Bạn đang bối rối bởi GDPR và không biết liệu quy định này sẽ ảnh hưởng như thế nào đến trang web WordPress của mình? GDPR (Quy định bảo vệ dữ liệu chung) là quy định mới của Liên minh châu Âu mà bạn có thể đã nghe nói tới. Trong bài viết này, chúng tôi sẽ giải thích về GDPR và những thứ bạn cần biết về tuân tuân thủ GDPR trên trang web WordPress(không có nội dung pháp lý phức tạp).
Tuyên bố miễn trừ trách nhiệm: Chúng tôi không phải là luật sư. Những nội dung trong bài viết này chỉ dùng cho mục đích tham khảo.
Để giúp bạn tóm tắt nội dung, chúng tôi đã tạo một bảng nội dung bên dưới:
Các nội dung chính
- GDPR là gì
- Các yêu cầu về tuân thủ GDPR
- Trang web WordPress có nên tuân thủ GDPR không?
- Các khu vực trên trang web Website bị ảnh hưởng bởi tuân thủ GDPR
- Các plugin WordPress hàng đầu tuân thủ GDPR
GDPR là gì?
Quy định bảo vệ dữ liệu chung (GDPR) là một quy định của Liên minh châu Âu (EU) có hiệu lực từ ngày 25 tháng 5 năm 2018. Mục tiêu của GDPR là cung cấp cho công dân EU quyền kiểm soát dữ liệu cá nhân của họ và thay đổi cách tiếp cận quyền riêng tư của dữ liệu của các tổ chức trên toàn thế giới.
Bạn có thể nhận được hàng tá email từ các công ty như Google và những công ty khác liên quan đến GDPR, chính sách bảo mật mới của họ và hàng loạt các nội dung pháp lý khác. Đó là vì EU đã đưa ra các hình phạt nặng cho những người không tuân thủ.
Phạt tiền
Về cơ bản, sau ngày 25 tháng 5 năm 2018, các doanh nghiệp không tuân thủ GDPR có thể phải đối mặt với khoản tiền phạt lớn tương đương 4% doanh thu toàn cầu hàng năm của công ty HOẶC 20 triệu euro (tùy theo mức nào cao hơn). Đây chính là lý do gây ra sự hoảng loạn trên diện rộng giữa các doanh nghiệp trên khắp thế giới.
Điều này đưa ra một câu hỏi lớn mà bạn có thể nghĩ đến:
Trang web WordPress của tôi có phải tuân thủ GDPR không?
Câu trả lời là CÓ. Quy định này áp dụng cho mọi doanh nghiệp từ lớn đến nhỏ trên toàn thế giới (không chỉ trong Liên minh châu Âu).
Nếu trang web của bạn có người dùng truy cập từ các quốc gia thuộc Liên minh Châu Âu thì trang web của bạn phải áp dụng quy định này.
Nhưng đừng hoảng loạn, điều này không có gì quá đáng sợ.
Mặc dù GDPR có khả năng khiến cho một doanh nghiệp phải đối mặt với một mức phạt cao nhưng quy định này sẽ bắt đầu bằng một cảnh báo, sau đó là khiển trách, rồi đến tạm ngưng xử lý dữ liệu và nếu bạn tiếp tục vi phạm thì sẽ phải nhận một khoản phạt lớn.
Liên minh Châu Âu EU không phải là một chính phủ xấu xa ra tay đàn áp bạn. Mục tiêu của họ là bảo vệ người tiêu dùng, những người bình thường như bạn và chúng tôi khỏi việc xử lý dữ liệu/vi phạm một cách liều lĩnh bởi vì những điều này đang vượt khỏi tầm kiểm soát.
Điều có lợi nhất theo quan điểm của chúng tôi là thu hút sự chú ý của các công ty lớn như Facebook và Google. Vì vậy quy định này KHÔNG được bỏ qua. Hơn nữa, điều này khuyến khích các công ty thực sự chú trọng hơn vào việc bảo vệ quyền của người dùng.
Khi bạn hiểu những yêu cầu của GDPR và luật pháp thì bạn sẽ nhận ra rằng quy định này không hề điên rồ. Chúng tôi cũng sẽ chia sẻ các công cụ/mẹo để làm cho trang web WordPress của bạn tuân thủ GDPR.
Các yêu cầu về tuân thủ GDPR?
Mục tiêu của GDPR là bảo vệ thông tin nhận dạng cá nhân (PII) của người dùng và giúp các doanh nghiệp đạt đến một tiêu chuẩn cao hơn khi nói đến việc họ thu thập, lưu trữ và sử dụng dữ liệu này.
