand med GDPR). Utbyggnadsplanen för regleringen sattes till två år, och deadline var 25 maj, 2018.

EU:s allmänna dataskyddsförordning (GDPR) är den viktigaste förändringen av lagstiftningen om datasekretess inom 20 årEU GDPR

Om du vill läsa de omfattande officiella PDF-dokumenten i förordningen (11 kapitel, 99 artiklar) rekommenderar vi att du kollar in gdpr-info.eu, eftersom de har allt på en snyggt ordnad webbplats.

Det finns några nyckelord att ha koll på:

Vad är bearbetning?

Om personuppgifter är åtkomliga eller lagrade eller används på något sätt betraktas det som bearbetning. Den fullständiga GDPR-definitionen av bearbetning omfattar alla följande åtgärder som vidtas för personuppgifter som utgör behandling av data: insamling, registrering, organisation, strukturering, lagring, anpassning, ändring, hämtning, samråd, användning, överföring, upplysning, spridning, kombination, inriktning, begränsning, radering eller förstörelse.

Grundprinciper för GDPR

Det finns sju grundläggande principer som gäller för personuppgiftsansvarige under GDPR:

  1. Uppgifter har bearbetats lagligt, rättvist och öppet. Kräver att samtycke ges.
  2. Personuppgifter måste samlas in för ett specifikt, explicit och legitimt syfte och används endast för detta ändamål.
  3. Personuppgifter måste vara adekvata, relevanta och begränsa insamlingen till endast vad som är nödvändigt.
  4. Personuppgifter måste vara korrekta och uppdaterade.
  5. Personuppgifter ska endast hållas i identifierbar form under kortast möjliga tid.
  6. Personuppgifter ska behandlas på ett sådant sätt att de säkerställer datasäkerheten.
  7. Personuppgiftsansvarig ansvarar för att kunna visa att dessa principer följs.

Individuella rättigheter enligt GDPR

Personer med skydd under GDPR (EU-medborgare) har sju rättigheter enligt GDPR som personuppgiftsansvarige måste vara beredd att upprätthålla:

  1. Rätt att bli informerad: Ger en person rätten att veta vilken information som lagras om dem.
  2. En rätt till åtkomst och portabilitet: En person kan begära att deras uppgifter finns i ett enkelt nedladdningsbart format när som helst, samt att använda eller överföra uppgifterna till en annan tjänst. (Artikel 20)
  3. En rätt till rättelse.
  4. Rätt att bli bortglömd: Tillåter en person att begära att deras personliga uppgifter om dem helt raderas (om inte det finns en giltig anledning, till exempel ett banklån). (Artikel 17).
  5. En rätt att begränsa bearbetningen.
  6. En rätt till invändning.
  7. Rätt till rättvis behandling när denne utsätts för automatiserat beslutsfattande och profilering.

Ytterligare GDPR-anteckningar

Tyvärr är inte allt alltid svart eller vitt när det gäller saker som detta, så här är några extra saker att tänka på:

Personuppgifter betyder all information som rör en identifierad eller identifierbar fysisk person (registrerad) En identifierbar fysisk person är en som kan identifieras direkt eller indirekt, särskilt med hänvisning till en identifierare som namn, personnummer, platsdata, en onlineidentifierare (IP-adress eller e-postadress) eller till en eller flera faktorer specifika för den fysiska, fysiologiska, genetiska, mentala, ekonomiska, kulturella eller sociala identiteten hos den fysiska personen; Det kontrollerar också vad som kan göras med personuppgifterna (artikel 4).

Vem påverkar GDPR?

Medan de nya GDPR-förordningarna utformades för att skydda EU-medborgarnas rättigheter, påverkar det i huvudsak alla på webben. Det är rätt, alla! Detta är oavsett varifrån ett företag är etablerat eller där dess online-verksamhet äger rum. Om din webbplats behandlar eller samlar in uppgifter från EU-medborgare måste du följa GDPR-bestämmelserna.

GDPR påverkar alla

GDPR påverkar alla

Här är bara några exempel på webbplatser lokaliserade utanför EU som är påverkade:

Du kan noga se var vi är på väg med det här. Om du inte blockerar all EU-trafik, som de flesta av er förmodligen inte är, din webbplats att omfattas av GDPR-reglerna.

Om du undrar om ditt företag redan är GDPR-kompatibelt, skapade teamet på Mailjet ett användbart GDPR-quiz. Vi rekommenderar också att du kollar in GDPR Checklistan.

