Hướng dẫn cách đảm bảo tuân thủ GDPR trong WordPress

 Đã đăng 23 thg 10, 2023  |  14 phút  |  2962 từ

GDPR, viết tắt của Quy định chung về bảo vệ dữ liệu, là luật của Liên minh châu Âu về bảo mật thông tin riêng tư. Người dùng thường thắc mắc về GDPR và không biết làm thế nào để trang web WordPress tuân thủ GDPR. Trong bài viết này, Vietnix sẽ đưa ra hướng dẫn chi tiết giúp đảm bảo tuân thủ GDPR trong WordPress.

Quy định chung về bảo vệ dữ liệu (GDPR) là luật của Liên minh châu Âu (EU) có hiệu lực từ ngày 25 tháng 5 năm 2018. Mục tiêu của GDPR là cung cấp cho công dân EU quyền kiểm soát dữ liệu cá nhân của họ và thay đổi cách tiếp cận quyền riêng tư dữ liệu của các tổ chức trên toàn thế giới.

GDPR là gì?GDPR là gì?Bạn có thể đã nhận được rất nhiều email từ các công ty như Google và những công ty khác liên quan đến GDPR, chính sách bảo mật mới của họ và nhiều nội dung pháp lý khác. Đó là bởi vì EU đã đưa ra những hình phạt nặng nề đối với những người không tuân thủ.

Chương trình khuyến mãi Mua Hosting Rinh Tên Miền

Về cơ bản sau ngày 25 tháng 5 năm 2018, các doanh nghiệp không tuân thủ yêu cầu của GDPR có thể phải đối mặt với khoản tiền phạt lớn lên tới 4% doanh thu toàn cầu hàng năm của công ty hoặc 20 triệu € (tùy theo mức độ công ty). Đây là lý do đủ để gây ra sự hoang mang trong các doanh nghiệp trên toàn thế giới.

Câu trả lời là CÓ. GDPR áp dụng cho mọi doanh nghiệp, lớn và nhỏ, trên khắp thế giới (không chỉ ở Liên minh Châu Âu). Nếu trang web có khách truy cập từ các quốc gia thuộc Liên minh Châu Âu thì luật này sẽ áp dụng cho bạn.

Mặc dù GDPR có khả năng tăng lên mức phạt cao, nhưng họ sẽ bắt đầu bằng cảnh báo, sau đó là khiển trách, tiếp đến là đình chỉ xử lý dữ liệu và nếu tiếp tục vi phạm luật, thì sẽ phải trả khoản tiền phạt lớn.

Mức phạt và hình phạt GDPRMức phạt và hình phạt GDPRMục tiêu của EU là bảo vệ người tiêu dùng khỏi việc xử lý dữ liệu/vi phạm một vì tình trạng này đang dần vượt tầm kiểm soát. Phần tiền phạt chủ yếu là để thu hút sự chú ý của các công ty lớn như Facebook và Google, vì vậy quy định này KHÔNG được bỏ qua. Hơn nữa, GDPR khuyến khích các công ty thực sự chú trọng hơn vào việc bảo vệ quyền của người dùng

Khi hiểu GDPR yêu cầu những gì, thì bạn sẽ nhận ra rằng điều này không quá khó khăn. Vietnix cũng sẽ chia sẻ các công cụ/tip để làm cho trang web WordPress tuân thủ GDPR.

Mục tiêu của GDPR là bảo vệ thông tin nhận dạng cá nhân (PII) của người dùng và giữ cho doanh nghiệp đặt ra tiêu chuẩn cao hơn về cách họ thu thập, lưu trữ và sử dụng dữ liệu này. Dữ liệu cá nhân bao gồm: tên, email, địa chỉ thực, địa chỉ IP, thông tin sức khỏe, thu nhập,…

Dữ liệu cá nhân GDPRDữ liệu cá nhân GDPRMặc dù quy định GDPR dài 200 trang, đây là những điểm quan trọng nhất cần biết:

Sự đồng ý rõ ràng – nếu đang thu thập dữ liệu cá nhân từ một người cư trú ở EU, thì phải có được sự đồng ý rõ ràng, cụ thể. Nói cách khác, không thể chỉ gửi email không đươc yêu cầu cho những người đã cung cấp thông tin hoặc điền vào form liên hệ trên trang web vì họ KHÔNG chọn nhận bản tin tiếp thị (đó sẽ được gọi là SPAM) và bạn không nên làm điều đó.

Để được coi là sự đồng ý rõ ràng, phải yêu cầu người dùng chọn tham gia tích cực (nghĩa là không có hộp kiểm được đánh dấu trước), có từ ngữ rõ ràng và tách biệt với các điều khoản & điều kiện khác.

Quyền về dữ liệu – phải thông báo cho các cá nhân biết địa điểm, lý do và cách dữ liệu của họ được xử lý/lưu trữ. Một cá nhân có quyền tải xuống dữ liệu cá nhân của họ và cũng có quyền yêu cầu xóa dữ liệu của mình. Điều này sẽ đảm bảo rằng khi nhấn hủy đăng ký hoặc yêu cầu các công ty xóa hồ sơ, thì họ thực sự làm điều đó.

Báo cáo vi phạm – các tổ chức phải báo cáo một số loại vi phạm dữ liệu nhất định cho các cơ quan có liên quan trong vòng 72 giờ, trừ khi vi phạm được coi là vô hại và không đe dọa đến dữ liệu cá nhân. Tuy nhiên, nếu vi phạm có rủi ro cao, thì công ty cũng PHẢI thông báo ngay cho những cá nhân bị ảnh hưởng. Điều này hy vọng sẽ ngăn chặn việc che giấu như Yahoo không được tiết lộ cho đến khi mua lại.

Cán bộ bảo vệ dữ liệu – nếu là một công ty đại chúng hoặc xử lý một lượng lớn thông tin cá nhân, thì phải chỉ định một cán bộ bảo vệ dữ liệu. Điều này không bắt buộc đối với các doanh nghiệp nhỏ. Nếu có thắc mắc, hãy tham khảo ý kiến ​​của luật sư.

Cán bộ bảo vệ dữ liệu GDPRCán bộ bảo vệ dữ liệu GDPRNói một cách dễ hiểu, GDPR đảm bảo rằng các doanh nghiệp không thể gửi thư rác cho mọi người bằng cách gửi email mà họ không yêu cầu. Các doanh nghiệp không thể bán dữ liệu của mọi người mà không có sự đồng ý rõ ràng của họ và doanh nghiệp phải xóa tài khoản của người dùng, hủy đăng ký họ khỏi danh sách email nếu người dùng yêu cầu bạn làm điều đó.

Các doanh nghiệp phải báo cáo vi phạm dữ liệu và phải nâng cao việc bảo vệ dữ liệu. Vậy cần làm gì để đảm bảo rằng trang web WordPress tuân thủ GDPR? Trước hết, Vietnix sẽ trả lời câu hỏi thường gặp nhất đó là:

Có, kể từ WordPress 4.9.6, phần mềm cốt lõi của WordPress tuân thủ GDPR. Nhóm phát triển WordPress đã thêm một số cải tiến liên quan đến GDPR để đảm bảo rằng WordPress tuân thủ GDPR. Điều quan trọng cần lưu ý là khi nói về WordPress, chúng ta đang nói về self-hosted WordPress.org.

Do tính chất động của các trang web, không có nền tảng, plugin hoặc giải pháp đơn lẻ nào có thể tuân thủ 100% GDPR. Quy trình tuân thủ GDPR sẽ thay đổi dựa trên loại trang web bạn có, loại dữ liệu lưu trữ và cách xử lý dữ liệu trên trang web của mình.

Bên cạnh đó, bạn có thể tham khảo bài viết sau để hiểu hơn về WordPress:

Theo mặc định, WordPress 4.9.6 hiện đi kèm với các công cụ nâng cao GDPR sau:

Hộp kiếm đồng ý sử dụng thông tinHộp kiếm đồng ý sử dụng thông tinTheo mặc định, WordPress được sử dụng để lưu trữ tên, email và trang web của người nhận xét dưới dạng cookie trên trình duyệt của người dùng. Điều này giúp người dùng dễ dàng để lại bình luận trên các blog yêu thích của họ hơn vì những trường thông tin này đã được điền sẵn.

Do yêu cầu về sự đồng ý của GDPR, WordPress đã thêm hộp kiểm đồng ý bình luận. Người dùng có thể để lại bình luận mà không cần chọn hộp này, nghĩa là họ sẽ phải nhập tên, email và trang web của mình theo cách thủ công mỗi khi họ để lại bình luận.

Update: Nếu theme không hiển thị hộp kiểm bảo mật bình luận, kiểm tra lại xem bạn đã cập nhật lên WordPress 4.9.6 và đang sử dụng phiên bản mới nhất của theme chưa. Ngoài ra, kiểm tra xem bạn đã đăng xuất khi kiểm tra xem hộp kiểm có hiển thị không.

Nếu hộp kiểm vẫn không hiển thị, thì có khả năng theme sẽ ghi đè lên form bình luận mặc định của WordPress. Dưới đây là hướng dẫn từng bước về cách thêm hộp kiểm bảo mật nhận xét GDPR trong theme WordPress.

Xuất và xóa dữ liệuXuất và xóa dữ liệuWordPress cung cấp cho chủ sở hữu trang web khả năng tuân thủ các yêu cầu xử lý dữ liệu của GDPR và tôn trọng yêu cầu xuất dữ liệu cá nhân của người dùng cũng như xóa dữ liệu cá nhân của người dùng. Bạn có thể tìm thấy các tính năng xử lý dữ liệu trong menu công cụ bên trong WordPress admin.

Trình tạo chính sách bảo mậtTrình tạo chính sách bảo mậtWordPress hiện đi kèm với trình tạo chính sách quyền riêng tư tích hợp, cung cấp một mẫu chính sách quyền riêng tư được tạo sẵn và cung cấp hướng dẫn về những nội dung khác cần thêm, để bạn có thể minh bạch hơn với người dùng về loại dữ liệu lưu trữ và cách xử lý dữ liệu của họ.

Ba yếu tố này là đủ để làm cho một blog WordPress mặc định tuân thủ GDPR. Tuy nhiên, rất có thể trang web có các tính năng bổ sung cũng cần phải tuân thủ.

Để hiểu thêm về tính năng bảo mật trong WordPress, bạn có thể tham khảo bài viết sau:

Là chủ sở hữu trang web, bạn có thể đang sử dụng nhiều plugin WordPress lưu trữ hoặc xử lý dữ liệu như form liên hệ, phân tích, email marketing, cửa hàng trực tuyến, trang web thành viên,… Tùy thuộc vào plugin WordPress đang sử dụng trên trang web của mình, bạn sẽ cần hành động tương ứng để đảm bảo rằng trang web của mình tuân thủ GDPR. Có rất nhiều plugin WordPress tốt nhất đã có và thêm các tính năng nâng cao GDPR.

Giống như hầu hết chủ sở hữu trang web, bạn có thể sử dụng Google Analytics để thu thập số liệu thống kê trang web. Điều này nghĩa là có thể bạn đang thu thập hoặc theo dõi dữ liệu cá nhân như địa chỉ IP, ID người dùng, cookie và các dữ liệu khác để lập hồ sơ hành vi. Để tuân thủ GDPR, cần thực hiện một trong hai điều sau:

  1. Ẩn danh dữ liệu trước khi bắt đầu lưu trữ và xử lý
  2. Thêm lớp phủ vào trang web cung cấp thông báo về cookie và yêu cầu người dùng đồng ý trước khi theo dõi

Cả hai điều này đều khá khó thực hiện nếu chỉ dán code Google Analytics theo cách thủ công trên trang web của mình. Tuy nhiên, nếu đang sử dụng MonsterInsights, plugin Google Analytics phổ biến nhất dành cho WordPress, thì sẽ dễ thực hiện hơn rất nhiều vì MonsterInsights đã phát hành một addon tuân thủ EU giúp tự động hóa quy trình trên.

Addon giúp tuân thủ quy định của EUAddon giúp tuân thủ quy định của EUNếu đang sử dụng form liên hệ trong WordPress, thì phải thêm các biện pháp minh bạch bổ sung, đặc biệt nếu đang lưu trữ các mục nhập form hoặc sử dụng dữ liệu cho mục đích tiếp thị. Dưới đây là những điều bạn có thể muốn xem xét để làm cho form WordPress của mình tuân thủ GDPR:

  • Nhận sự đồng ý rõ ràng từ người dùng để lưu trữ thông tin của họ.
  • Nhận được sự đồng ý rõ ràng từ người dùng nếu định sử dụng dữ liệu của họ cho mục đích tiếp thị (thêm họ vào danh sách email).
  • Tắt việc sử dụng cookie, thông tin về người dùng và theo dõi IP cho form.
  • Đảm bảo có thỏa thuận xử lý dữ liệu với nhà cung cấp form nếu đang sử dụng giải pháp form dưới dạng SaaS.
  • Tuân thủ các yêu cầu xóa dữ liệu.
  • Vô hiệu hóa lưu trữ tất cả các mục nhập form (không bắt buộc theo GDPR). Bạn có thể không nên làm điều này trừ khi biết chính xác những gì đang làm.

Nếu đang sử dụng các plugin WordPress như WPForms, Gravity Forms, Ninja Forms, Contact Form 7… thì không cần Data Processing Agreement vì các plugin này KHÔNG lưu trữ các mục nhập form trên trang web của họ. Các mục nhập form được lưu trữ trong cơ sở dữ liệu WordPress. Chỉ cần thêm một hộp kiểm đồng ý yêu cầu với lời giải thích rõ ràng là đủ để làm cho form WordPress của mình tuân thủ GDPR.

WPForms, plugin form liên hệ mà Vietnix sử dụng, đã thêm một số cải tiến GDPR để giúp dễ dàng thêm trường chấp thuận GDPR, tắt cookie người dùng, tắt thu thập IP của người dùng và tắt các mục nhập chỉ bằng một cú nhấp chuột.

Hộp kiểm đồng ý để tuân thủ GDPRHộp kiểm đồng ý trong form để tuân thủ GDPRBên cạnh đó, hãy tham khảo bài viết sau để biết cách tạo form liên hệ cực đơn giản:

Tương tự như form liên hệ, nếu có bất kỳ form chọn tham gia tiếp thị qua email nào như pop up, floating bars, inline-forms và các form khác, thì cần đảm bảo rằng bạn đang thu thập sự đồng ý rõ ràng từ người dùng trước khi thêm họ vào danh sách của mình. Điều này có thể được thực hiện với một trong hai thao tác:

  1. Thêm hộp kiểm mà người dùng phải nhấp vào trước khi chọn tham gia
  2. Chỉ cần yêu cầu xác nhận đăng ký hai lần cho danh sách email

Các giải pháp hàng đầu về tạo lead như OptinMonster đã thêm các hộp kiểm đồng ý GDPR và các tính năng cần thiết khác để giúp bạn làm cho form chọn tham gia email của mình tuân thủ.

Nếu đang sử dụng WooCommerce, plugin thương mại điện tử phổ biến nhất dành cho WordPress, thì cần đảm bảo rằng trang web của mình tuân thủ GDPR. WooCommerce đã chuẩn bị một hướng dẫn toàn diện cho chủ sở hữu cửa hàng để giúp họ tuân thủ GDPR.

Nếu trang web đang chạy pixel để retargeting lại, thì cần phải nhận được sự đồng ý của người dùng. Bạn có thể làm điều này bằng cách sử dụng plugin cookie notice.

Có một số plugin WordPress có thể giúp tự động hóa một số khía cạnh tuân thủ GDPR cho bạn. Tuy nhiên, không plugin nào có thể tuân thủ 100% do tính chất động của trang web. Cẩn thận với bất kỳ plugin WordPress nào tuyên bố cung cấp tuân thủ 100% GDPR vì họ có thể không biết họ đang nói về điều gì và tốt nhất là nên tránh họ hoàn toàn.

Dưới đây là danh sách các plugin được đề xuất của Vietnix để hỗ trợ tuân thủ GDPR:

  • MonsterInsights: nếu đang sử dụng Google Analytics, thì nên sử dụng tiện ích tuân thủ EU của họ.
  • WPForms: cho đến nay đây là plugin form liên hệ WordPress thân thiện với người dùng nhất. Họ cung cấp các trường GDPR và các tính năng khác.
  • Cookie notice: plugin miễn phí phổ biến để thêm thông báo cookie của EU. Tích hợp tốt với các plugin hàng đầu như MonsterInsights và các plugin khác.
  • Delete Me: plugin miễn phí cho phép người dùng tự động xóa hồ sơ của họ trên trang web.
  • OptinMonster: phần mềm tiên tiến để giúp tạo thêm lead, cung cấp các tính năng tập trung thông minh để tăng conversion rate mà vẫn tuân thủ GDPR.
  • Shared Counts: thay vì tải các button chia sẻ mặc định có thêm cookie theo dõi, plugin này tải các button chia sẻ tĩnh trong khi hiển thị số lượt chia sẻ.

Vietnix sẽ tiếp tục theo dõi hệ sinh thái plugin để xem liệu có plugin WordPress nào khác nổi bật và cung cấp các tính năng tuân thủ GDPR đáng kể hay không.

Tóm lại, cho dù đã sẵn sàng hay chưa, GDPR sẽ có hiệu lực vào ngày 25 tháng 5 năm 2018. Nếu trang web không tuân thủ trước thời điểm đó, chỉ cần tiếp tục làm việc để tuân thủ và hoàn thành càng sớm càng tốt. Khả năng bị phạt vào ngày sau khi quy tắc này có hiệu lực gần như bằng 0 vì trang web của Liên minh Châu Âu tuyên bố rằng trước tiên sẽ nhận được cảnh cáo, sau đó là khiển trách và phạt tiền là bước cuối cùng nếu không tuân thủ và cố tình phớt lờ pháp luật.

EU đang làm điều này để bảo vệ dữ liệu của người dùng và tạo lòng tin của mọi người đối với các doanh nghiệp trực tuyến. Khi thế giới ngày càng số hóa, chúng ta cần những tiêu chuẩn này. Với các vụ vi phạm dữ liệu gần đây của các công ty lớn, cho thấy các tiêu chuẩn này phải được điều chỉnh trên toàn cầu. Những quy tắc mới này sẽ giúp nâng cao niềm tin của người tiêu dùng và từ đó giúp phát triển doanh nghiệp.

Vietnix hy vọng bài viết này đã giúp bạn tìm hiểu về WordPress và tuân thủ GDPR. Ngoài nội dung này, bạn cũng có thể tham khảo thêm các bài viết khác như hướng dẫn để website nhận và xóa cookie WordPress chuyên nghiệp hoặc các phương pháp bảo mật website hiệu quả, chúc bạn thành công!