Jak zajistit, aby váš web WordPress odpovídal GDPR

Avatar pro Andrei Chira

Andrej Chira

·

wordpress-block-plugins

GDPR je legislativa EU na ochranu soukromí, která vstoupila v platnost 25. května 2018.

Pár týdnů před tímto datem to byl nával paniky od mnoha našich zákazníků, kteří nás žádali o pomoc s implementací GDPR na jejich blogy WordPress.

Slíbil jsem, že napíšu článek o GDPR, ale nenapsal jsem to až teď, skoro rok poté. To proto, že jsem čekal, jaké nástroje se objeví pro usnadnění implementace. Poté jsem zdokumentoval a implementoval na své weby.

Za prvé, GDPR není důvod k panice.

Jde o zákon o zdravém rozumu, který chce přimět vlastníky stránek k odpovědnosti za osobní údaje, které shromažďují od návštěvníků stránek.

Protože osobní údaje patří těmto lidem a my jako majitelé stránek si s těmito údaji nemůžeme dělat, co chceme. Potřebujeme jejich souhlas, abychom mohli shromažďovat a zpracovávat údaje určitým způsobem.

Mám jednoduchý blog, proč bych měl být v souladu s GDPR?

To byla nejčastější otázka našich zákazníků, kterými jsou většinou malí a střední nezávislí vydavatelé.

Musíte být v souladu, protože ukládáte osobní údaje, aniž byste o tom věděli.

Pokud vložíte video z Youtube nebo máte na svých stránkách tlačítka pro sdílení na Facebooku, cookies se uloží do prohlížeče návštěvníka.

Tyto soubory cookie jsou považovány za osobní údaje, protože mohou identifikovat osobu. Mohou sledovat návštěvníka z jednoho webu na druhý nebo vytvářet demografické profily atd.

Problém je, že někdy vaše webové stránky ukládají tyto osobní údaje. Je to ale zcela zbytečné, data sami nepoužíváte.

Dobře, co mám dělat, abych byl v souladu s GDPR?

Musíte prokázat, že rozumíte a respektujete práva jednotlivců, jejichž osobní údaje ukládáte a zpracováváte.

Zároveň byste tato práva měli skutečně respektovat, ne jen napsat do zásad ochrany osobních údajů, že je respektujete.

Pokud osoba požaduje odstranění svých údajů nebo se odhlásí z odběru vašeho newsletteru, musíte žádost dané osoby respektovat.

Jak jsem řekl výše, jsou to věci zdravého rozumu. Pokud respektujete návštěvníky stránek a zákazníky, jejichž osobní údaje shromažďujete, jste již na správné cestě.

Nejjednodušší způsob, jak implementovat GDPR na váš web WordPress, je použít externí řešení, specializovanou službu, jako je:

Tato jednoduchá možnost není zdarma. Neexistuje však způsob, jak být v souladu s GDPR bez placení – buď platíte penězi, nebo platíte časem a úsilím.

Implementace je poměrně složitá a zahrnuje jak konfiguraci, tak i programování a také právní poradenství od specializovaného právníka.

Jak jsem zařídil, aby můj web WordPress odpovídal GDPR

Níže vám řeknu, jak jsem implementoval GDPR na své weby WordPress. Musím zmínit, že nejsem právní poradce a tento návod se nerovná právnímu poradenství.

Abychom byli v souladu s GDPR, potřebujeme následující:

  • stránku zásad ochrany osobních údajů
  • informace o souborech cookie (mohou být součástí zásad ochrany osobních údajů)
  • výslovný souhlas se shromažďováním údajů (oznámení o banneru cookie)
  • možnost odvolat souhlas
  • nástroje pro uplatnění práv (export dat, mazání dat)

Nástroje pro uplatňování práv jsou ve WordPressu integrovány od verze 4.9.6. Osobní údaje můžete exportovat nebo smazat, pokud o to budete požádáni. Kontaktní údaje jsme umístili do našich zásad ochrany osobních údajů, aby nás mohl kontaktovat kdokoli, kdo chce tato práva uplatnit.