Konsekvenser av att inte överensstämma med GDPR

Enligt data.verifiedjoseph, den 20 mars 2019, är fortfarande 1,129 webbplatser fortfarande inte tillgängliga i Europeiska unionen efter att GDPR har trätt i kraft. 😱 Många av dessa inkluderar stora nyhetsorganisationer.

Varför? Eftersom de inte har kunnat följa de tekniska implementeringarna av GDPR och därför inte vill ha böter. Så de har helt enkelt blockerat trafik från EU helt och hållet.

Om din verksamhet inte överensstämmer med GDPR kan du få sanktioner upp till 4 % av den årliga världsomfattande omsättningen eller böta upp till 20 miljoner euro (den högsta av de två) per överträdelse. Det finns också olika nivåer av böter. Ett företag kan exempelvis böta 2 % för att inte ha sina register i ordning, inte anmäla tillsynsmyndigheten och den registrerade om en överträdelse, eller inte genomföra en konsekvensbedömning. (Artikel 83)

I januari 2019, slog franska datasäkerhetsvakt till Google med böter på 57 miljoner dollar i enlighet med GDPR. Och i februari 2019, hard et varit över 59,000 rapporterade dataöverträdelser och 91 bötfällningar.

Kolla in GDPR böter-tracker på Sekrettess för den senaste statistiken. Uppenbart är, att om du är en liten e-handelsbutik eller WordPress-utvecklare, kan dessa böter vara förödande för din verksamhet!

Hur du gör din WordPress-webplats GDPR-kompatibel

Nu är det dags för vad som antagligen är orsaken till att du läser det här inlägget, och det är hur du gör din WordPress-webbplats GDPR-kompatibel. Oturligt nog, till skillnad från våra vanlig tutorials, kan vi inte ge dig en enkel steg-för-steg-tutorial som är kompatibel för varje sajt. Men här finns förslag på att komma på rätt spår, liksom ytterligare saker att vara medvetna om.

1. Anlita en advokat

Om du har några frågor om GDPR-överensstämmelse (vilket de flesta av er antagligen gör) rekommenderar vi alltid att anställa en advokat, även om det bara är tillfälligt. Det här är ett av de områden som vi uppmanar dig att inte försöka ta itu med på egen hand. En advokat kan ge dig juridisk rådgivning som är skräddarsydd för din situation. Om du gör fel, kan det leda till rejäla böter.

2. Granska ditt datainsamlings och bearbetningsflöde

Vi rekommenderar att du går igenom hela WordPress-webbplatsen och avgör var datainsamling och bearbetning sker, och där den informationen lagras och hur länge. Detta inkluderar saker som:

När du har pekat ut alla dessa måste du bekräfta att du frågar efter besökarens tillåtelse samt att avslöja hur data som samlas in används.

3. GDPR-projectet har blivit sammanslaget med WordPress Core för utvecklare

Dejlig Lama & Peter Suhm började ursprungligen arbeta på ett projekt som heter GDPR för WordPress. Detta skulle ge pluginutvecklare en enkel lösning att GDPR- validera deras plugin och erbjuda webbplatsadministratörer översikt och verktyg för att hantera de administrativa uppgifterna som är inblandade i att vara GDPR-kompatibel. Hur som helst, de goda nyheterna är att det här nu har blivit en del av WordPress core.

För att se vad som gjorts kan du kolla in GDPR Trac tickets samt karta för GDPR överenstämmelse. Detta var lika viktigt för WordPress-användare som det var för utvecklare, eftersom GDPR-överensstämmelse är en tvåvägsgata. WordPress-användare behövde nya funktioner inbyggda i plugins som de redan använde som kryssrutor, instruktioner, etc. för att se till att de är kompatibla när de samlar in data.

Med Gutenberg och nu dessa GDPR-ändringar, finns det mycket nytt på gång för WordPress 5.0.

4. Uppdatera alla juridiska dokument

Med GDPR är det dags att uppdatera dina villkorssidor, sekretess-sidor, affiliate-villkor samt andra juridiska dokument eller avtal som du kanske har. Du kan inte längre ha formulär utan kryssrutor, om de inte faller under laglig bearbetning. Med andra ord måste det finnas ett sätt för användaren att uttryckligen samtycka. Borta är dagarna då villkor kunde slängas in i en länk längs ner och förutsätta att användaren kommer att läsa dem.

