En steg-för-steg guide till GDPR i WooCommerce

Erik Häggqvist
Augusti 25, 2021

GDPR – Allmänna dataskyddsbestämmelserna

För att bli GDPR kompatibel så måste man se över sin woocommerce hemsida och sin marknadsförings procedur.

  1. Berätta för dina användare vem du är, vilken data du sparar, varför du sparar den och hur länge du sparar den samt vilka tredje parter som får del av den.
  2. Du måste få ett tydligt samtycke innan du sparar datan.
  3. Låt användare få ta del av datan.
  4. Låt användare ladda ned datan.
  5. Låt användare ta bort sin data.
  6. Låt användare veta om någonting har blivit hackat.

Detta är grundregler för att du inte ska kunna få upp till 200.000 miljoner i skadestånd, eller 4% av din globala omsättning.

Vilka är de konkreta sakerna man måste ändra i WordPress / WooCommerce

Sidor som behöver ändras kan vara:

  1. WooCommerce Terms & Conditions – Kassan
  2. WooCommerce integritetspolicy – Kassan
  3. WooCommerce User registration –  Mitt konto – sidan
  4. WooCommerce Cart Abandonment – Kassan
  5. WooCommerce product reviews – Produktsidan
  6. WordPress Comments – Bloggen
  7. WordPress & WooCommerce opt-in forms – nyhetsbrevet, Lead magnets, etc
  8. WordPress contact forms – Kontakta oss sidor
  9. WooCommerce analytics – Google analytics, etc
  10. WordPress & WooCommerce Plugins & API:s – Betalning, Email marknadsföring, etc
  11. Säkerhetsintrång

Kommande saker till WordPress & WooCommerce

  1. Integritetspolicy Generator
  2. Comment Form opt-ins
  3. Helper functions to anonymize data

Steg 1 – Villkor

Integritetspolicyn handlar om att informera användarna om datan du sparar medan villkoren inkluderar legala termer och regler som binder kunden till din affär. Därför kommer du mest behöva fokusera på integritetspolicyn ( samt visa den överallt ). Du borde ändra era villkor till ny ny GDPR-terminologi dock och hur kassan fångar kunduppgifterna. Du borde bara kunna länka till din integritetspolicy från villkoren. Om du inte har någon integritetspolicy eller några villkor kan du använda verktyg för att generera en. T.ex på shopify eller https://www.iubenda.com/en Du måste ha en checkbox som kunden klickar i att den förstår integritetspolicyn och villkoren. Den får inte vara ikryssad från start.

Steg 2 – WooCommerce integritetspolicy

I din integritetspolicy måste du ha med:

  1. Vem du är – Företag, adress, etc
  2. Vilken data sparar du – IP, Namn, Email, tele, adress
  3. Av vilken anledning sparar du – Fakturor, spårning, email kommunikation
  4. Hur länge sparar du uppgifter – fakturor över 7 år
  5. Vilka tredjeparter får del av uppgifterna – Mailchimp, Google, CRM
  6. Hur laddar kunden ned sin info – Antingen automatiskt eller av DOP
  7. Hur tar kunden bort sin info – antingen automatiskt eller av DOP
  8. Hur kontaktar kunden oss för data relaterade frågor – DOP

WordPress jobbar på en integretetspolicy generator, som ska finnas i WP -> Tools, men den är inte klar ännu. Du måste länka till integretetspolicy överallt. Det bör räcka med en note i footern. Och du måste ha en checkbox på varje sida när du kör en opt-in.

Steg 3 – Användarregistrering

Lägg till så de checkar i integritetspolicyn när de registrerar sig på ”mitt konto”. Here’s a snippet that allows you to add content on the WooCommerce My Account Register form – however, you will need to change “hook” and instead of using “woocommerce_register_form_start” you could try with “woocommerce_register_form_end” so that your HTML checkbox can be positioned below the register button. Exempel på en persons GDPR https://lookaside.fbsbx.com/file/GDPR%2025%3A5%202018.pdf?token=AWw0dK3x-siGDYeC3nu8400T7jZfJS5D9M7w-BZXJO_MHdbFCPXHT5CuDQTo6rN9gXazF_YebiJ6fXoaWbj1WJsx9-Jdjl8p6Esd3B7alwkahGlK3BsFefJ-PPUF4gCxgegWSdwAFNcDpQSJhY6M_Z1wohy8JNsoc5C_EeB432qIHA

Steg 4 – WooCommerce lämnad varukorg

De största som jobbar med “CA” håller på med en uppdateringen för att lösa detta. Just nu tar ju de email-adressen så fort den skrivs in i email rutan, men innan kunden hinner klicka i att de accepterar integritetespolicyn och villkoren. Lösning är på gång, men finns inte just nu.

