GDPRとは、General Data Protection Regulation(一般データ保護規則)の略で、サイトを利用するユーザーのプライバシーを保護するための欧州連合の法律です。
ユーザーから、GDPRについてわかりやすく説明してほしい、WordPressサイトをGDPRに対応させるためのヒントを教えてほしいというメールを何十通もいただきました。
この投稿では、GDPRとWordPressについて(複雑な法律的なことは抜きにして)知っておくべきことをすべて説明します。
免責事項
私たちは弁護士ではなく、このサイトに掲載されているいかなる情報も法的助言とみなされるべきものではありません。
WordPressとGDPRコンプライアンスに関する究極のガイドを簡単にナビゲートできるように、以下の目次を作成しました:
- What Is the GDPR?
- Does the GDPR Apply to My WordPress Website?
- What Is Required of Website Owners Under the GDPR?
- Is WordPress GDPR Compliant?
- Additional Areas on Your Website to Check for GDPR Compliance
- Best WordPress Plugins for GDPR Compliance
- Final Thoughts
- Expert Guides on Making Your WordPress Site GDPR-Compliant
- Additional Resources
GDPRとは何か?
一般データ保護規則(GDPR)は、2018年5月25日に施行された欧州連合(EU)の法律である。GDPRの目的は、EU市民が個人データをコントロールできるようにし、世界中の組織のデータプライバシーのアプローチを変えることである。
ここ数年、Googleなどの企業からGDPRや新しいプライバシーポリシー、その他法律的なことに関するメールを何十通も受け取っていることだろう。それは、EUが規制に従わない人々に対して大きな罰則を設けたからです。
GDPRの必須要件に準拠していない企業は、企業の世界年間売上高の最大4%または2000万ユーロ(いずれか大きい方)という多額の罰金に直面する可能性がある。これは、世界中の企業に広範なパニックを引き起こすのに十分な理由である。
CCPAとは何か?
カリフォルニア州は2020年1月1日に同様の個人情報保護法を導入したが、潜在的な罰金ははるかに低い。
カリフォルニア州消費者プライバシー法(CCPA)は、カリフォルニア州住民の個人情報を保護することを目的としています。CCPAは、カリフォルニア州居住者に対し、どのような個人情報が収集されているかを知る権利、削除を要求する権利、データの販売からオプトアウトする権利を与えています。
この記事ではGDPRに焦点を当てますが、この記事で挙げるステップの多くは、CCPAに準拠するためにも役立ちます。
ここで、皆さんが考えているかもしれない大きな疑問が浮かぶ:
GDPRはWordPressサイトに適用されますか?
答えはYESである。EUに限らず)世界中の大小を問わず、すべてのビジネスに適用されます。
WordPressサイトにEU諸国からの訪問者がある場合、この法律が適用されます。
でも、慌てないで。世界の終わりではないのだから。
GDPRはそのような高水準の罰金にまでエスカレートする可能性があるが、最初は警告から始まり、次に譴責、そしてデータ処理の停止となる。
そして、法律に違反し続けた場合にのみ、多額の罰金が科される。
EUはあなたを捕まえようとする邪悪な政府ではない。その目的は、プライバシーの侵害につながりかねない無謀なデータの取り扱いから、罪のない消費者を守ることにある。
私たちの意見では、この最高額の罰金は、FacebookやGoogleのような大企業の注意を引き、この規制が無視されないようにすることを主な目的としている。さらに、これは企業が人々の権利を保護することに実際に重点を置くことを奨励する。
GDPRで何が必要なのか、そして法律の精神を理解すれば、どれもそれほどおかしなことではないことに気づくはずだ。
また、WordPressサイトをGDPRに対応させるためのツールやヒントもご紹介します。
GDPRでサイトオーナーに必要なこととは?
GDPRの目的は、ユーザーの個人識別情報(PII)を保護し、企業がこのデータを収集、保存、使用する方法に関してより高い基準を課すことである。
この個人データには、ユーザーの名前、メール・アドレス、物理的住所、IPアドレス、健康情報、収入などが含まれます。
GDPR規則は200ページにも及ぶが、ここでは最も重要な柱を紹介する:
個人情報の収集には明示的な同意が必要です。
EU居住者から個人データを収集する場合は、明示的、具体的、かつ明確な同意または権限を取得する必要があります。
つまり、名刺をくれた人やサイトのお問い合わせフォームに記入してくれた人に、迷惑メールを送ることはできないのです。これはスパムです。代わりに、あなたのマーケティング・ニュースレターにオプトインできるようにしなければなりません。
明示的な同意と見なされるためには、積極的なオプトインが必須です。チェックボックスは初期設定であってはならず、明確な文言(法律用語ではない)を含み、他の規約とは区切られていなければなりません。
ユーザーには個人情報に対する権利がある
自分のデータがどこで、なぜ、どのように処理され、保存されるかを個人に知らせなければなりません。
個人は、自分の個人データをダウンロードする権利と、忘れられる権利を有する。
これは、ユーザーが自分の個人データの削除を要求する権利があることを意味します。ユーザーが配信停止リンクをクリックしたり、プロフィールを削除するように要求してきた場合、あなたは実際にそれを行う必要があります。
迅速なデータ漏洩通知を提供しなければならない
投稿者は、データ漏洩が無害であり、個人データへのリスクがないと考えられる場合を除き、72時間以内にある種のデータ漏洩を関連当局に報告しなければならない。
しかし、情報漏えいのリスクが高い場合は、影響を受けた個人にもすぐに通知しなければならない。
これにより、ヤフーのように買収まで明らかにされなかった隠蔽工作を防ぐことが期待される。
データ保護責任者の任命が必要な場合があります。
上場企業や大量の個人情報を処理する場合は、データ保護責任者を任命する必要があります。
中小企業の場合は必要ありません。疑問があれば弁護士に相談すること。
必要事項の平易な要約
わかりやすく言うと、GDPRは、企業が頼んでもいないメールを送ってスパムをすることができないようにするものです。また、企業は明示的な同意なしに人々のデータを販売することもできません。
企業はユーザーのアカウントを削除し、要求があればメールリストの登録を解除しなければならない。企業はまた、データ侵害を報告し、データ保護について全体的に改善しなければならない。
少なくとも理論的には、かなり良さそうだ。
しかし、WordPressサイトをGDPRに準拠させるために何をすべきか、おそらく疑問に思っていることでしょう。
まあ、それは本当にあなたの特定のサイトに依存します(これについては後で詳しく説明します)。
まず、ユーザーから寄せられた最大の質問に答えることから始めよう:
WordPressはGDPRに対応していますか?