Villkoren för samtycke har stärkts och företagen kommer inte längre att kunna använda långa oläsliga villkor som är fulla av juridisk jargon, eftersom begäran om samtycke måste ges på en begriplig och lättillgänglig form, med syftet med databehandling som är kopplad till det samtycket. Samtycke måste vara tydligt och urskiljbart från andra frågor och tillhandahållet på en begriplig och lättillgänglig form, med tydligt och vanligt språk. Det måste vara lika lätt att återkalla samtycke som det är att ge det. (Källa: EU GDPR)

Återigen är det här ett område som vi rekommenderar att kalla in en advokat. Om du bara driver en enkel blogg, använd åtminstone ett verktyg som iubenda eller något som liknar det för att skapa starkare sekretesspolicy.

En ny integritetssidfunktion har lagts till i WordPress 4.9.6. Du kan nu ange en sekretess-sida på din webbplats och den kommer att visas på dina inloggnings- och registreringssidor. Vi rekommenderar också att du lägger den i din sidfot.

WordPress sekretess-sida

WordPress sekretess-sida

Här är ett exempel på den vanliga sekretesspolicysidan som nu genereras av WordPress. Detta ska användas som en mall och/eller utgångspunkt, den kommer inte att ha allt som din webbplats behöver.

Privacy Policy page example in WordPress

Exempel på sekretesspolicysida i WordPress

5. Erbjud dataportabilitet

Enligt Art. 20, måste alla företag som samlar in uppgifter också erbjuda möjligheten för användaren att ladda ner dem och ta/överföra uppgifterna någon annanstans.

Den registrerade har rätt att ta emot personuppgifter om sig, som hen har lämnat till en personuppgiftsansvarig, i ett strukturerat, allmänt använt och maskinläsbart format och har rätt att överföra dessa uppgifter till en annan personuppgiftsansvarig utan hinder från den personuppgiftsansvarig till vilken personuppgifterna har lämnats.

Se till att du har ett system på plats för att ge en användare en nedladdningsbar fil av deras data om det behövs (.csv,.xml, etc). Om du inte kan erbjuda det här, kanske du vill anställa en WordPress-utvecklare.

Nya funktioner avseende datahantering har lagts till i WordPress 4.9.6. Webbplatsägare kan nu exportera en ZIP-fil som innehåller en användares personuppgifter samt radera en användares personuppgifter. Det finns också en ny e-postbaserad metod som de kan använda för att bekräfta personuppgifter.

WordPress exportera personuppgifter

WordPress exportera personuppgifter

6. Självcertifiera under Privacy Shield Framework

På grund av det faktum att många webbplatser samlar in data från hela världen och med hårdare begränsningar av personuppgifter, certifierar många företag nu enligt EU-USA och Schweiz-USA Privacy Shield Framework. Dessa utformades av det amerikanska handelsdepartementet och Europeiska kommissionen och Schweiziska förvaltningen för att ge företagen på båda sidor av Atlanten en mekanism för att uppfylla kravet på dataskydd vid överföring av personuppgifter från Europeiska unionen och Schweiz till USA till stöd för transatlantisk handel.

Läs mer om fördelarna med att självcertifiera under Privacy Shield.

7. Encrypt Your Data / HTTPS

När det gäller kryptering finns det olika delar för detta: kryptering av din webbtrafik (HTTPS) och kryptering där dina uppgifter lagras. Vi rekommenderar alltid att du krypterar din webbtrafik, oavsett GDPR. Fördelarna med att flytta till HTTPS överväger väsentligt nackdelarna och det är dit webben är på väg.

Termen kryptering i sig nämns faktiskt bara några gånger i GDPR och är inte nödvändigtvis obligatorisk.

För att upprätthålla säkerheten och för att förhindra bearbetning i strid med denna förordning bör den personuppgiftsansvarige eller personuppgiftsbiträdet utvärdera de risker som är förknippade med behandlingen och genomföra åtgärder för att mildra dessa risker, såsom kryptering (skäl 83).

Så medan det verkar som att kryptering inte är juridiskt nödvändigt för att följa GDPR, rekommenderas det, eftersom du är ansvarig för uppgifter. Om du använder en WordPress-värd som Kinsta, drivs vi av Google Cloud Platform, vilket innebär att all data krypteras vid vila. Läs mer om GDPR-kryptering.

8. Kontrollera dina WordPress-teman, plugins tjänster, API

Eventuella WordPress-plugin eller temaspecifika funktioner som du har installerat som samlar in eller lagrar personuppgifter måste uppdateras för att din webbplats ska vara fullständigt GDPR-överensstämmande. Om du är en WordPress-utvecklare, borde du förhoppningsvis redan ha en plan för att implementera GDPR-ändringar för användare. Om du är en WordPressutvecklare, förhoppningsvis, har du redan gjort förändringar i GDPR för användarna. Vi inkluderar några populära plugins och configurationer nedan, tillsammans med direktlänkar till hur de hanterar GDPR.