Zásady ochrany osobních údajů

Zásady ochrany osobních údajů by měly obsahovat následující informace:

  • kontaktní údaje vlastníka webu
  • kontaktní údaje národního úřadu pro ochranu údajů
  • údaje, které shromažďujete
  • jak data využíváte
  • kdo má přístup k datům
  • jak zajišťujete data
  • informace o souborech cookie
  • jaká jsou práva lidí, jejichž údaje shromažďujete
  • jak mohou uplatnit svá práva

Model zásad ochrany osobních údajů se nachází v administračním rozhraní WordPress. Přejděte do Nastavení> Soukromí a poté klikněte na odkaz „Podívejte se na našeho průvodce“.

stránka ochrany osobních údajů
stránka ochrany osobních údajů

Použil jsem model zásad ochrany osobních údajů vygenerovaný zásuvným modulem GDPR Framework, který jsem upravil o relevantní informace pro každý z mých webů.

Jakmile vytvoříte stránku zásad, musíte ji přidat do navigační nabídky, obvykle v zápatí webu.

Jaké údaje shromažďujeme a k čemu je používáme

V rámci zásad ochrany osobních údajů je také důležité uvést, jaké osobní údaje shromažďujete, proto potřebujeme vědět, jaké osobní údaje shromažďujeme.

Jak bylo uvedeno výše, někdy ukládáme data, aniž bychom o tom věděli.

Chcete-li zjistit, jaké osobní údaje shromažďujeme, musíte svůj web prověřit, abyste pochopili, jak funguje a jak ukládá data. Každý web je jiný, používá jiná témata a pluginy a má různé implementace.

Na jednoduchém blogu shromažďujete data prostřednictvím:

  • formulář pro komentáře WordPress
  • cookies umístěné pluginy

Údaje shromážděné formulářem pro komentáře jsou komentátor (jméno, e-mailová adresa, webová stránka) a také IP adresa a uživatelský agent. Tato data se používají k boji proti spamu.

Výchozí soubory cookie WordPress jsou soubory v komentářích (jméno, e-mail, webové stránky) a mají být v souladu s GDPR. Ve verzi 4.9.6 bylo zaškrtnuto, aby komentátor mohl přijmout, pokud si přeje, aby byly tyto soubory cookie uloženy ve vašem prohlížeči.

simplenet

Data pro internetové obchody

Pokud máte internetový obchod, shromažďujete údaje také prostřednictvím objednávkového formuláře produktů/služeb na stránce. Tyto údaje můžete použít pouze pro vyřízení objednávky: fakturace, doručení atd.

Jiné stránky mohou shromažďovat data prostřednictvím marketingových pluginů, kontaktních formulářů nebo formulářů pro přihlášení k odběru newsletteru. Lidé musí vědět, co děláte s údaji, které shromažďujete. Nemůžete zasílat newsletter těm, kteří se k odběru tohoto newsletteru výslovně nepřihlásili.

Trik, který některé obchody dělaly, bylo umístit na stránku pokladny předem zaškrtnuté políčko a zákazník byl automaticky přihlášen k odběru newsletteru. To již není legální. Můžete mít krabici, pokud ji chcete. Nelze to ale předem zkontrolovat, musí si to návštěvník zaškrtnout, pokud se chce přihlásit k odběru newsletteru.

Různé pluginy WordPress mohou shromažďovat další data (cookies): tlačítka sociálních médií, sledovací kódy jako Google Analytics nebo vložené soubory z jiných stránek (například videa na YouTube).

To vše je třeba identifikovat, a jakmile určíme, jaké údaje shromažďujeme a jak je shromažďujeme, musíme se rozhodnout, zda je skutečně potřebujeme nebo ne.

Identifikace souborů cookie

Snadný způsob, jak zjistit, jaké soubory cookie váš web ukládá, je použít bezplatnou zkušební verzi jedné z výše uvedených služeb (například OneTrust). Prohledají všechny stránky vašeho webu, vypíší všechny soubory cookie a zařadí je do kategorií.