はい、WordPressのコアソフトウェアは、2018年5月17日にリリースされたWordPress 4.9.6からGDPRに対応しています。これを実現するために、いくつかのGDPR拡張機能が追加されました。
WordPressについて話すとき、インストール型のWordPress.orgについて話していることに注意することが重要です。WordPress.comとWordPress.orgの違いについては、WordPress.comとWordPress.orgの違いをご覧ください。
とはいえ、サイトは動的な性質を持っているため、個別のプラットフォーム、プラグイン、ソリューションでGDPRに100%準拠できるものはありません。GDPRコンプライアンス・プロセスは、サイトのタイプ、保存するデータ、サイトでのデータ処理方法によって異なります。
さて、ではこれは分かりやすく言うとどういう意味なのだろう、と思うかもしれない。
さて、WordPressには初期設定として以下のGDPR強化ツールが付属しています:
コメントする 同意する チェックボックス
2018年5月以前は、WordPressは初期設定でコメントするユーザーの名前、メール、サイトをユーザーのブラウザーにCookieとして保存していた。これにより、これらのフィールドがあらかじめ入力されていたため、ユーザーはお気に入りのブログにコメントを残しやすくなっていた。
GDPRの同意義務により、WordPressはコメントフォームに同意チェックボックスを追加しました。
ユーザーは、このボックスをチェックしなくてもコメントを残すことができます。ただし、その場合は毎回手動で名前、メール、サイトを入力する必要があります。
ヒント:チェックボックスがあるかどうかを確認するためにテストするときは、ログアウト中であることを本当に〜してもよいですか?
それでもチェックボックスが表示されない場合は、デフォルトのWordPressコメントフォームをテーマが上書きしている可能性があります。WordPressテーマにGDPRコメントプライバシーチェックボックスを追加する方法をステップバイステップで説明します。
個人データのエクスポートと消去機能
WordPressは、サイト所有者がGDPRのデータ取り扱い要件を遵守し、個人データのエクスポートやユーザーの個人データの削除に関するユーザーの要求を尊重するために必要なツールを提供します。
WordPressの管理画面内の「ツール」メニューに、データの取り扱い機能があります。ここから、「個人データのエクスポート」または「個人データの消去」に進むことができます。
プライバシーポリシージェネレータ
WordPressにはプライバシーポリシージェネレータがビルトインされています。このジェネレーターには、あらかじめ用意されたプライバシーポリシーのテンプレートがあり、他に何を追加すればよいかのガイダンスが表示されます。これにより、どのようなデータを保存し、どのようにデータを扱うかというキーワードについて、ユーザーに対してより透明性を高めることができます。
さらに詳しくは、WordPressでプライバシーポリシーを作成する方法をご覧ください。
初期設定のWordPressブログをGDPRに準拠させるには、この3つの機能で十分です。しかし、あなたのサイトには、コンプライアンスが必要なエリアが他にもあるでしょう。
GDPR遵守を確認するためのサイト上の追加エリア
サイトオーナーとして、データを保存または処理するさまざまなWordPressプラグインを使用している可能性があり、これらはGDPRコンプライアンスに影響を与える可能性があります。一般的な例には以下が含まれます:
あなたのサイトで使用しているWordPressプラグインに応じて、あなたのウェブサイトがGDPRに準拠していることを確認するために、それに応じて行動する必要があります。
多くの優れたWordPressプラグインがGDPR強化機能を追加しています。一般的に対応が必要なエリアを見てみましょう。
Google アナリティクス
ほとんどのサイトオーナーと同様に、Google アナリティクスを使用してウェブサイトの統計情報を取得していることでしょう。これは、IPアドレス、ユーザーID、Cookieなどの個人データを収集したり、行動プロファイリングのためにトラッキングしている可能性があることを意味します。
GDPRに準拠するためには、以下のいずれかを行う必要があります:
- データの保存と処理を開始する前に匿名化する。
- Cookieについて告知し、トラッキングの前にユーザーに同意を求めるオーバーレイを追加する。
どちらも、Googleアナリティクスのコードをサイトに手動で貼り付けるだけではかなり難しい。しかし、WordPress用の最も人気のあるGoogleアナリティクスプラグインであるMonsterInsightsを使用しているのであれば、ラッキーです。
彼らは、上記のプロセスを自動化するのに役立つEUコンプライアンスアドオンをリリースした。
MonsterInsightsもGDPRとGoogleアナリティクスについて非常に良いブログ投稿をしています。サイトでGoogleアナリティクスを使用している方は必読です。
お問い合わせフォーム
WordPressでお問い合わせフォームを使用している場合、透明性対策を追加する必要があるかもしれません。フォームの入力内容を保存したり、マーケティング目的でデータを使用する場合は特にそうです。
WordPressのフォームをGDPRに対応させる際に考慮すべき点をいくつかご紹介します:
- ユーザーから情報の保存について明確な同意を得ること。
- ユーザーをメールリストに追加するなど、マーケティング目的でデータを使用する場合は、ユーザーから明確な同意を得ましょう。
- フォームのCookie、ユーザーエージェント、IPトラッキングを無効化します。
- データ削除要求に従うこと。
- SaaS フォームソリューションを使用している場合は、フォームプロバイダーとデータ処理契約を結んでいることを確認してください。
WPForms、Gravity Forms、Ninja FormsのようなWordPressプラグインを使用している場合は、データ処理に関する同意書を作成する必要はありません。
これらのプラグインは、WordPressのデータベースにフォームエントリーを保存するので、GDPRに準拠するためには、明確な説明とともに同意チェックボックスを追加するだけです。
WPBeginnerで使用しているお問い合わせフォームプラグインのWPFormsは、GDPR同意フィールドの追加、ユーザーCookieの無効化、ユーザーIP収集の無効化、エントリーの無効化を個別クリックで簡単に行えるよう、いくつかのGDPR強化機能を備えています。
WordPressでGDPRに準拠したフォームを作成する方法については、ステップバイステップのガイドをご覧ください。
メールマーケティング オプトインフォーム
