Kuinka tehdä WordPress-sivustostasi GDPR-yhteensopiva

kirjoittaja

Andrei Chira
kohdassa
wordpress block plugins

GDPR on EU:n tietosuojalaki, joka tuli voimaan 25.5.2018.

Pari viikkoa ennen tätä päivämäärää monet asiakkaamme joutuivat paniikkiin ja pyysivät meiltä apua GDPR:n käyttöönottamiseksi heidän WordPress-blogeissaan.

Lupasin kirjoittaa artikkelin GDPR:stä, mutta en kirjoittanut tätä vasta nyt, melkein vuoden kuluttua. Tämä johtuu siitä, että odotin nähdäkseni, mitä työkaluja käyttöönoton helpottamiseksi tulisi esiin. Sitten dokumentoin ja toteutin verkkosivuillani.

Ensinnäkin GDPR:ssä ei ole paniikkia.

Se on tervettä järkeä koskeva laki, joka haluaa saada sivustojen omistajat vastuuseen sivuston vierailijoilta keräämistään henkilötiedoista.

Koska henkilötiedot kuuluvat näille ihmisille, emmekä me sivustojen omistajina voi tehdä näillä tiedoilla mitä haluamme. Tarvitsemme heidän hyväksynnän kerätäksemme ja käsitelläksemme tietoja tietyllä tavalla.

Minulla on yksinkertainen blogi, miksi minun pitäisi noudattaa GDPR:ää?

Tämä oli eniten kysytty kysymys asiakkailtamme, jotka ovat enimmäkseen pieniä ja keskisuuria itsenäisiä kustantajia.

Sinun on noudatettava vaatimuksia, koska tallennat henkilötietoja tietämättäsi.

Jos upotat videon Youtubesta tai sivustollasi on Facebook-jakopainikkeet, evästeet tallennetaan vierailijan selaimeen.

Näitä evästeitä pidetään henkilötiedoina, koska ne voivat tunnistaa henkilön. He voivat seurata kävijää sivustolta toiselle tai luoda väestöprofiileja jne.

Ongelmana on, että joskus verkkosivustosi tallentaa kyseiset henkilötiedot. Mutta se on täysin tarpeetonta, et käytä tietoja itse.

Ok, mitä teen noudattaakseni GDPR:ää?

No, sinun on osoitettava, että ymmärrät ja kunnioitat niiden henkilöiden oikeuksia, joiden henkilötietoja tallennat ja käsittelet.

Samalla sinun tulee todella kunnioittaa näitä oikeuksia, ei vain kirjoittaa tietosuojakäytäntöösi, että kunnioitat sitä.

Jos henkilö pyytää tietojensa poistamista tai peruuttaa uutiskirjeen tilauksen, sinun on kunnioitettava henkilön pyyntöä.

Kuten edellä sanoin, nämä ovat terveen järjen asioita. Jos kunnioitat sivuston vierailijoita ja asiakkaita, joiden henkilötietoja keräät, olet jo oikeilla jäljillä.

Helpoin tapa ottaa GDPR käyttöön WordPress-sivustollasi on käyttää ulkoista ratkaisua, erikoispalvelua, kuten:

Tämä helppo vaihtoehto ei ole ilmainen. Mutta GDPR:n noudattaminen ei ole mahdollista maksamatta – joko maksat rahalla tai maksat ajallaan ja vaivalla.

Toteutus on melko monimutkaista ja sisältää sekä konfiguroinnit tai jopa ohjelmoinnin että myös oikeudellisen neuvonnan erikoistuneelta lakimieheltä.

Kuinka tein WordPress-sivustostani GDPR-yhteensopivan

Alla kerron sinulle, kuinka otin GDPR:n käyttöön WordPress-sivustoillani. Minun on mainittava, että en ole lainopillinen neuvonantaja, ja tämä opetusohjelma ei ole yhtä laillista neuvontaa.

Jotta voimme noudattaa GDPR:ää, tarvitsemme seuraavat asiat:

  • tietosuojakäytäntösivu
  • evästetiedot (ne voidaan sisällyttää tietosuojakäytäntöön)
  • nimenomainen suostumus tietojen keräämiseen (evästebanneriilmoitus)
  • mahdollisuus peruuttaa suostumus
  • työkalut oikeuksien käyttämiseen (tietojen vienti, tietojen poistaminen)

Oikeuksien käyttötyökalut on integroitu WordPressiin versiosta 4.9.6 lähtien. Voit viedä tai poistaa henkilötietoja, jos sinua pyydetään tekemään niin. Olemme lisänneet yhteystiedot tietosuojaselosteeseemme, jotta jokainen, joka haluaa käyttää näitä oikeuksia, voi ottaa meihin yhteyttä.