Steg 5 – Produktrecensioner

Recensioner innehåller personlig data, så ett sätt kan vara att bara låta kunder som loggat in få skriva. Då har de redan accepterat alla avtal.

Steg 6 – WP kommentarer

Acceptera integritetespolicyn för att kommentera, samt en Cookis Opt-out. Det kommer nog komma en plugin för det snart.

Steg 7 – WP & Woo Opt-in formulär

Användare måste veta:

  1. Ge samtycke
  2. Veta varför deras data är nödvändig.
  3. Bara ge dig relevant data
  4. Veta hur de kan ta del av och ta bort sin data.
  5. Hur de opt-out.

Vanligtvis är de kopplat till något som redan har GDPR-kompatibel så det blir enklare för alla.

Steg 8 – WordPress kontaktförmulär

Alla kontaktformulär måste acceptera integritetespolicyn.

Steg 9 – WooCommerce analytics

Använder man Google Analytics, facebook pixlar etc, så använder du både cookies och hämtar data utan att någon accepterat det. Det bästa man kan göra di detta fallet är att kolla om ens tredjeparter har DPR policys. Det är DEM som samlar datan, inte DU. Google eller Facebook blir då din Data Processor medan ditt företag blir Data Controller, sen du kontrollerar vilken data som skickas till Google Analytics. Enligt Googles Analytics Team – Ett mail som de skickade till alla kontohållare 11 April 2018.

  1. Du behöver bry dig om GDPR även om du inte är belägen i EEA European Economic Area.
  2. De introducerade Granular Data Retention Controls, som tillåter dig sätta hur länge du vill hålla informationen på deras servrar. När tiden gått ut kommer datan automatiskt tas bort.
  3. Innan 25 Maj kommer de även introducera ett Data Deletion Tool så du kommer kunna ta bort en speciell individs data.
  4. GA kommer också satsa på att göra Customizable Cookie settings, Privacy Controls, ata Sharing settings, Data deletion on account termination och IP anonymesering.
  5. De kommer också uppdatera sina policys för Data Processors (DPA).

Steg 10 – WordPress och WooCommerce plugins

Frågor att ställa sig: Sparar, läser, får, använder, ändrar, hanterar, får tillgång till, detta pluginet någon användar data? Om pluginet gör det, så se till att det är ett säkert plugin, att de är GDPR redo och att de blir listat under tredjeparter i er integritetspolicy. Om svaret är nej. Är du verkligen 100% säker? I så fall behöver du inte göra något.

Steg 11: API

  1. Granska alla API:er du kopplar upp dig emot och granska alla som använder sig av ditt API.
  2. Ta bort alla som inte är GDPR godkända.
  3. Lägg till API:er till er integritetspolicy.

Steg 12 – Säkerhetsintrång

Om ni någongång skulle bli hackade så måste era kunder få reda på det inom 72 timmar enligt GDPR. Vad som räknas som hack är när  någon var av följade får tillgång till kundens information:

  1. En oaktoriserad data-processor eller en underleverantör.
  2. En icke GDPR-kompatibelt organ.
  3. En tredje part utan kunskap om ämnet och datan.
  4. En hackare.

Steg 13 – Samtycke från redan existerande kunder och prenumeranter

GDPR är retroaktivt, så du måste kontakta dina kunder, prenumeranter, användare och fråga dem om ett aktivt samtycke, så väl utbilda dem hur de laddar ned, tar bort eller får åtkomst till sin personliga data. Det beror lite på hur du fick tag i deras data dock.

  1. Samtycke fanns klart och tydligt från första början.
  2. Samtycke fannns, men inte de följde inte riktigt GDPR reglerna.
  3. Samtycke fanns inte.

Om 1. eller 2. skedde så har du två val. Antingen be dem om ett aktivt samtycke eller ta bort dem.