Dữ liệu cá nhân bao gồm: tên, email, địa chỉ vật lý, địa chỉ IP, thông tin sức khỏe, thu nhập, vv…
Mặc dù quy định của GDPR dài tới 200 trang nhưng dưới đây là những quy định quan trọng nhất mà bạn cần biết:
Đồng thuận cá nhân minh bạch – nếu bạn thu thập dữ liệu cá nhân từ một cư dân EU thì phải được sự đồng ý rõ ràng và cụ thể. Nói cách khác, bạn không thể gửi email không mong muốn tới những người đã đưa cho bạn danh thiếp của họ hoặc điền vào contact form trên trang web của bạn vì họ KHÔNG chọn đăng ký nhận email marketing của bạn (còn gọi là SPAM và bạn không nên làm điều đó).
Để được coi là sự đồng ý minh bạch, bạn phải yêu cầu chọn tham gia tích cực (nghĩa là không có hộp kiểm được đánh dấu trước), chứa từ ngữ rõ ràng (không có luật pháp) và tách biệt với các điều khoản & điều kiện khác.
Quyền đối với Dữ liệu – bạn phải thông báo cho các cá nhân về vị trí, lý do và cách dữ liệu của họ được xử lý/lưu trữ. Một cá nhân có quyền tải xuống dữ liệu cá nhân của họ hoặc cũng có quyền bị lãng quên (họ có thể yêu cầu xóa dữ liệu của mình).
Điều này sẽ đảm bảo rằng khi bạn nhấn Unsubscribe hoặc yêu cầu các công ty xóa hồ sơ của mình thì họ thực sự làm điều đó. Tôi đã chờ công ty Zenefits xóa tài khoản của tôi trong 2 năm và hi vọng rằng họ ngừng gửi email chỉ vì tôi đã phạm sai lầm khi dùng thử dịch vụ của họ.
Thông báo vi phạm – các tổ chức phải báo cáo một số loại vi phạm dữ liệu nhất định cho các cơ quan có liên quan trong vòng 72 giờ, trừ khi vi phạm được coi là vô hại và không gây rủi ro cho dữ liệu cá nhân. Tuy nhiên, nếu vi phạm có rủi ro cao thì công ty PHẢI thông báo cho các cá nhân đã bị ảnh hưởng ngay lập tức.
Điều này sẽ ngăn chặn việc che đậy không được tiết lộ (như Yahoo) cho đến khi mua lại.
Nhân viên bảo vệ dữ liệu – nếu bạn là một công ty công cộng hoặc xử lý một lượng lớn thông tin cá nhân thì cần chỉ định một nhân viên bảo vệ dữ liệu. Các doanh nghiệp nhỏ không cần thiết phải làm việc này. Bạn có thể tham khảo ý kiến của một luật sư nếu còn thắc mắc hoặc nghi ngờ.
Nói một cách dễ hiểu, GDPR đảm bảo rằng các doanh nghiệp không thể spam người dùng bằng cách gửi các email mà họ không yêu cầu. Các doanh nghiệp cung không thể bán dữ liệu cho người khác mà không có sự chấp thuận của họ Các doanh nghiệp phải xóa tài khoản người dùng và hủy đăng ký tài khoản đó khỏi danh sách email nếu người dùng yêu cầu. Các doanh nghiệp phải báo cáo vi phạm dữ liệu và phải làm tốt hơn về việc bảo vệ dữ liệu.
Trên lý thuyết thì điều này vô cùng lý tưởng.
Do đó, bạn có thể tự hỏi mình cần làm những gì để đảm bảo rằng trang web WordPress của bạn tuân thủ GDPR.
Điều này phụ thuộc vào trang web cụ thể của bạn (chúng tôi sẽ nói nhiều hơn về điều này sau).
Bây giờ chúng tôi sẽ trả lời câu hỏi được người dùng hỏi nhiều nhất:
Trang web WordPress có nên tuân thủ GDPR?
Có, kể từ WordPress 4.9.6, phần mềm chính của WordPress phải tuân thủ GDPR. Nhóm nòng cốt của WordPress đã thêm một số cải tiến GDPR để đảm bảo rằng WordPress tuân thủ GDPR. Điều quan trọng cần lưu ý là khi nói về WordPress, chúng ta sẽ nói về WordPress.org self-hosted (xem sự khác biệt giữa WordPress.com và WordPress.org).