お問い合わせフォームと同様に、ポップアップ、フローティングバー、インラインフォームなど、メールマーケティング用のオプトインフォームがある場合は、ユーザーから明確な同意を得た上でリストに追加する必要があります。
これはどちらでも可能である:
- ユーザーがオプトインの前にクリックしなければならないチェックボックスを追加します。
- あなたのメールリストにダブルオプティンを必須とするだけです。
OptinMonsterのようなトップリードジェネレータソリューションには、GDPR同意チェックボックスやその他の必要な機能が追加されており、メールオプトインフォームをコンプライアンスに準拠させることができます。
マーケティング担当者のためのGDPR戦略については、OptinMonsterブログで読むことができます。
eコマースとWooCommerceストア
WordPressで最も人気のあるeコマースプラグインであるWooCommerceを使用している場合、サイトがGDPRに準拠していることを確認する必要があります。
幸いにも、MonsterInsightsチームはWooCommerceストアをGDPRに準拠させる方法についての詳細なガイドを用意しました。
リターゲティング広告
あなたのサイトがリターゲティングピクセルやリターゲティング広告を掲載している場合、ユーザーの同意を得る必要があります。
Cookie Noticeのようなプラグインを使用することでこれを行うことができます。GDPR/CCPAのためにWordPressでCookieポップアップを追加する方法についてのガイドに詳しい説明があります。
Googleフォント
Google Fontsは、WordPressサイトのタイポグラフィをカスタマイズするのに最適な方法です。
しかし、Google FontsはGDPR規制に違反していることが判明している。Googleはフォントが読み込まれるたびに訪問者のIPアドレスをログ記録するからだ。
幸いなことに、あなたのサイトがGDPRに準拠するようにこれを処理する方法がいくつかあります。例えば、フォントをローカルに読み込んだり、Google Fontsを別の設定に置き換えたり、無効化したりすることができます。
Google Fontsをプライバシーに配慮したものにする方法については、こちらのガイドをご覧ください。
GDPR対応に最適なWordPressプラグイン
GDPRコンプライアンスの一部を自動化できるWordPressプラグインがいくつかあります。
しかし、サイトの動的な性質上、どのプラグインも100%のコンプライアンスを提供することはできません。
GDPRに100%準拠していると主張するWordPressプラグインには注意してください。彼らは自分たちが何を言っているのか分かっていない可能性が高いので、完全に避けるのが得策だ。
以下は、GDPR対応のための推奨プラグインのリストです:
- Google アナリティクスを使用している場合は、MonsterInsightsを使用し、EUコンプライアンスアドオンを有効化することをお勧めします。
- WPFormsは最もユーザーフレンドリーなWordPressお問い合わせフォームプラグインで、GDPRフィールドやその他の機能を提供しています。
- Cookie Noticeは、EUクッキー通知を追加するための人気のある無料プラグインで、MonsterInsightsなどのトッププラグインとうまく統合します。
- GDPR Cookie Consentは、ユーザーがCookieを受け入れるか拒否するかを決定できるように、サイトにアラートバーを作成することができ、GDPRだけでなくCCPAもカバーしています。
- WP Frontend Delete Accountは、ユーザーがサイトのプロフィールを自動的に削除できる無料のプラグインです。
- OptinMonsterは、GDPRに準拠しながら、コンバージョンを高める賢いターゲティング機能を提供する先進的なリード生成ソフトウェアです。
- PushEngageを使用すると、サイト訪問者がサイトを離れた後にターゲットを絞ったプッシュメッセージを送信することができ、GDPRに完全に準拠しています。
- Smash Balloonは、Facebook、Twitter、Instagram、YouTube、TripAdvisor などからのライブフィードを埋め込み、投稿を表示する GDPR 準拠の方法を提供します。
- ノバシェアは、ユーザーの個人データを収集したりクッキーを配置したりすることなく、ユーザーがソーシャルメディアでコンテンツを共有できるようにする方法を提供します。
コンプライアンスを向上させるWordPress GDPRプラグインのエキスパートによるベストセレクションでは、さらに多くのオプションをご紹介しています。
私たちは、他のWordPressプラグインが際立っており、実質的なGDPRコンプライアンス機能を提供しているかどうかを確認するために、プラグインエコシステムを監視し続けます。
最終的なフィードバック
GDPRは2018年5月から施行されている。
WordPress サイトを開設してしばらく経ち、GDPR 準拠に向けて取り組んでおられるかもしれません。あるいは、新規サイトを立ち上げたばかりかもしれません。
いずれにせよ、慌てる必要はない。ただ、コンプライアンスに向けた努力を続け、早急に完了させることだ。
多額の罰金を心配するかもしれない。罰金を科されるリスクはほとんどないことを覚えておいてください。EUのサイトによれば、まず警告があり、次に譴責があり、罰金は法律を故意に無視し、遵守しなかった場合の最後のステップである。
EUはあなたを捕まえようとしているのではないことを忘れないでください。ユーザーデータを保護し、オンラインビジネスに対する人々の信頼を回復するために、このようなことを行っているのだ。
世界がデジタル化するにつれ、私たちはこれらの基準を必要としている。最近の大企業のデータ流出事件もあり、こうした基準をグローバルに適応させることが重要だ。
関係者すべてにとって良いことだ。この新規則は消費者の信頼を高め、ひいてはビジネスの成長にもつながる。
このチュートリアルで、WordPressブログでGDPRに準拠する方法を学んでいただければ幸いです。サイトをGDPRに準拠させる方法については、当社のエキスパートガイドもご覧ください。
WordPressサイトをGDPRに準拠させるためのエキスパートガイド
- WordPressでGDPRコメントプライバシーオプトインチェックボックスを追加する方法
- GDPR/CCPAのためにWordPressにCookieポップアップを追加する方法
- WordPressサイトがCookieを使用しているかどうかを確認する方法
- WordPressでGDPRに準拠したフォームを作成する方法
- Googleフォントをプライバシーに配慮したものにする方法
- WordPressサイトのGoogleフォントを無効化する方法
- WordPressでプライバシーポリシーを追加する方法