Tietosuojakäytäntö

Tietosuojaselosteen tulee sisältää seuraavat tiedot:

  • sivuston omistajan yhteystiedot
  • kansallisen tietosuojaviranomaisen yhteystiedot
  • keräämäsi tiedot
  • miten käytät tietoja
  • kenellä on pääsy tietoihin
  • miten suojaat tiedot
  • evästetiedot
  • mitkä ovat niiden ihmisten oikeudet, joiden tietoja keräät
  • kuinka he voivat käyttää oikeuksiaan

Tietosuojakäytännön malli löytyy WordPressin hallintaliittymästä. Siirry kohtaan Asetukset> Tietosuoja ja napsauta sitten "Tutustu oppaaseemme" -linkkiä.

tietosuojasivu
tietosuojasivu

Olen käyttänyt GDPR Framework -laajennuksen luomaa tietosuojakäytäntömallia, jota olen muokannut kunkin sivustoni asiaankuuluvilla tiedoilla.

Kun olet luonut käytäntösivun, sinun on lisättävä se navigointivalikkoon, yleensä sivuston alatunnisteeseen.

Mitä tietoja keräämme ja mihin käytämme niitä

Osana tietosuojakäytäntöä on myös tärkeää ilmoittaa, mitä henkilötietoja keräät, joten meidän on tiedettävä, mitä henkilötietoja keräämme.

Kuten edellä mainittiin, joskus tallennamme tietoja tietämättämme.

Jotta voit tunnistaa, mitä henkilötietoja keräämme, sinun on tarkastettava sivustosi ymmärtääksesi, kuinka se toimii ja kuinka se tallentaa tietoja. Jokainen verkkosivusto on erilainen, se käyttää erilaisia ​​teemoja ja laajennuksia sekä erilaisia ​​toteutuksia.

Yksinkertaisessa blogissa keräät tietoja:

  • WordPressin kommenttilomake
  • lisäosien asettamat evästeet

Kommenttilomakkeen keräämiä tietoja ovat kommentoija (nimi, sähköpostiosoite, verkkosivusto) sekä IP-osoite ja käyttäjäagentti. Näitä tietoja käytetään roskapostin torjuntaan.

WordPressin oletusevästeet ovat kommenteissa (nimi, sähköpostiosoite, verkkosivusto) olevia evästeitä, joiden on oltava GDPR:n mukaisia. Versiossa 4.9.6 on lisätty valintamerkki, jotta kommentoija voi hyväksyä, jos hän haluaa, että nämä evästeet tallennetaan selaimeesi.

simplenet

Tiedot verkkokaupoista

Jos sinulla on verkkokauppa, keräät tietoja myös sivuston tuotteiden/palveluiden tilauslomakkeen kautta. Voit käyttää näitä tietoja vain tilauksen käsittelyyn: laskutus, toimitus jne.

Muut sivustot voivat kerätä tietoja markkinointilaajennusten, yhteydenottolomakkeiden tai uutiskirjeiden tilauslomakkeiden avulla. Ihmisten on tiedettävä, mitä teet keräämilläsi tiedoilla. Et voi lähettää uutiskirjettä niille, jotka eivät ole nimenomaisesti tilaaneet uutiskirjettä.

Eräs temppu, jota jotkut kaupat tekivät, oli laittaa valmiiksi valintaruutu kassasivulle, jolloin asiakas tilasi uutiskirjeen automaattisesti. Tämä ei ole enää laillista. Voit saada laatikon, jos haluat. Mutta sitä ei voi ennakkoon tarkistaa, vierailijan on tarkistettava se, jos hän haluaa tilata uutiskirjeen.

Erilaiset WordPress-laajennukset voivat kerätä muita tietoja (evästeitä): sosiaalisen median painikkeita, seurantakoodeja, kuten Google Analytics, tai upotuksia muilta sivustoilta (esimerkiksi Youtube-videot).

Kaikki tämä on tunnistettava, ja kun olemme päättäneet, mitä tietoja keräämme ja miten keräämme niitä, meidän on päätettävä, tarvitsemmeko niitä todella vai emme.

Evästeiden tunnistaminen

Helppo tapa tunnistaa, mitä evästeitä sivustosi tallentaa, on käyttää ilmaista kokeiluversiota jostakin yllä luetelluista palveluista (esimerkiksi OneTrust). He skannaavat kaikki sivustosi sivut, luettelevat kaikki evästeet ja luokittelevat ne.