Do tính chất năng động của các trang web nên không một nền tảng, plugin hay giải pháp duy nhất nào có thể cung cấp tính tuân thủ 100% GDPR. Quá trình tuân thủ GDPR sẽ thay đổi dựa trên loại trang web bạn dùng, dữ liệu bạn lưu trữ và cách bạn xử lý dữ liệu trên trang web của mình.
Theo mặc định, WordPress 4.9.6 hiện có các công cụ tăng cường GDPR sau:
Bình luận đồng ý
Theo mặc định, WordPress được sử dụng để lưu trữ tên người bình luận, email và trang web dưới dạng cookie trên trình duyệt của người dùng. Điều này giúp người dùng dễ dàng để lại nhận xét trên các blog yêu thích của họ vì các trường đó đã được điền trước.
Do yêu cầu đồng ý tuân thủ GDPR, WordPress đã thêm hộp kiểm đồng ý bình luận. Người dùng có thể rời khỏi bình luận mà không cần kiểm tra hộp này. Điều này có nghĩa là họ sẽ phải tự nhập tên, email và trang web của mình mỗi khi họ rời bình luận.
Update: Nếu giao diện của bạn không hiển thị hộp kiểm bảo mật bình luận thì vui lòng đảm bảo rằng bạn đã cập nhật lên WordPress phiên bản mới nhất của giao diện. Ngoài ra, bạn cần đăng xuất khi kiểm tra xem hộp kiểm có ở đó hay không.
Nếu hộp kiểm vẫn không hiển thị thì giao diện của bạn có thể ghi đè lên form nhận xét mặc định của WordPress. Dưới đây là hướng dẫn về cách thêm hộp kiểm bảo mật bình luận GDPR trong giao diện WordPress của bạn.
Xuất dữ liệu và xóa tính năng
WordPress cung cấp cho chủ sở hữu trang web khả năng tuân thủ các yêu cầu xử lý dữ liệu GDPR và tôn trọng yêu cầu của người dùng trên mạng để xuất và xóa dữ liệu cá nhân của người dùng.
Các tính năng xử lý dữ liệu có thể được tìm thấy trong menu Tools ở trang quản trị WordPress.
Chính sách bảo mật quyền riêng tư
WordPress có một trình tạo chính sách bảo mật tích hợp. Tính năng này cung cấp một template chính sách quyền riêng tư được tạo sẵn cũng như cung cấp hướng dẫn cho bạn thêm những nội dung nào khác để minh bạch hơn với người dùng về dữ liệu bạn lưu trữ và cách bạn xử lý dữ liệu của họ.
Ba điều này đủ để tạo một blog WordPressR mặc định tuân thủ GDPR. Tuy nhiên, rất có thể trang web của bạn có các tính năng bổ sung cũng cần phải tuân thủ.
Các khu vực trên trang web của bạn bị ảnh hưởng bởi GDPR
Là chủ sở hữu trang web, có thể bạn đang sử dụng các plugin WordPress khác nhau để lưu trữ hoặc xử lý dữ liệu như contact form, analytics, email marketing, cửa hàng trực tuyến, trang web thành viên, vv…
Tùy thuộc vào plugin WordPress bạn đang sử dụng trên trang web của mình, bạn sẽ cần phải hành động phù hợp để đảm bảo rằng trang web của bạn tuân thủ GDPR.
Google Analytics
Bạn có thể sử dụng Google Analytics để lấy số liệu thống kê trang web. Điều này có nghĩa là bạn có thể thu thập hoặc theo dõi dữ liệu cá nhân như địa chỉ IP, ID người dùng, cookie và các dữ liệu khác để phân tích hành vi. Để tuân thủ GDPR, bạn cần thực hiện một trong những điều sau đây:
- Ẩn danh dữ liệu trước khi lưu trữ và bắt đầu xử lý
- Thêm lớp bảo mật vào trang web có thông báo về cookie và yêu cầu người dùng đồng ý trước khi theo dõi
Cả hai điều này đều rất khó thực hiện nếu bạn chỉ dán mã code Google Analytics thủ công trên trang web của mình. Tuy nhiên, nếu bạn sử dụng MonsterInsights, plugin Google Analytics phổ biến nhất cho WordPress thì sẽ giải quyết được vấn đề này.
Họ đã phát hành một addon tuân thủ quy định của lien minh châu Âu EU giúp tự động hóa quy trình trên. MonsterInsights cũng có một bài đăng blog rất hay về tất cả những gì bạn cần biết về GDPR và Google Analytics (đây là phần nên đọc nếu bạn sử dụng Google Analytics trên trang web của mình).