If you liked this article, then please subscribe to our YouTube Channel for WordPress video tutorials. You can also find us on Twitter and Facebook.
免責事項
私たちは弁護士ではなく、このサイトのいかなる情報も法的助言とみなされるべきではありません。サイトは動的な性質を持っているため、個別プラグインやプラットフォームが100%合法的なコンプライアンスを提供することはできません。
疑問がある場合は、インターネット法の専門家である弁護士に相談し、管轄地域や使用ケースに適用される法律をすべて遵守しているかどうかを判断してもらうのが最善です。
その他のリソース
- GDPRヒステリー(前編・後編) by ジャック・マッタイ
- 欧州委員会によるデータ保護インフォグラフィック
- 欧州委員会によるGDPRの原則
- GDPRとMonsterInsights– Google アナリティクスのGDPR対応について知っておくべきすべて
- WPFormsのGDPR強化機能– WordPressフォームのGDPR対応について知っておくべきすべてのこと
- WooCommerceとGDPR– オンラインストアのGDPRコンプライアンスについて知っておくべきすべて
- OptinMonsterとGDPR– GDPRコンプライアンスとメールマーケティングのオプトインフォームについて知っておくべきすべて
If you liked this article, then please subscribe to our YouTube Channel for WordPress video tutorials. You can also find us on Twitter and Facebook.
Teresa Cuervo
I use Jetpack plugin for my contact form and stats (among others) How to make their contact form compliant?
Thanks
Dan
One thing that people don’t seem to be discussing is the comment section. Right here, in this very form, you just asked me for my email address, as does every standard WP comment form. But nowhere are you telling me what this email address will be used for. You aren’t using it for follow up because I’m not going to subscribe to that option.
The default WP comment behaviour is just to ask for people’s email address but with no particular purpose, which also goes against GDPR, right? You have to have a purpose to ask for someone’s data now.
This seems so obvious that I wonder what I’m missing. They clearly thought about comments and added that new cookie comment check-box, so why is nothing mentioned about the email address collection in the first place?
Faizan
Thelanguage you use o explain this GDPR issue,is tremendously unique. ALL in one solution for small projects like mine. From this I get to know completely about GDPR and Now I can analyze where i have to improve.
Thanks
Rahadian
Wonderful guide, I thought this compliance is not affecting me, although I wonder what is this “GDPR compliance” people talking about, and this article provide me with clear explanation. Now I know I should update my website and must follow this compliance. Thank you for sharing this information.
Q
Thank you for a very detailed explanation AND most of all for curbing panic. I can look at decent solutions and implement GDPR compliance on my website with ease now that I know what it entails.
Himadri Saha
Hi, Thanks for your nice, clear and explanatory article. I am using Sumome to generate my subscriber base. Do you have any idea whether this is GDPR compliant?
Editorial Staff
Hi Himdari,
You’d have to ask the Sumo team as to what they’re doing about GDPR
管理者
Aliyy Oke
What a succinct and we’ll informative article. This article has quite enlightenment effect on understanding what GDPR is. Until now I never knew that this law is just going to be taking its effect from 25th of May and there has been a lot buzzes and news of it here and there for a long time now. Thank you for the wonderful post.
Waqas
I run a cybersecurity news website and I have never collected anything from any visitor other than email for sending readers notifications about new news articles.
Do I have to go through all this headache as well? Also, do we have to show GDPR compliance popup to visitors like we do with cookie consent popup?
Thanks for the great article.
Gary Sonnenberg
I think you’re going to get a lot of hits on this article.
I agree with others that it’s the best one out there so far. Thanks!
Jeff Coombs
Hey!
How would I know – or – what can I do on my WordPress site to make sure there are no cookies being used so I don’t have to have the cookie warning or any other policy (GDPR etc) to worry about?
(I just have a few “how-to” guides on there, nothing else – no comments etc or any contact boxes etc).
* Thank you for taking the time to create this GDPR post – greatly appreciated!
JC.
Cheryl Harrison
Other sources say that GDPR applies only to people/company in the EU, NOT to EU citizens who happen to be in the US.
We have enabled country blocking so our site is simply not available anywhere but the US and Canada.
Is it your (non-legal) opinion that we therefore do not need to comply?
glenda taylor
I have used WP Simple Membership Plug in on my website. What do I need to do to update the forms there?
WPBeginner Support
Hi Glenda,
Individual plugins will address GDPR compliance on their own. Please reach out to plugin’s support and they will point you in the right direction.
管理者
rodrigo
Congratulations for a very informative and well explained article. A very good starting point for further reading.
Tamara
Thank you for this
About the plugins you recommend, so you recommend downloading ALL OF THEM right?
Thank you
Tamara
Editorial Staff
They’re all good plugins. You can use the ones that you need
管理者
Carolyn Astfalk
This is a very helpful article. I’d previously addressed all of these issues in the fashion you recommend, but there is one thing I cannot find an answer to despite searching and posting in multiple places:
What about WP blog subscriptions? Nothing in the WP or JetPack updates that I can find provides that check box of consent for blog subscribers. Don’t those email and WP subscriptions require consent too?
WPBeginner Support
Hi Carolyn,
They have addressed some of these issues, to learn more please contact their support forums and they will point you in the right direction.
管理者
Dan
Understanding Title 9 is key.
Here’s a link,
http://www.privacy-regulation.eu/en/article-9-processing-of-special-categories-of-personal-data-GDPR.htm
Dan
This is a good resources as well,
https://www.compliancejunction.com/gdpr-for-small-business/
Quoting below –
What effect could the GDPR have on small businesses?
For the purposes of the GDPR, a small business is classified as one with fewer than 250 employees. Any business with more than 250 employees is required to comply with the GDPR and is required to nominate a Data Protection Officer (DPO).
Businesses with fewer than 250 employees are required to comply with the GDPR if their data processing could affect the rights and freedoms of individuals, if they process personal data on a regular basis, or if they process data which is covered by Article 9 of the GDPR, which includes sensitive data such as that relating to religious beliefs. If any of these apply to a small business, it needs to ensure that it complies with all aspects of the GDPR.
Dan
You are omitting the part of GDPR that gives exemptions to companies with less than 200 employees. At least I didn’t see any mention of it.
Editorial Staff
I believe that part is specific to requiring a Data Protection Officer. However I do agree that risk of penalty is lower for smaller businesses, but it doesn’t mean that they shouldn’t do their best to comply.
-Syed
管理者
Brian77
WordPress 4.9.6 is not GDPR-compliant, not at all, sorry. Core-content in backend available to all user roles including subscriber is hosted on third party servers without information and/or consent. User IPs are stored in database without notice, just look for session_token. User IPs are stored for comments. User email is used in filename for GDPR data export. Exported meta fields from user profile are hardcoded, export will be incomplete in most cases. And there are a lot of of bugs like privacy policy page can not be edited by editors, your clients need full admin access to edit that page now, good luck with that.
Wayne Rose
What a great article, the first bit of sense i have read about the mysterious GDPR, I found that this was informative to start off with and also helpful with advising on plug-ins to add to my website to help make it compliant.
Thank you very much, i can now breathe a sigh of relief!
Dawson Johnson
Amazing article, thanks so much.
A few questions:
— With regard to MonsterInsights, is the “anonymize IP” feature in the free version sufficient for GDPR compliance with regard to Google Analytics? Or is there critical functionality associated with the paid version (and EU Compliance Addon)?
— I’m a bit concerned about third-party ads (via networks like Taboola, RevContent, etc). What exactly is and isn’t required of publishers given that we in no way control or process the data that they collect / cookies they store?
— With regard to Cookie Plugins, are there any that A) actually block third-party cookies on your site based on a lack of consent or opt-out and B) can be geotargeted to EU users?
I’m a US based publisher, so I don’t want to show opt-out messages (and risk losing track / ad dollars) to visitors who are outside Europe.
WPBeginner Support
Hi Dawson,
Please see MonsterInsights’ blog post for more details.
You will need to reach out to each network, and most likely they will already have documentation on how to prepare for GDPR compliance.
As for cookie plugins, surely there will be more plugins coming out to address different requirements.
管理者
stefan
Hi,
Not identifying people that post on your blog can be dangerous for many sites. If someone threatens to sue you and you have insurance, I think you need to inform about it and be able to identify the person so that you can protect yourself against legal claims. As a result, you can’t ask for consent because if you do, the person have to right to be forgotten. So, I am using legitimate interest. By the way, I think the privacy policy offers by WordPress is missing some GDRP requirements such as the identification of the legal basis for each processing.
Stephanie Markou
By far one of the best articles on GDPR compliance when it comes to plugins and websites. Do you have any examples of privacy policies that show data categories and GDPR compliant terms that would cover plugins in general (in lieu of listing every single plugin used on a website). Thank you!
Elvis Nyamekye
Hi, I just wanted to say thanks for writing this article. Didn’t really understand this GPDR Update until today. Thanks so much.
McCool Travel
Wonderful guide to GDPR. Answers many of the question I had. Thank you.
Riccardo
The best article about GDPR compliance for Wordpress that I have read so far! Thank you!
Editorial Staff
Thanks Ricardo
管理者
Eleni
Hello, thanks for all these information but I do have one last question. My blog is personal, which means I do not give analytics or data to no-one, or I don’t have advertises.
Do I still have the obligation to obey to the new regulations?
Thanks in advance
Editorial Staff
Hi Eleni,
According to the regulation, yes if you have a website (personal or business or anything else) you would still have to comply. You can wait and see how they enforce it on small personal blogs since there is no precedent of that yet, but if all you have to do is anonymize IP addresses on your analytics, then it’s not that big of a deal
管理者
Trish
Thanks for the great article. I’m using your Insert Headers and Footers plug-in, how do I anonymize IP addresses on that?
Editorial Staff
That plugin only offers you the ability to add scripts. It does not have functionality like anonymizing IPs because that’s specific to individual scripts that you might be loading.
Andrei
Hi guys,
First of all thank you for this great article.
I have a question regarding the export personal data tool.
If my understanding is correct, a user can access his personal data by contacting the admin and waiting for an email response. I may be wrong, but it’s not a very user-friendly approach. And it also puts a big load on the admin if working with a big user database.
Is there a way to make this process automatically? Maybe a plugin that automatically exports & downloads the user, instead of having the admin do it manually?
Cheers,
Andrei
WPBeginner Support
Hi Andrei,
Hopefully, soon there will be some plugins available to automate the process. Right now, a user will have to contact an admin.
管理者
Peter Derek
Thank you for your informative article which I will read more thoroughly. However, I am obliged at this point to mention an issue which has caught my eye. You make mention of ‘EU citizens’ and ‘EU resident’ which are incorrect terms. No one can be legally resident in the EU as such, but only in their respective countries. The EU is not a country, but a bureaucracy which is basically an economic entity that enables free trade among its separate member states and has its own regulations to which member states are subject. The countries of Europe are situated in a landmass geographically, but each have their own identity and culture. Therefore it would be more accurate to refer to the GDPR in terms of relevance to member countries.
Editorial Staff
Hi Peter,
I am glad you found the article helpful. My goal with this article is to break down things to it’s simplest level. While the distinction exists on local levels, from the sake of this article any long-term resident of an EU member nation is considered an EU resident.
The law is being passed by EU as a whole with signatures from each member nation.
管理者
Benjamin
This is the best Guide i’ve been reading so far about GDPR. Thank you very much!
Editorial Staff
Thanks Benjamin, glad you found it helpful
管理者
Agnes
Thanks for the detailed info? Beyond the legal stuff, practical help and tools to make it possible are very needed here.
Editorial Staff
Hi Agnes, we added the tools in this article that can help you automate parts of the GDPR process.
管理者
Che
Hi, Can we write our own privacy policy or do we need a lawyer?
Also, can we copy the privacy policy of another site (certain sentences)?
Editorial Staff
Hi Che,
You can most definitely use the default WordPress privacy policy through the generator in 4.9.6. Just make sure you add everything that you’re collecting because there’s no such thing as one-size fits all.
管理者
Sieglinde
I am still confused. My website has a Add To Cart button but the shopping cart is at PayPal, not on my computer, they advise me when I have an order by email so I can ship to the name and address given the item ordered. I have not heard boo from PayPal about these regulations. I don’t store anything other than the name of the buyer and the ship-to address given to me.
If people sign up for my wordpress.com blog to “follow”, all I have is their email address and actually am personally never in touch with them. So what do I need to do?
Editorial Staff
Hey there,
You would need to update your privacy policy and add what information you store. Add a cookies notice on your blog if you’re adding cookies on the user’s browser and that’s about it.
管理者
Mark Corder
According to this (very helpful!) article, WP 4.9.6 now has Comments Consent by default. I’m always running the latest version (and I do have the new Privacy setting) but I don’t see this showing on my Comment forms, nor do I see a way to turn it on. I am running a “subscribe” plugin (Subscribe to Comments Reloaded) and this is all I see. Could this be blocking it? Otherwise, how do I activate this feature?
Editorial Staff
Hi Mark,
WordPress 4.9.6. added the comment consent box by default. Are you logged out when you’re checking this?
管理者
Mark Corder
Yes – I’ve logged-out, cleared both the WP cache and the browser’s, forced refreshes, tried different browsers … everything I can think of. I installed a clean version of WP 4.9.6 on a test server with NO plugins, and I can see it there – but not on any of the live sites I manage.
I’m still trying things … If I discover the problem, I’ll let you know. In the meantime, anyone have any ideas?