Manuaalinen menetelmä

Vaikein tapa on tunnistaa evästeet manuaalisesti.

Jos käytät Google Chrome -selainta, poista evästeet ja välimuisti selaimesta, siirry sitten verkkosivustollesi, napsauta sivua hiiren kakkospainikkeella, napsauta sitten Tarkista, siirry Sovellus-osioon, valitse Tallennus ja sitten Evästeet (Safarissa se on Inspect Element > Tallennus > Evästeet).

Sinun on tarkistettava kaikki sivuston sivut evästeiden tunnistamiseksi, mitä on vaikea tehdä käsin.

Jotkut sivut ovat samankaltaisia, joten kannattaa tutustua:

  • ensimmäinen sivu
  • arkistot (luokat, tunnisteet, haku jne.)
  • yhden postauksen sivu
  • sivut, joilla on upotuksia muista sivustoista
  • uutiskirjeen tilaussivu
  • yhteydenottolomakesivu
  • sivut, joilla on muita lomakkeita tai asioita, jotka säästävät tietoja (kysely jne.)

Kuten näet, manuaalinen tarkistaminen on vaikeaa, joten on parasta käyttää erikoispalvelua, joka tarkistaa automaattisesti kaikki sivuston sivut.

Automaattinen menetelmä

Kun evästeet on tunnistettu, ne tulee jakaa luokkiin:

  • välttämätön (verkkosivusto ei toimi ilman)
  • tilastot (esim. Google Analytics)
  • sosiaalinen media (Facebook, Youtube jne.)
  • mainonta (uudelleenkohdistaminen, uudelleenmarkkinointi jne.)

GDPR:n mukaan vierailijoille tulee kertoa sivustolle saapuessaan, että tallennat evästeitä, sinun on kerrottava heille, mitä evästeitä tallennat, ja heidän on annettava sinulle suostumus näiden evästeiden tallentamiseen.

Ei ole ok asettaa kaikkia evästeitä välttämättömiksi ja käyttää vain hyväksymispainiketta; evästeet on hyväksyttävä tai evättävä jokaisessa luokassa.

Samalla tulee olla myös evästeasetussivu, jolta vierailija voi peruuttaa hyväksyntänsä, jos hän on antanut sen sinulle aiemmin, tai hyväksyä, jos hän on aiemmin kieltäytynyt ja nyt on muuttanut mielensä.

Jos vierailija kieltäytyi sosiaalisen median evästekategoriasta esimerkiksi vieraillessaan sivustolla, sosiaalisen median skriptit tulee estää.

Monimutkaista, eikö?

Joo, en löytänyt WordPress-laajennusta, joka tekisi kaiken automaattisesti.

Testaamiani liitännäiset

Testaamani laajennukset ovat:

Testaukseni aikana mikään niistä ei vaikuttanut valmiilta, ne tarvitsivat lisätoteutuksia, joista jotkut olivat melko monimutkaisia ​​keskimääräiselle käyttäjälle.

Siksi suosittelen erikoistuneita ulkoisia ratkaisuja, erityisesti sivustoille, jotka tarvitsevat evästeitä. Puhun sivustoista, jotka suorittavat uudelleenkohdistamista, uudelleenmarkkinointia, tulosprosentin optimointia jne.

Useimpien verkkosivustojen ei kuitenkaan tarvitse tallentaa kaikkia evästeitä, ja ne voivat toimia hyvin.

GDPR-lain mukaan, jos emme kerää evästeitä, jotka katsotaan henkilötiedoiksi, ei ole pakollista pyytää vierailijalta suostumusta evästeiden tallentamiseen.

Joten jos tallennamme vain välttämättömät evästeet, meidän ei tarvitse näyttää kyseistä evästebanneriilmoitusta, ja pääsemme myös eroon monimutkaisista estokomentosarjojen ja evästeasetusten toteutuksista.

Minusta on järjetöntä pilata sivustosi suunnittelu ja käyttökokemus näyttämällä ponnahdusikkuna, jossa kävijöitä pyydetään antamaan sinulle lupa tallentaa evästeitä, joita et edes tarvitse tai käytä.

Joten poistetaan ei-välttämättömät evästeet, tämä on nimenomaan lain hengessä, eli olla tallentamatta henkilötietoja, ellei meillä ole laillista syytä.