Contact Forms
Nếu bạn đang sử dụng contact form trong WordPress thì sẽ cần phải thêm các biện pháp minh bạch bổ sung đặc biệt nếu đang lưu trữ các mục entry form hoặc sử dụng dữ liệu cho mục đích marketing.
Dưới đây là những nội dung bạn cần xem xét để tạo contact form WordPress tuân thủ GDPR:
- Nhận được sự đồng ý một cách minh bạch từ người dùng để lưu trữ thông tin của họ.
- Nhận được sự đồng ý một cách minh bạch từ người dùng nếu bạn dự định sử dụng dữ liệu của họ cho mục đích marketing (nghĩa là thêm họ vào danh sách email của bạn).
- Vô hiệu hóa cookie, tác nhân người dùng và theo dõi IP cho các form.
- Đảm bảo bạn có thỏa thuận xử lý dữ liệu với các nhà cung cấp form nếu đang sử dụng giải pháp form SaaS.
- Tuân thủ các yêu cầu xóa dữ liệu.
- Vô hiệu hóa lưu trữ tất cả các mục entry form (Điều này hơi cực đoan và GDPR không bắt buộc). Có lẽ bạn không nên làm điều này trừ khi bạn biết chính xác những gì mình đang làm.
Điểm đáng chú ý là nếu bạn đang sử dụng các plugin WordPress như WPForms, Gravity Forms, Ninja Forms, Contact Form 7, vv… thì sẽ không cần một thỏa thuận xử lý dữ liệu vì các plugin này KHÔNG lưu trữ các mục entry form trên trang web của họ. Mục entry form của bạn được lưu trữ trong cơ sở dữ liệu WordPress.
Chỉ cần thêm một box kiểm tra đồng ý cần thiết với lời giải thích rõ ràng để tạo các form WordPress tuân thủ GDPR.
WPForms đã thêm một số cải tiến GDPR dễ dàng thêm trường đồng ý GDPR, tắt cookie người dùng, vô hiệu hóa bộ sưu tập IP của người dùng và vô hiệu hóa các mục entry chỉ bằng một cú nhấp chuột.
Lưu ý: Chúng tôi đã tạo một hướng dẫn từng bước về cách tạo form tuân thủ GDPR trong WordPress.
Các form chọn tham gia marketing qua Email
Tương tự như contact form, nếu bạn có bất kỳ form chọn tham gia marketing qua email nào như popups, floating bars, form nội tuyến và các form khác thì bạn cần đảm bảo rằng bạn đang thu thập sự đồng ý minh bạch từ người dùng trước khi thêm họ vào danh sách của bạn.
Điều này có thể được thực hiện với một trong hai nội dung sau:
- Thêm hộp kiểm mà người dùng phải nhấp trước khi chọn tham gia
- Chỉ cần yêu cầu gấp đôi cho danh sách email của bạn
Các giải pháp tạo khách hàng tiềm năng hàng đầu như OptinMonster đã thêm các hộp kiểm đồng ý GDPR và các tính năng cần thiết khác để giúp các form đăng ký email của bạn tuân thủ GDPR. Bạn có thể đọc thêm về các chiến lược GDPR cho các nhà marketing trên blog OptinMonster.
WooCommerce/Thương mại điện tử
Nếu bạn sử dụng WooCommerce, plugin Thương mại điện tử phổ biến nhất cho WordPress thì cần đảm bảo rằng trang web của bạn tuân thủ GDPR.
Nhóm WooCommerce đã chuẩn bị một hướng dẫn toàn diện cho chủ cửa hàng để giúp họ tuân thủ GDPR.
Quảng cáo Retargeting
Nếu trang web của bạn đang chạy retargeting pixels hoặc quảng cáo retargeting cần phải có sự đồng ý của người dùng. Bạn có thể làm điều này bằng cách sử dụng một plugin như Cookie Notice.
Các plugin WordPress hàng đầu tuân thủ GDPR
Có một số plugin WordPress có thể giúp tự động hóa một số khía cạnh tuân thủ GDPR cho bạn. Tuy nhiên, không có plugin nào có thể cung cấp tuân thủ 100% do tính chất năng động của các loại trang web.
Hãy cảnh giác với bất kỳ plugin WordPress nào tuyên bố cung cấp tuân thủ 100% GDPR. Họ có thể không chịu trách nhiệm về lời nói của mình và bạn nên tránh xa.