Kontaktformulär

Ett av de enklaste sätten att följa GDPR är att helt enkelt lägga till en obligatorisk kryssruta i ditt kontaktformulär som tillåter användaren att samtycka till att de inlämnade uppgifterna samlas in och lagras. Den viktiga delen här är dock ”lättast”. Inte alla kontaktformulär behöver nödvändigtvis samtycke. Detta kan falla under vad som kallas laglighet av bearbetning.

Contact Form 7 GDPR

Contact Form 7 GDPR

Kolla in ytterligare WordPress kontaktformulärsplugin.

Kommentarsplugin

Även kommentarsplugin samlar in personuppgifter. Så, precis som med kontaktformulär, är ett av de enklaste sätten att se till att du överensstämmer att lägga till en kryssruta med samtycke. Men igen kan detta falla under vad som kallas laglighet av bearbetning.

En kryssruta för samtycke har nyligen lagts till i inbyggda kommentarer i den senaste WordPress 4.9.6-sekretess- och underhålls-releasen (se nedan).

WordPress inbyggda kommentarer GDPR

WordPress inbyggda kommentarer GDPR

Marknadsföringsprogram och tjänster

Alltifrån plugins för nyhetsbrev, undersöknings plugins, quiz plugins, push notifications plugins, och din mjukvara för email-marknadsförings är påverkad av GDPR.

Analytics, Spårning, Återannonsering

Eventuell tredjepartstjänst eller plugin som samlar in data. Det här inkluderar saker som Google Analytics, A/B-testplugins, värmekartstjänster, återannonseringsplattformar, etc. I fråga om Google Analytics kan det vara en rekommendation att anonymisera IP.

Anonymisera IP i Google Analytics

Anonymisera IP i Google Analytics

Från och med april lanserade Google en ny lagringsinställning för Google Analytics. Dessa kontroller ger dig möjligheten att ställa in tiden innan användarnivå och händelsesnivå-uppgifter som lagras av Google Analytics raderas automatiskt från Analytics-servrar. Du kan få tillgång till dessa inställningar under Admin → Egendom → Spårinfo → Datalagring.

Kämpar du med driftstopp och WordPress-problem? Kinsta är hosting-lösningen som är utformad för att spara tid! Kolla in våra funktioner
Google Analytics datalagring

Google Analytics datalagring

Behöver du en cookieförfrågan om du bara använder Google Analytics-rapportering och inte visar annonsering? Det beror på. Kolla in det här bra inlägget från Jeff på GDPR-överensstämmelse med Google Analytics – behöver du cookie-godkännande?

e-handelslösningar och betalningsprocessorer

Alla typer av WordPress eCommerce-lösningar påverkas naturligtvis kraftigt av GDPR, eftersom de samlar försäljningsdata, personuppgifter, användarkontodata och har integreringar med tredje parts betalningsoperatörer.

Utöver dokumentationen ovan rekommenderar vi också att du kollar in det här bra blogginlägget på 12 sätt att göra din WooCommerce-webbplats GDPR-kompatibel.

Community-Plugin

Community-plugin, forumplugin och medlemskapsplugin lagrar många gånger ytterligare personlig information bortsett från den integrerade WordPress registreringsprocessen.

API:er från tredje part

Även API-er från tredje part samlar in data. Ett bra exempel på detta är Google Teckensnitt. De flesta använder förmodligen Google Teckensnitt, oavsett om det är inbakat i ditt WordPress-tema eller du manuellt lagt till dem. Du måste verkligen titta på varje API och ta reda på uppgifter som leverantören samlar in. I vissa fall tillåts datainsamling för laglig grund utan samtycke (skäl 49).

Det kan vara mycket arbete och rent sagt förvirrande eftersom vissa företag, även Google, kanske inte ger enkla ja eller nej-svar. Kolla in den här konversationen mellan utvecklare om huruvida Google-teckensnitt är GDPR-kompatibla eller inte. Du kan alltid hosta dina Google-teckensnitt lokalt på din egen CDN och detta löser problemet.

Vi kommer uppdatera det här inlägget eftersom vissa WordPress-pluginutvecklare för närvarande arbetar med att lägga till funktioner för GDPR-överensstämmelse. Eller ännu mer skrämmande, många har inte ens börjat än. Om du har problem angående ett plugin som du har kört, kolla med utvecklaren direkt för att se hur de planerar att hantera GDPR.

Laglighet av bearbetning

Samtidigt som att enkelt fråga efter samtycke som visas ovan är det enklaste sättet att följa GDPR, det är inte det enda sättet. I vissa fall är databehandling tillåtet utan samtycke på grund av termen som kallas laglighet av bearbetning. Här är några exempel:

Avtalsenlig nödvändighet

Databehandling är tillåten om det är nödvändigt för utförandet av ett kontrakt som den registrerade är part i eller för att vidta åtgärder på begäran av den registrerade innan kontrakt ingås (artikel 6.1 b)

Legitimate Interest

Databehandling är tillåten när det är nödvändigt med hänsyn till de legitima intressen som personuppgiftsansvarige eller en tredje part eftersträvar, utom när sådana intressen överträtts av de registrerades intressen eller grundläggande rättigheter och friheter som kräver skydd av personuppgifter i särskilt där den registrerade är ett barn. (Artikel 6 (1) f)

Anm: Detta gäller inte för bearbetning som utförs av myndigheter vid utförandet av sina uppgifter.

För ytterligare exempel rekommenderar vi att du kollar in posten på rättslig grund för bearbetning av White & Case LLP.

Användbara GDPR WordPress-plugin

Nedan följer några användbara plugins som vi rekommenderar att du kollar upp som kan hjälpa till:

WP GDPR Compliance

WP GDPR Compliance

Vi byggde vår egen WordPress-plugin för Cookiesamtycke

På grund av att varje verksamhet och webbplats är olika är det nästan omöjligt för en tredjeparts plugin att garantera laglig kompabilitet.

Det är just därför det slutade med att vi byggde vår egen plugin för GDPR-cookies. På så sätt kan besökare på vår webbplats enkelt anpassa allt baserat på de skript och cookies vi har kört. Detta säkerställer att vi är fullständigt GDPR-kompatibla.

Anpassad WordPress-plugin för cookie-samtycke

Anpassad WordPress-plugin för cookie-samtycke

Vi delade upp våra cookies i tre kategorier: Nödvändiga cookies (vilka laddas som standard, men samlar inte in PII), analyskakor och marknadsföringskakor. En användare kan klicka på var och en och välja separat om de vill acceptera dem eller inte.

Cookieinställningar

Cookieinställningar

Vi kommer att skriva ett bloigginlägg om hur vi byggde den här lösningen, så hall dig uppdaterad! I annat fall kan du alltid hyra en WordPressutvecklare som bygger en specifikt för din sidas behov.

GDPR-granskning

Bortom förvirrad? 😦 Oroa dig inte, GDPR kan vara mycket att sätta i huvudet och det är en enorm förändring när det gäller personuppgiftsinsamling. Om du är orolig för din egen WordPress-webbplats kan det vara klokt att investera i en GDPR-granskning av en expert, helst en som bara arbetar med WordPress. Vi rekommenderar att du testar GDPR Audit från GreyCastle Security.

Changes Kinsta Made for GDPR

På grund av det faktum att Kinsta är baserat i Europa har vi från början haft hårdare restriktioner på våra data. Men som alla företag behöver göra, var vi tvungna att se över alla våra policyer med vårt juridiska team gällande databehandling, insamling och lagring.

Som du såg ovan, inkluderade det här att se på vår WordPress-sajt och bygga vår egen cookie-samtyckeslösning för att säkerställa att vi var fullt kompatibla vid deadline.

Kinsta använder Google Cloud Platform som är helt engagerad i GDPR och vi har granskat alla våra tredjeparts leverantörer och integrationer för att ordna liknande GDPR-klara databehandlingsavtal.

Några förändringar som vi har genomfört inkluderar:

Som Kinsta-klient refereras du som personuppgiftsansvarig. Det innebär att du är ansvarig för att genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och visa att alla databehandling utförs i enlighet med GDPR.

Sammanfattning

Som du antagligen har förstått är GDPR en riktigt stor grej! Det påverkar nästan varje WordPress-webbplats på webben. Fristen har kommit och gått, därför uppmuntrar vi alla att ta sig tid, göra sina efterforskningar och se till att din webbplats är helt kompatibel. Om du inte gör det kan du råka ut för några ganska höga böter!

Har du några frågor om GDPR och WordPress? Släpp dem nedan i kommentarerna. Eller om du vet om ett annat populärt WordPress-plugin som redan är GDPR-kompatibelt, meddela oss det och vi lägger till det ovan!


Om du tyckte om den här artikeln, då kommer du att älska Kinsta´s hosting-plattform. Effektivisera din hemsida och få support dygnet runt från vårt rutinerade team på WordPress. Vår Google Cloud-drivna infrastruktur fokuserar på auto-skalning, prestanda och säkerhet. Lås oss visa dig skillnaden med Kinsta! Kolla in våra paket