Manuální metoda

Obtížnou metodou je identifikovat soubory cookie ručně.

Pokud používáte prohlížeč Google Chrome, smažete soubory cookie a mezipaměť z prohlížeče, poté přejděte na svůj web, klikněte pravým tlačítkem na stránku, poté klikněte na Zkontrolovat, přejděte do části Aplikace, poté klikněte na Úložiště a poté na Soubory cookie (v Safari je to Inspect Element > Úložiště > Soubory cookie).

Chcete-li identifikovat soubory cookie, musíte zkontrolovat všechny stránky webu, což je obtížné ručně.

Některé stránky jsou podobné, takže stojí za to se podívat:

  • první stránka
  • archivy (kategorie, značky, vyhledávání atd.)
  • jedna stránka příspěvku
  • stránky, které mají vložené prvky z jiných webů
  • stránka odběru newsletteru
  • stránka kontaktního formuláře
  • stránky s jinými formuláři nebo věcmi, které ukládají data (průzkum atd.)

Jak vidíte, je těžké ručně zkontrolovat, takže je nejlepší použít specializovanou službu, která automaticky prohledá všechny stránky webu.

Automatická metoda

Po identifikaci by měly být soubory cookie rozděleny do kategorií:

  • nezbytné (bez kterých web nemůže fungovat)
  • statistiky (například Google Analytics)
  • sociální sítě (Facebook, Youtube atd.)
  • reklama (retargeting, remarketing atd.)

Podle GDPR musí být návštěvníkům při vstupu na stránky sděleno, že ukládáte soubory cookie, musíte jim dát vědět, jaké soubory cookie ukládáte, a musí vám dát souhlas s ukládáním těchto souborů cookie.

Není v pořádku nastavit všechny soubory cookie jako nezbytné a mít pouze tlačítko pro přijetí; cookies musí být přijaty nebo odmítnuty pro každou kategorii.

Zároveň musíte mít také stránku s nastavením souborů cookie, odkud může návštěvník odvolat svůj souhlas, pokud vám jej dal v minulosti, nebo přijmout, pokud v minulosti odmítl a nyní změnil názor.

Pokud návštěvník odmítl kategorii souborů cookie sociálních médií, například při návštěvě webu, skripty sociálních médií by měly být zablokovány.

Složité, že?

Jo, nenašel jsem WordPress plugin, který dělá vše automaticky.

Plugginy, které jsem testoval

Pluginy, které jsem testoval, jsou:

V době mého testování se žádný z nich nezdál kompletní, potřebovaly další implementace, některé pro běžného uživatele docela složité.

Proto doporučuji specializovaná externí řešení, zejména pro stránky, které potřebují ukládat cookies. Mluvím o webech, které provádějí retargeting, remarketing, optimalizaci konverzního poměru atp.

Většina webových stránek však všechny tyto soubory cookie ukládat nemusí a mohly by fungovat dobře.

Podle zákona GDPR, pokud neshromažďujeme cookies, které jsou považovány za osobní údaje, pak není povinné žádat návštěvníka o souhlas s uložením cookies.

Pokud tedy ukládáme pouze nezbytné soubory cookie, nemusíme zobrazovat oznámení o banneru souborů cookie a také se zbavíme složitých implementací blokovacích skriptů a nastavení souborů cookie.

Zbavme se upozornění na banner cookie

Považuji za absurdní ničit design vašeho webu a uživatelskou zkušenost zobrazením vyskakovacího okna s žádostí o povolení k ukládání souborů cookie, které ani nepotřebujete a nepoužíváte.

Odstraňme tedy nepodstatné cookies, to je přesně v duchu zákona, tedy neukládat osobní údaje, pokud k tomu nemáme zákonný důvod.

Soubory cookie jsem na svém webu již identifikoval a problematické (osobní údaje) jsou:

  • Cookies Google Analytics
  • soubory cookie tlačítka sdílení (Facebook)
  • Soubory cookie YouTube
Jak se zbavit souborů cookie Google Analytics

Nepoužívám demografické údaje ani remarketing v Google Analytics / Adsense / Adwords, takže je nepotřebuji.

V zásadě musíte ve svém účtu Google Analytics udělat 4 věci:

  • přijmout dodatek ke zpracování údajů
  • zakázat sdílení dat
  • zakázat shromažďování dat pro reklamní funkce
  • zakázat ID uživatele

Toto je návod, který jsem postupoval pro nastavení všech výše uvedených. Je napsán vývojářem pluginu CAOS.

Poté je posledním krokem anonymizace IP adres návštěvníků.

Zahodil jsem plugin Google Analytics, který jsem použil, a ručně zkopíroval sledovací kód, do kterého jsem přidal následující kód.

ga('set', 'anonymizeIp', true);

Pokud se necítíte na práci s kódem, další možností je použít plugin Google Analytics s názvem CAOS – ten má v nastavení zaškrtávací políčko Anonymizovat IP.

Dobře, zbavili jsme se souborů cookie Google Analytics, které jsou osobními údaji; Google Analytics bude fungovat dobře i bez něj.

Jak se zbavit cookies na Facebooku

Bill Erickson a Jared Atchinson vytvořili plugin pro tlačítko sdílení, který je v souladu s GDPR, což znamená, že neukládá soubory cookie, sledovací skripty, absolutně nic, co je osobními údaji.

Plugin se nazývá Shared Counts .

Nahradil jsem plugin tlačítka sdílení tímto pluginem vyhovujícím GDPR, a tak jsem odstranil soubory cookie Facebooku.

Jak se zbavit souborů cookie YouTube

Na některé stránky na webu mám vložená videa a naštěstí jich není mnoho, takže je mohu ručně změnit. Pokud jich máte více, můžete vyhledávat a nahrazovat pomocí pluginu WordPress nebo přímo v databázi.

Nahradil jsem adresu URL youtube.com v kódu pro vložení adresou URL youtube-nocookie.com.

To je vše.

Identifikoval jsem, jaké soubory cookie se ukládají, a odstranil jsem ty, které jsem nepotřeboval, ponechal jsem pouze ty nezbytně nutné, ke kterým nepotřebuji získat souhlas návštěvníka, protože nejsou považovány za osobní údaje.

jaké soubory cookie jsou uloženy a odstraněny ty, které jsem nepotřeboval, ponechal jsem pouze ty nezbytně nutné

To odstranilo potřebu mít na mém webu soubor cookie s upozorněním na banner.

Mějte na paměti, že to, co jsem udělal výše, bylo speciálně pro mé webové stránky; můžete mít na svém webu jiné soubory cookie, každý web je jiný.

Další úvahy

Tento návod k GDPR jsem se snažil co nejvíce usnadnit, ale je to velmi komplikovaná záležitost.

To, co jsem popsal v tomto článku, se obecně hodí na většinu jednoduchých webů, jako je můj blog nebo moje firma, ale pro obchody nebo jiné online podniky nestačí jen implementovat nějaké věci na web, potřebujete také nějaké administrativní implementace.

Udělali jsme například následující:

  • jmenovali jsme DPO (pověřence pro ochranu osobních údajů)
  • požádali jsme o DPA (smlouvu o zpracování dat) od všech partnerů, u kterých uchováváme data
  • připravujeme návrh DPA, který můžeme nabídnout našim klientům
  • provedli jsme školení pro naše zaměstnance o ochraně dat

Doufám, že vám to pomohlo k tomu, aby byl váš web WordPress v souladu s GDPR, pokud jsem něco přehlédl, neváhejte zanechat komentář, pokusím se odpovědět na otázky nebo vás nasměrovat na příslušné zdroje.

Komentáře

Zanechat odpověď

Vaše emailová adresa nebude zveřejněna. Povinná pole jsou označena *

angličtina