در رابطه با حریم خصوصی یا Privacy ، موسسه WordPress.org چندین پیشرفت را پیش از مقررات عمومی حفاظت از داده اروپا انجام داد. پس از راهاندازی این کار، ما حریم خصوصی را به تمرکز دائمی در توسعه مسیرهای اصلی تبدیل کردهایم، که به ما امکان میدهد به بهبود حریم خصوصی و حفاظت از دادهها خارج از قوانین خاص ادامه دهیم.
اما چه نوع مسائلی ممکن است تحت تعریف «حریم خصوصی» قرار گیرند، و چگونه آن را تعریف کنیم؟ اگرچه الزامات حفظ حریم خصوصی در کشورها، فرهنگها و نظامهای حقوقی بسیار متفاوت است، چندین اصل کلی وجود دارد که در هر موقعیتی قابل اجرا هستند.
- رضایت و انتخاب:
دادن حق انتخاب به کاربران (و بازدیدکنندگان سایت) در مورد استفاده از داده هایشان، و نیاز به انتخاب واضح، خاص و آگاهانه.
- مشروعیت و مشخصات هدف:
فقط دادههای شخصی را برای هدفی که برای آن در نظر گرفته شده است جمعآوری و استفاده میکند و کاربر از قبل به وضوح از آن مطلع شده است.
- محدودیت مجموعه:
فقط داده های کاربر مورد نیاز را جمع آوری کنید. اگر می توانید از داده ها کپی نکنید یا داده های خود را با داده های سایر افزونه ها ترکیب نکنید
- به حداقل رساندن داده ها:
پردازش داده ها و همچنین تعداد افرادی که به آن دسترسی دارند را به حداقل استفاده و افراد لازم محدود می کند.
- محدودیت استفاده، نگهداری و افشا:
حذف داده هایی که دیگر مورد نیاز نیست، هم در استفاده فعال و هم در بایگانی، هم توسط گیرنده و هم هر شخص ثالث.
- دقت و کیفیت:
اطمینان حاصل شود که دادههای جمعآوریشده و مورد استفاده صحیح، مرتبط و بهروز هستند، بهویژه اگر دادههای نادرست یا ضعیف میتواند تأثیر نامطلوبی بر کاربر بگذارد.
- باز بودن، شفافیت و اطلاع رسانی:
به کاربران اطلاع دهید که چگونه داده های آنها جمع آوری، استفاده می شود و به اشتراک گذاشته می شود، و همچنین هر گونه حقوقی که در مورد این استفاده ها دارند.
- مشارکت و دسترسی فردی:
به کاربران وسیله ای برای دسترسی یا دانلود داده های خود ارائه دهید.
- مسئولیت پذیری:
مستندسازی استفاده از داده ها، محافظت از آن در هنگام انتقال و استفاده توسط اشخاص ثالث، و جلوگیری از سوء استفاده و نقض تا حد امکان.
- امنیت اطلاعات:
حفاظت از داده ها از طریق اقدامات فنی و امنیتی مناسب.
- رعایت حریم خصوصی یا Privacy:
اطمینان از اینکه کار با مقررات حریم خصوصی مکانی که در آن برای جمعآوری و پردازش دادههای افراد استفاده میشود، مطابقت دارد.
در حالی که همه این اصول در همه موقعیت ها و استفاده ها قابل اجرا نیستند، استفاده از آنها در فرآیند توسعه می تواند به اطمینان از اعتماد کاربر کمک کند.
بسیاری از اصول حریم خصوصی یا Privacy در چارچوب Privacy by Design مورد حمایت قرار گرفته اند که بیان می کند:
- حریم خصوصی یا Privacy باید فعال باشد، نه واکنشی، و باید مسائل مربوط به حریم خصوصی را قبل از رسیدن به کاربر پیش بینی کند. حریم خصوصی نیز باید پیشگیرانه باشد، نه اصلاحی.
- حریم خصوصی یا Privacy باید تنظیم پیش فرض باشد. کاربر نباید برای حفظ حریم خصوصی خود اقداماتی انجام دهد و رضایت برای به اشتراک گذاری داده ها نباید فرض شود.
- حریم خصوصی باید در طراحی به عنوان یک عملکرد اصلی و نه یک افزونه تعبیه شود.
- حریم خصوصی یا Privacy باید مجموع مثبت باشد: نباید بین حریم خصوصی و امنیت، حریم خصوصی و ایمنی، یا حفظ حریم خصوصی و ارائه خدمات، مبادله ای وجود داشته باشد.
- حریم خصوصی باید از طریق به حداقل رساندن داده ها، حفظ حداقل داده ها، و حذف منظم داده هایی که دیگر مورد نیاز نیست، محافظت از چرخه حیات را ارائه دهد.
- استانداردهای حفظ حریم خصوصی یا Privacy مورد استفاده در افزونه شما (و سرویس، در صورت وجود) باید قابل مشاهده، شفاف، باز، مستند و مستقل باشند.
- حریم خصوصی باید کاربر محور باشد. به افراد باید گزینههایی مانند انتخابهای حریم خصوصی، حداکثر پیشفرض حریم خصوصی، اطلاعیههای اطلاعات حریم خصوصی، گزینههای کاربرپسند، و اطلاعرسانی واضح از تغییرات داده شود.