Mark Corder
OK, after a lot of reading and digging through the WP files, this seems to be a problem with some themes. As of WP 4.9.6, a “$cookies_consent” parameter was added, and while virtually all themes will have their own Comments Forms, many of them will not make use of this parameter – hence the fact that it doesn’t show up. For more information on what’s happening here (and needs to happen), see this article at WordPress.org : https://make.wordpress.org/core/2018/05/17/changes-that-affect-theme-authors-in-wordpress-4-9-6/ .
While this explains the problem and offers a way to fix it, I’m afraid this level of hacking to include a new parameter in the array may be beyond the average person that WPBeginner is focused on… So what to do?
* Contact your theme’s author and ask if they plan to update their theme to include this parameter … and best of luck to you.
* Switch to a theme that’s GDPR compliant and will show this checkbox option on the Comments Form. (The “bundled” WP themes like Twenty Seventeen and such have all been updated to show it.)
I predict that in the future you’re going to get a lot of questions about this very issue – you may even want to write a dedicated article about it!
And while I’m waiting to hear back from a couple of theme developers, I plan to roll up my sleeves and try adding this parameter myself. (Said the fearless code-hacker – who uses child-themes and backs everything up first!)
I hope this helps explain why this feature is probably not showing up for lots of others … and keep up the great work, folks!
Editorial Staff
Thanks for the link Mark. We’re going to work on getting this guide up ASAP
Marge
The comment consent box isn’t showing up for me, either. I’m logged out and using an incognito browser. I have seen others say the same thing in another forum.
Maria Spyrou
Hi! It seems I have the same problem here! I’m running Wordpress 4.9.6 and there is no consent checkbox for Comments. It goes without saying that I wasn’t logged in when I checked. Any ideas?
Laura Weed
And what do we do about Wordpress.com blogs? I wrote a privacy policy and I enabled the cookies notice, even though it does not go away when you click accept and close.
You also forgot Article 21. If your website is accessible and collects data from EU citizens, but you are not located in the EU, you are required to have a representative that IS located in the EU in case a local supervising authority needs to get hold of you. This is mandatory.
Editorial Staff
Hi Laura,
Data protection officer is not mandatory. You can review the infographic that we linked to in additional resources section of this article which is by the European Union themselves.
This is what it says in regards to a Data Protection Officer:
“This is not always obligatory. It depends on the type and amount of data you collect, whether processing is your main business and if you do it on a large scale.”
I’m certain more services will come out and offer representative services at scale for affordable prices.
管理者
Karin
This is good news .. unless I’m missing something loll
Guess this means that WP will stop sharing our IP’s addresses every time we comment – was not crazy about that .. Wish I knew that before to ensure my VPN’s always active loll But I was a newbie n guess I missed it
All good. I love WP, I love blogging there; been meeting some really great people. Thanks
Mike C
“around the world (not just in the European Union).”
Please, I’d like to know the source of this information. EU laws do not, and can not apply to US citizens. As I understand, GDPR will only apply to multi national corporations, i.e. ones that have some business unit(s) registered in the EU. Please cite the US statute that states GDPR regulations apply to US citizens operating a business out of the USA. I’ve not been able to find one, and no one has been able to point me to one as of yet. I think all this fear mongering is just plain wrong. EU regulations apply in the EU and US regulations apply in the US. The US has its own privacy related laws. Please advise?
Editorial Staff
Hi Mike,
By doing business online and making your website available to the entire world, you expose yourself to the jurisdiction of each state and country. It is a quite common argument that EU laws like GDPR does not apply here in US. That’s actually not true. We just haven’t seen them strictly enforced on companies outside of EU (or large multi-national corporation). This does not mean that it can’t happen.
A foreign government or entity can bring a legal case against you (for any reason), win in their respective jurisdiction and file for a motion in your local jurisdiction for a judgement claim. As you can imagine, the cost of doing this is very high, and this is why it doesn’t happen often.
However saying it can’t happen would be a mistake.
Again I’m no lawyer, and as I stated in the article above, people won’t get fined right away. You’ll get a warning first, then reprimand, and then fine. A lot of fear mongering is being done around fines right now, and I wanted to clarify that here in this article.
-Syed
管理者
Neghie Thervil
Since you’re not a lawyer, maybe it’s best not to give this kind of advice. There is a lot of misinformation in your comment and is the kind of info that causes widespread unnecessary panic.
Barbara Holtzman
As the “EU” launched two massive lawsuits against Alphabet (Google and Android) and Facebook as soon as the law went into effect, it’s pretty clear this law was and is a thinly veiled ruse to “get” those two companies.
As a one to sometimes three-person shop, with a company that rarely grosses over $1k (although I’m hoping to crank it up to $10k over time), the EU can have a fun go at me for the couple bucks in fines they might get.
More likely I’ll just block all non-US IP addresses [Israel can stay too, the EU will never let them in], and refuse to communicate or do any business with anyone in the EU. Since most of the research I do is US based anyway, and academic research at that, most likely no one will care.
I’ve always had a double-opt-in, don’t share any info with anyone policy, and my data is double anonymized with a proprietary algorithm. I don’t mind adding all the cookie and privacy warnings and such, so I’m probably in compliance anyway. But I don’t like the EU telling the rest of the world what it can and can’t do by fiat.
I hope Google and Facebook pull out of the EU along with me. Watching that and the fallout afterward will really be a hoot.
Christine Robinson
What are the rules for a non-hosted WordPress.com website? Only used for personal posts, not marketing anything. But I do have worldwide followers. Noticed you addressed WordPress.org only. Thank you!