Dưới đây là danh sách các plugin được chúng tôi đề xuất để tạo thuận lợi cho việc tuân thủ GDPR:
- MonsterInsights – nếu bạn sử dụng Google Analytics thì bạn nên sử dụng addon tuân thủ quy định của liên minh Châu Âu EU của họ.
- WPForms – cho đến nay, đây vẫn là plugin contact form WordPress thân thiện với người dùng nhất. Họ cung cấp các nội dung về GDPR và các tính năng khác.
- Cookies Notice – plugin miễn phí phổ biến để thêm thông báo cookie EU. Công cụ này cũng tương thích với các plugin hàng đầu như MonsterInsights và các plugin khác.
- Delete Me – đây plugin miễn phí cho phép người dùng tự động xóa hồ sơ của họ trên trang web của bạn.
- OptinMonster – phần mềm tạo khách hàng tiềm năng tiên tiến cung cấp các tính năng target mục tiêu thông minh để tăng cường chuyển đổi trong khi tuân thủ GDPR.
- Shared Counts – thay vì tải các nút share mặc định có thêm cookie theo dõi, plugin này tải các nút static share trong khi hiển thị số lượng chia sẻ.
Chúng tôi sẽ tiếp tục theo dõi hệ sinh thái plugin để xem liệu có bất kỳ plugin WordPress nào khác nổi bật và cung cấp các tính năng tuân thủ GDPR đáng kể không.
Kết luận
Cho dù bạn dã sẵn sàng hay chưa thì quy định tuân thủ GDPR đã bắt đầu có hiệu lực vào ngày 25 tháng 5 năm 2018. Nếu trang web của bạn chưa tuân thủ tiêu chuẩn này thì cũng không cần lo lắng. Bạn chỉ cần tiếp tục làm việc theo hướng dẫn tuân thủ và hoàn thành càng sớm càng tốt.
Khả năng bạn bị phạt sau khi quy tắc này có hiệu lực gần như bằng không vì trang web của Liên minh Châu Âu nói rằng trước tiên bạn sẽ nhận được cảnh báo, sau đó khiển trách và cuối cùng là phạt tiền nếu bạn không tuân thủ và cố ý bỏ qua luật này.
Liên minh châu Âu không có mặt ở đây. Họ làm điều này để bảo vệ dữ liệu của người dùng và khôi phục niềm tin của người dùng đối với các doanh nghiệp trực tuyến. Khi thế giới bước vào thời kỳ kỹ thuật số, chúng ta cần những tiêu chuẩn này. Với các vi phạm dữ liệu gần đây của các công ty lớn, điều quan trọng là các tiêu chuẩn này được điều chỉnh trên toàn cầu.
Quy định này có lợi cho tất cả mọi người. Những quy tắc mới này sẽ thúc đẩy niềm tin của người tiêu dùng và giúp phát triển doanh nghiệp của bạn.
Chúng tôi hi vọng bài viết này sẽ giúp bạn tìm hiểu về tuân thủ về GDPR trên trang web WordPress. Chúng tôi sẽ cố gắng hết sức để cập nhật thông tin mới hoặc công cụ được phát hành sắp tới.
Nếu thích bài viết này, hãy theo dõi YouTube Channel để xem thêm các video hướng dẫn về WordPress. Bạn cũng có thể tìm kiếm chúng tôi trên Twitter and Facebook.
Tài liệu tham khảo
- GDPR Hysteria Phần I, Phần II của tác giả Jacques Mattheij
- Quy định bảo vệ dữ liệu Infographic của Ủy ban liên minh châu Âu EU
- Nguyên tắc GDPR của Ủy ban Châu Âu
- GDPR và MonsterInsights – mọi thứ bạn cần biết
- Các tính năng nâng cao GDPR cho các form WordPress
- Tuân thủ GDPR đối với các cửa hàng WooCommerce
- GDPR và OptinMonster – Không thể bỏ qua nếu bạn có các form chọn tham gia marketing qua email
Tuyên bố miễn trừ trách nhiệm/pháp lý
Chúng tôi không phải là luật sư. Những nội dung trong bài viết này chỉ mang tính chất tham khảo. Do tính chất năng động của các trang web, không một plugin hoặc nền tảng nào có thể cung cấp tuân thủ pháp lý 100%. Khi nghi ngờ, tốt nhất bạn nên tham khảo ý kiến của luật sư hoặc chuyên gia về luật để xác định xem bạn có tuân thủ tất cả các luật hiện hành đối với khu vực pháp lý và các trường hợp sử dụng của bạn hay không.