برای کمک به آماده شدن افزونه خود، توصیه می کنیم لیست سوالات زیر را برای هر افزونه ای که می سازید بررسی کنید:
1 – پلاگین شما چگونه داده های شخصی را مدیریت می کند؟ از wp_add_privacy_policy_content (پیوند) برای افشای هر یک از موارد زیر به کاربران خود استفاده کنید:
2 – آیا افزونه داده های شخصی را با اشخاص ثالث به اشتراک می گذارد (مانند API ها/سرورهای خارجی). اگر چنین است، چه دادههایی را با چه اشخاص ثالثی به اشتراک میگذارد و آیا آنها خطمشی رازداری منتشر شدهای دارند که میتوانید به آن پیوند بدهید؟
3 – آیا این افزونه داده های شخصی را جمع آوری می کند؟ اگر چنین است، چه دادههایی و کجا ذخیره میشوند؟ به مکانهایی مانند دادههای کاربر/متا، گزینهها، متای پست، جداول سفارشی، فایلها و غیره فکر کنید.
4 – آیا این افزونه از داده های شخصی جمع آوری شده توسط دیگران استفاده می کند؟ اگر چنین است، چه داده هایی؟ آیا افزونه داده های شخصی را به SDK منتقل می کند؟ آن SDK با داده ها چه می کند؟
5 – آیا این افزونه داده های تله متری را به طور مستقیم یا غیر مستقیم جمع آوری می کند؟ برای مثال، بارگیری یک تصویر از منبع شخص ثالث در هر نصب، می تواند به طور غیرمستقیم داده های استفاده از همه نصب های افزونه شما را ثبت و ردیابی کند.
6 – آیا افزونه جاوا اسکریپت، پیکسلهای ردیابی یا iframeهای شخص ثالث را در صف قرار میدهد (JS شخص ثالث، پیکسلهای ردیابی و iframes میتوانند دادهها/عملکردهای بازدیدکننده را جمعآوری کنند، کوکیها را باقی بگذارند و غیره)؟
7 – آیا این افزونه چیزهایی را در مرورگر ذخیره می کند؟ اگر هست کجا و چی؟ به چیزهایی مانند کوکی ها، ذخیره سازی محلی و غیره فکر کنید.
اگر افزونه شما اطلاعات شخصی را جمع آوری می کند…
8 – آیا صادرکننده داده های شخصی را ارائه می دهد؟
9 – آیا پاسخ به تماس پاک کن داده های شخصی را ارائه می دهد؟
10 – به چه دلایلی (در صورت وجود) افزونه از پاک کردن اطلاعات شخصی خودداری می کند؟ (به عنوان مثال سفارشی که هنوز تکمیل نشده است، و غیره) – این موارد نیز باید افشا شوند.
11 – آیا افزونه از ثبت خطا استفاده می کند؟ آیا در صورت امکان از ثبت اطلاعات شخصی جلوگیری می کند؟ آیا می توانید از چیزهایی مانند wp_privacy_anonymize_data برای به حداقل رساندن داده های شخصی ثبت شده استفاده کنید؟ ورودی های گزارش چه مدت نگهداری می شوند؟ چه کسی به آنها دسترسی دارد؟
12 – در wp-admin چه نقش/قابلیت هایی برای دسترسی/دیدن داده های شخصی مورد نیاز است؟ آیا آنها کافی هستند؟
13 – چه اطلاعات شخصی در قسمت جلویی سایت توسط افزونه نمایش داده می شود؟ آیا برای کاربرانی که وارد سیستم شده اند و از سیستم خارج شده اند به نظر می رسد؟
14 – چه اطلاعات شخصی در نقاط پایانی REST API توسط افزونه در معرض دید قرار می گیرد؟ آیا برای کاربرانی که وارد سیستم شده اند و از سیستم خارج شده اند به نظر می رسد؟ چه نقشها/ قابلیتهایی برای دیدن آن لازم است؟ آیا آن ها مناسب هستند؟
15 – آیا افزونه به درستی داده ها را از جمله داده های شخصی حذف/پاک می کند:
در حین حذف نصب افزونه
16 – هنگامی که یک مورد مرتبط حذف می شود (به عنوان مثال از متای پست یا هر ردیف پس از ارجاع در جدول دیگر)؟
17 – وقتی یک کاربر حذف می شود (به عنوان مثال از هر کاربری که به ردیف های جدول ارجاع می دهد)؟
18 – آیا این افزونه کنترل هایی را برای کاهش داده های شخصی مورد نیاز ارائه می دهد؟
19 – آیا افزونه تنها زمانی که SDK یا API به آن نیاز داشته باشد داده های شخصی را با SDK یا API به اشتراک می گذارد یا اینکه افزونه داده های شخصی اختیاری را نیز به اشتراک می گذارد؟
20 – آیا مقدار داده های شخصی جمع آوری شده یا به اشتراک گذاشته شده توسط این افزونه با نصب برخی افزونه های دیگر تغییر می کند؟