Editorial Staff
Hi Christine, everything we do on WPBeginner is focused for helping self-hosted WordPress.org users.
I’d recommend reaching out to WordPress.com team to see what they’re doing about GDPR for their hosted sites.
-Syed
管理者
Vatsala Shukla
Thanks for the simple plain English post. I’ve shared it forward in a Facebook Group where one of the Group members had concerns about GDPR. Thank you for validating my understanding about GDPR and what we need to do for compliance without overwhelm.
Editorial Staff
Cheers
管理者
Luis Aquino
Thank you, thank you, thank you for a an easy to understand article!
Editorial Staff
You’re welcome Luis
管理者
Christos
Hello,
I’ve been using the free version for a while and could not be happier.
However, with regards to the GDRP integration, is that available only with a payment plan?
Thank you for a great plug-in! (Already a subscriber and happy to remain one)
Christos
Editorial Staff
Hi Christos, which plugin are you talking about?
For MonsterInsights, the EU compliance addon is available on paid plans only. For WPForms, it has enhancements for both Lite and Pro users (depending on individual needs).
管理者
Carole
Our website is for our organization and informational in nature. We don’t sell anything or have a blog. Do I still need to be GDPR compliant?
Editorial Staff
If you’re storing user’s data or adding cookies to their browsers, then yes
管理者
Vidya SUry
That’s a concise guide. Jetpack offers the cookie banner with a cookie policy. Today there was a pop up on the dashboard announcing help with the WP Privacy Policy–helping to populate the Privacy Policy subheadings.
My question is: why would one need a GDPR plug in when WP’s tools are available?
Also, how does the export/erase data work? From where do website visitors request that info?
Thanks Syed
Editorial Staff
Not everyone will need third-party GDPR plugins. It will depend on the type of site you have and your needs. If you’re using Google Analytics, then you would need the MonsterInsights EU compliance addon that either anonymizes IP address or integrates with a cookie notices plugin.
Adding an email in your privacy policy that a visitor can use to email you to request data export / erasure would work sufficiently. Alternatively, you can use a form plugin like WPForms to create a form on your site for that.
管理者
Fernando Tellado
Hi!
Sorry but WordPress isn’t GDPR compliant because it lacks of the first layer of information that must be agreed by the user. Las version of WordPress only doesn’t save the cookie but doesn’t have a place where to inform to the user that his name, IP, email, etc are going to be saved to the database, and doesn’t have the (not checked) checkbox to agree to this personal data storing.
Curiously, WooCommerce’s next version will include this type of feature in the new Privacy & Accounts tab.
Hugs!
Editorial Staff
Let’s see if WordPress adds that. I am not a lawyer, but in my opinion this can be addressed in the privacy policy. When the user submits the comment, they understand this information is being stored. However if you want to use their information for something other than just displaying comment (i.e sending a comment notification, email newsletters, etc) then you have to get additional consent.
I also expect a lot more plugins to come out to solve GDPR related issues
管理者
Alison Rayner
Thank you for producing an easy to understand and follow article on GDPR – the first time I’ve come across something that’s relevant and cuts through all the jargon!
Editorial Staff
Glad you found it helpful Alison
管理者
Pat Sonnenstuhl
I do not do financial transaction, nor store any information on my websites. I do charge any money for my sites. will i still need to go thru these costly hoops ?
Pat
Editorial Staff
Hi Pat, if you’re not using Google Analytics or adding any cookies to user’s browser, then you don’t need to do anything
管理者
Farukh
Thank you so much for posting this article. I was waiting from many days to listen your thoughts on GDPR. It is helpful and specially simple english. Thank you so much for helping on this matter.
Editorial Staff
You’re welcome Farukh
管理者
Julie Strietelmeier
I’d like to know what to do about Amazon affiliate links. How do we become compliant with them? I’ve tried to ask Amazon but they will not provide any advice.
Editorial Staff
Depending on who you ask, you will get differing opinions. Some will say because the referral cookies don’t get added on your site, you don’t have to do anything regarding affiliate links (it’s the merchant’s responsibility).
Others will recommend to use a cookie notice on your site and add Affiliate Links section in your privacy policy.
管理者
Julie Strietelmeier
I’ve been trying to find someone’s privacy policy where they mention affiliate links from Amazon and others like Skimlinks but haven’t been successful yet. Do you know of one that I can “borrow”?
Editorial Staff
Not yet, but we will be updating our privacy policy to add that in the coming days.
Christos
That actually makes sense – cookie disclaimer and affiliate notice. I use an affiliate notice in the base footer of my site and a cookie consent.
As long as we are transparent with all that we do there can be no comebacks – theoretically!!!
Christos
Dave Soucy
Nicely done. I’ll be sending my clients to read this instead of re-inventing the wheel and writing my own version.
Editorial Staff
Thanks Dave – glad you found it useful
管理者
Kichtrickster
Thanks for the article, great points! I honestly feel ready, but still feel like after a few days I’ll find out some stuff that will be totaly new for me.
https://www.omnisend.com/blog/gdpr-hub/the-3-foundations-of-the-gdpr/ for example here they say that you even need consent to see and save their IP information and such, and so much more. So I mean they disagree with cookie policy? Too bad then, can’t follow ‘em anymore. Tough luck really.
Editorial Staff
Yes you do need their consent to store IP information. That’s why in our guide we recommend that you anonymize IP for Google Analytics and use Cookie Notice or similar solution to get permission.
管理者