Olen jo tunnistanut evästeet verkkosivustollani, ja ongelmalliset evästeet (henkilötiedot) ovat:

  • Google Analytics -evästeet
  • Jaa-painikkeen evästeet (Facebook)
  • Youtube evästeet
Kuinka päästä eroon Google Analyticsin evästeistä

En käytä demografisia tietoja tai uudelleenmarkkinointia Google Analyticsissa/Adsensessa/Adwordsissa, joten en tarvitse niitä.

Periaatteessa sinun on tehtävä 4 asiaa Google Analytics -tililläsi:

  • hyväksyä tietojenkäsittelyn muutos
  • poista tietojen jakaminen käytöstä
  • poista tietojen kerääminen mainontaominaisuuksia varten
  • poista käyttäjätunnus käytöstä

Tämä on opetusohjelma, jota noudatin kaikkien yllä olevien määrittämiseksi. Sen on kirjoittanut CAOS-laajennuksen kehittäjä.

Sen jälkeen viimeinen vaihe on anonymisoida vierailijoiden IP-osoitteet.

Hylkäsin käyttämäni Google Analytics -laajennuksen ja kopioin manuaalisesti seurantakoodin, johon lisäsin seuraavan koodin.

ga('set', 'anonymizeIp', true);

Jos et halua työskennellä koodin kanssa, toinen vaihtoehto on käyttää Google Analytics -laajennusta nimeltä CAOS – sen asetuksissa on Anonymize IP -valintamerkki.

Selvä, olemme päässeet eroon Google Analyticsin evästeistä, jotka ovat henkilökohtaisia ​​tietoja. Google Analytics toimii hyvin ilman sitä.

Kuinka päästä eroon Facebookin evästeistä

Bill Erickson ja Jared Atchinson ovat tehneet jakopainikelaajennuksen, joka on yhteensopiva GDPR:n kanssa, mikä tarkoittaa, että se ei tallenna evästeitä, seurantaskriptejä, ei mitään henkilökohtaista tietoa.

Laajennusta kutsutaan nimellä Shared Counts .

Olen korvannut jakopainikelaajennuksen tällä GDPR-yhteensopivalla laajennuksella, joten olen poistanut Facebook-evästeet.

Kuinka päästä eroon Youtuben evästeistä

Olen upottanut videoita joillekin sivuston sivuille, ja onneksi niitä ei ole paljon, joten voin muuttaa niitä manuaalisesti. Jos sinulla on enemmän, voit etsiä ja korvata WordPress-laajennuksella tai suoraan tietokannasta.

Olen korvannut upotuskoodin youtube.com-URL-osoitteen youtube-nocookie.com-URL-osoitteella.

Siinä se.

Olen tunnistanut, mitä evästeitä tallennetaan ja poistanut ne, joita en ole tarvinnut, jättäen vain ehdottoman välttämättömät, joihin minun ei tarvitse pyytää vierailijan suostumusta, koska niitä ei pidetä henkilötiedoina.

mitkä evästeet tallennetaan ja poistetaan ne, joita en tarvinnut, jättäen vain ehdottoman välttämättömät

Tämä on poistanut tarpeen käyttää banneriilmoitusevästettä verkkosivustollani.

Muista, että se, mitä tein edellä, koski erityisesti verkkosivustojani; sinulla saattaa olla muita evästeitä verkkosivustollasi, jokainen sivusto on erilainen.

Muita huomioita

Olen yrittänyt tehdä tästä GDPR-opetusohjelmasta mahdollisimman helpon, mutta se on hyvin monimutkainen asia.

Tässä artikkelissa kuvatut asiat sopivat yleensä useimpiin yksinkertaisiin verkkosivustoihin, kuten blogiini tai yritykseeni, mutta kauppoihin tai muihin verkkoyrityksiin ei riitä vain joidenkin asioiden toteuttaminen sivustolla, vaan tarvitaan myös joitain hallinnollisia toteutuksia.

Olemme esimerkiksi tehneet seuraavaa:

  • nimitimme tietosuojavastaavan (DPO)
  • pyysimme DPA:ta (tietojenkäsittelysopimus) kaikilta kumppaneilta, joissa säilytämme tietoja
  • laadimme DPA:ta, jota voimme tarjota asiakkaillemme
  • olemme järjestäneet työntekijöillemme tietosuojakoulutusta

Toivottavasti tämä on auttanut sinua tekemään WordPress-verkkosivustostasi GDPR-yhteensopivan. Jos minulta jäi jotain huomaamatta, jätä kommentti, yritän vastata kysymyksiin tai ohjata sinut asiaankuuluviin resursseihin.

Jaa se:

Kommentit

Jätä vastaus

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *