Jak sprawić, by Twoja witryna WordPress była zgodna z RODO

RODO to unijne przepisy dotyczące ochrony prywatności, które weszły w życie 25 maja 2018 r.

Kilka tygodni przed tą datą wielu naszych klientów wpadło w panikę, prosząc nas o pomoc we wdrożeniu RODO na swoich blogach WordPress.

Obiecałam, że napiszę artykuł o RODO, ale napisałam go dopiero teraz, bo prawie rok później. To dlatego, że czekałem, jakie pojawią się narzędzia ułatwiające wdrożenie. Następnie dokumentowałem i wdrażałem na swoich stronach internetowych.

Po pierwsze, RODO nie ma powodu do paniki.

Jest to prawo oparte na zdrowym rozsądku, które chce, aby właściciele witryn byli odpowiedzialni za dane osobowe, które zbierają od osób odwiedzających witrynę.

Ponieważ dane osobowe należą do tych osób i my, jako właściciele witryn, nie możemy zrobić z tymi danymi, co chcemy. Aby zbierać i przetwarzać dane w określony sposób, potrzebujemy ich zgody.

Mam prosty blog, dlaczego miałbym przestrzegać RODO?

To było najczęściej zadawane pytanie przez naszych klientów, którymi są głównie mali i średni niezależni wydawcy.

Musisz przestrzegać zasad, ponieważ przechowujesz dane osobowe, nie wiedząc o tym.

Jeśli osadzisz film z YouTube lub masz na swojej stronie przyciski udostępniania Facebooka, w przeglądarce odwiedzającego zapisywane są pliki cookie.

Te pliki cookie są uważane za dane osobowe, ponieważ mogą zidentyfikować osobę. Mogą śledzić użytkownika z jednej witryny na drugą, tworzyć profile demograficzne itp.

Problem polega na tym, że czasami Twoja witryna zapisuje te dane osobowe. Ale jest to całkowicie niepotrzebne, sam nie korzystasz z danych.

OK, co mam zrobić, aby zachować zgodność z RODO?

Cóż, musisz wykazać, że rozumiesz i respektujesz prawa osób, których dane osobowe przechowujesz i przetwarzasz.

Jednocześnie powinieneś faktycznie szanować te prawa, a nie tylko pisać w swojej polityce prywatności, że je szanujesz.

Jeżeli dana osoba prosi o usunięcie swoich danych lub rezygnuje z otrzymywania Twojego newslettera, musisz uszanować jej prośbę.

Jak wspomniałem powyżej, są to kwestie zdroworozsądkowe. Jeśli szanujesz osoby odwiedzające witrynę i klientów, których dane osobowe gromadzisz, jesteś już na dobrej drodze.

Najłatwiejszym sposobem wdrożenia RODO na Twojej stronie WordPress jest skorzystanie z rozwiązania zewnętrznego, specjalistycznej usługi takiej jak:

• Iubenda
• Cookiebot
• Jedno zaufanie
• Quantcast
• ZaufanieArc
• Evidon
• Tealium
• Clym

Ta łatwa opcja nie jest bezpłatna. Nie da się jednak zachować zgodności z RODO bez płacenia – albo płacisz pieniędzmi, albo płacisz czasem i wysiłkiem.

Wdrożenie jest dość skomplikowane i obejmuje zarówno konfigurację, jak i programowanie, a także poradę prawną ze strony wyspecjalizowanego prawnika.

Jak dostosowałem moją witrynę WordPress do RODO

Poniżej opowiem Ci jak wdrożyłem RODO na moich stronach WordPress. Zaznaczam, że nie jestem radcą prawnym i niniejszy poradnik nie jest równoznaczny z poradą prawną.

Aby zachować zgodność z RODO, potrzebujemy:

• stronę z polityką prywatności
• informacja o plikach cookies (może być zawarta w polityce prywatności)
• wyraźna zgoda na gromadzenie danych (baner informacyjny dotyczący plików cookie)
• możliwość wycofania zgody
• narzędzia do realizacji praw (eksport danych, usuwanie danych)

Narzędzia do realizacji praw są zintegrowane z WordPressem od wersji 4.9.6. Możesz wyeksportować lub usunąć dane osobowe, jeśli zostaniesz o to poproszony. Dane kontaktowe umieściliśmy w naszej polityce prywatności, aby każdy, kto chce skorzystać z tych praw, mógł się z nami skontaktować.

Polityka prywatności

Polityka prywatności powinna zawierać następujące informacje:

• dane kontaktowe właściciela witryny
• dane kontaktowe krajowego organu ochrony danych
• dane, które zbierasz
• jak wykorzystujesz dane
• kto ma dostęp do danych
• jak zabezpieczasz dane
• informacje o plikach cookie
• jakie prawa mają osoby, których dane zbierasz
• w jaki sposób mogą korzystać ze swoich praw

Model polityki prywatności znajduje się w interfejsie administracyjnym WordPress. Przejdź do Ustawienia> Prywatność, a następnie kliknij link „Sprawdź nasz przewodnik”.

Zastosowałem model polityki prywatności wygenerowany przez wtyczkę RODO Framework, który zmodyfikowałem o odpowiednie informacje dla każdej z moich witryn.

Po utworzeniu strony zasad należy dodać ją do menu nawigacyjnego, zwykle w stopce witryny.

Jakie dane zbieramy i do czego je wykorzystujemy

W ramach polityki prywatności ważne jest również określenie, jakie dane osobowe gromadzisz, dlatego musimy wiedzieć, jakie dane osobowe zbieramy.

Jak wspomniano powyżej, czasami zapisujemy dane bez wiedzy.

Aby określić, jakie dane osobowe gromadzimy, musisz przeprowadzić audyt swojej witryny, aby zrozumieć, jak ona działa i jak przechowuje dane. Każda witryna jest inna, wykorzystuje inne motywy i wtyczki oraz ma różne implementacje.

Na prostym blogu zbierasz dane poprzez:

• formularz komentarza WordPress
• pliki cookies umieszczane przez wtyczki

Dane zbierane przez formularz komentowania to komentator (imię i nazwisko, adres e-mail, strona internetowa), a także adres IP i agent użytkownika. Dane te służą do zwalczania spamu.

Domyślne pliki cookie WordPress to te, które znajdują się w komentarzach (imię i nazwisko, adres e-mail, strona internetowa) i są zgodne z RODO. W wersji 4.9.6 dodano znacznik wyboru, aby komentator mógł wyrazić zgodę, jeśli chce, aby te pliki cookie były zapisywane w Twojej przeglądarce.

Dane dla sklepów internetowych

Jeśli prowadzisz sklep internetowy, zbierasz dane również poprzez formularz zamówienia produktów/usług znajdujący się na stronie. Dane te możesz wykorzystać wyłącznie w celu realizacji zamówienia: rozliczenia, dostawy itp.

Inne witryny mogą zbierać dane za pośrednictwem wtyczek marketingowych, formularzy kontaktowych lub formularzy subskrypcji biuletynu. Ludzie muszą wiedzieć, co robisz ze zbieranymi danymi. Nie możesz wysyłać biuletynu do osób, które wyraźnie nie zapisały się na ten biuletyn.

Trik, jaki stosowały niektóre sklepy, polegał na umieszczeniu na stronie kasy wstępnie zaznaczonego pola, dzięki czemu klient automatycznie zapisał się do newslettera. To już nie jest legalne. Jeśli chcesz, możesz mieć pudełko. Nie można tego jednak wcześniej sprawdzić, odwiedzający musi to sprawdzić, jeśli chce zapisać się do newslettera.

Różne wtyczki WordPress mogą zbierać inne dane (pliki cookie): przyciski mediów społecznościowych, kody śledzące, takie jak Google Analytics lub osady z innych witryn (na przykład filmy z YouTube).

Wszystko to należy zidentyfikować, a kiedy już ustalimy, jakie dane i w jaki sposób je gromadzimy, musimy zdecydować, czy faktycznie ich potrzebujemy, czy nie.

Identyfikacja plików cookie

Łatwym sposobem sprawdzenia, jakie pliki cookie zapisuje Twoja witryna, jest skorzystanie z bezpłatnej wersji próbnej jednej z usług wymienionych powyżej (na przykład OneTrust). Skanują wszystkie strony Twojej witryny, wyświetlają listę wszystkich plików cookie i kategoryzują je.

Metoda ręczna

Trudną metodą jest ręczna identyfikacja plików cookie.

Jeśli korzystasz z przeglądarki Google Chrome, usuń pliki cookie i pamięć podręczną z przeglądarki, następnie przejdź do swojej witryny, kliknij stronę prawym przyciskiem myszy, następnie kliknij Sprawdź, przejdź do sekcji Aplikacja, następnie kliknij Pamięć, a następnie Pliki cookie (w przeglądarce Safari jest to Sprawdź element > Przechowywanie > Pliki cookie).

Musisz sprawdzić wszystkie strony witryny, aby zidentyfikować pliki cookie, co jest trudne do zrobienia ręcznie.

Niektóre strony są podobne, więc warto sprawdzić:

• pierwsza strona
• archiwa (kategorie, tagi, wyszukiwanie itp.)
• strona z jednym postem
• strony zawierające osadzone treści z innych witryn
• strona subskrypcji biuletynu
• strona formularza kontaktowego
• strony z innymi formularzami lub elementami przechowującymi dane (ankiety itp.)

Jak widać, ciężko to sprawdzić ręcznie, dlatego najlepiej skorzystać ze specjalistycznej usługi, która automatycznie skanuje wszystkie strony serwisu.

Metoda automatyczna

Po zidentyfikowaniu pliki cookie należy podzielić na kategorie:

• niezbędne (bez których strona nie może działać)
• statystyki (na przykład Google Analytics)
• media społecznościowe (Facebook, Youtube itp.)
• reklama (retargeting, remarketing itp.)

Zgodnie z RODO, gdy odwiedzający wchodzą na witrynę, muszą zostać poinformowani, że zapisujesz pliki cookie, musisz poinformować ich, jakie pliki cookie zapisujesz, a oni muszą wyrazić zgodę na zapisywanie tych plików cookie.

Nie jest w porządku ustawianie wszystkich plików cookie jako niezbędnych i posiadanie tylko przycisku akceptacji; pliki cookie muszą zostać zaakceptowane lub odrzucone dla każdej kategorii.

Jednocześnie musisz mieć także stronę z ustawieniami plików cookie, na której odwiedzający może wycofać swoją zgodę, jeśli wyraził ją w przeszłości, lub zaakceptować, jeśli w przeszłości odmówił, a teraz zmienił zdanie.

Jeśli odwiedzający odrzucił kategorię plików cookie mediów społecznościowych, na przykład podczas odwiedzania witryny, skrypty mediów społecznościowych powinny zostać zablokowane.

Skomplikowane, prawda?

Tak, nie znalazłem wtyczki WordPress, która robi wszystko automatycznie.

Wtyczki, które przetestowałem

Wtyczki, które przetestowałem to:

• Ramy RODO
• RODO
• Informacja o plikach cookie

W momencie moich testów żaden z nich nie wydawał się kompletny, wymagał dodatkowych implementacji, niektóre dość skomplikowane dla przeciętnego użytkownika.

Dlatego polecam wyspecjalizowane rozwiązania zewnętrzne, szczególnie dla witryn, które muszą zapisywać pliki cookies. Mówię o witrynach, które wykonują retargeting, remarketing, optymalizację współczynnika konwersji itp.

Jednak większość witryn internetowych nie musi zapisywać wszystkich tych plików cookie i może działać dobrze.

Zgodnie z przepisami RODO, jeżeli nie gromadzimy plików cookies uznawanych za dane osobowe, nie ma obowiązku pytania osoby odwiedzającej o zgodę na zapisanie plików cookies.

Jeśli więc zapiszemy tylko niezbędne pliki cookie, nie będziemy musieli wyświetlać tego banera z informacją o plikach cookie, a także pozbędziemy się skomplikowanych implementacji skryptów blokujących i ustawień plików cookie.

Pozbądźmy się banera z informacją o plikach cookie

Uważam za absurdalne psucie projektu witryny i komfortu użytkownika poprzez wyświetlanie wyskakującego okienka z prośbą do odwiedzających o pozwolenie na zapisanie plików cookie, których nawet nie potrzebujesz ani nie używasz.

Usuńmy zatem niepotrzebne pliki cookies, właśnie w duchu prawa, czyli nie zapisywania danych osobowych, jeśli nie mamy ku temu uzasadnionego powodu.

Zidentyfikowałem już pliki cookies na mojej stronie, a problematyczne (dane osobowe) to:

• Pliki cookie Google Analytics
• przycisk udostępniania plików cookie (Facebook)
• Pliki cookie z YouTube'a

Jak pozbyć się plików cookie Google Analytics

Nie korzystam z danych demograficznych ani remarketingu w Google Analytics/Adsense/Adwords, więc nie są mi one potrzebne.

Zasadniczo musisz zrobić 4 rzeczy na swoim koncie Google Analytics:

• zaakceptować zmianę dotyczącą przetwarzania danych
• wyłącz udostępnianie danych
• wyłączyć gromadzenie danych dla funkcji reklamowych
• wyłącz identyfikator użytkownika

To jest samouczek, z którego skorzystałem, aby skonfigurować wszystkie powyższe. Jest napisany przez twórcę wtyczki CAOS.

Następnie ostatnim krokiem jest anonimizacja adresów IP odwiedzających.

Porzuciłem używaną przeze mnie wtyczkę Google Analytics i ręcznie skopiowałem kod śledzący, do którego dodałem poniższy kod.

ga('zestaw', 'anonymizeIp', prawda);

Jeśli nie czujesz się komfortowo w pracy z kodem, inną opcją jest skorzystanie z wtyczki Google Analytics o nazwie CAOS – która w ustawieniach posiada zaznaczenie Anonimizuj IP.

OK, pozbyliśmy się plików cookie Google Analytics, które są danymi osobowymi; Google Analytics będzie działać bez niego.

Jak pozbyć się plików cookie Facebooka

Bill Erickson i Jared Atchinson stworzyli wtyczkę przycisku udostępniania, która jest zgodna z RODO, co oznacza, że ​​nie zapisuje plików cookie, skryptów śledzących ani absolutnie niczego, co jest danymi osobowymi.

Wtyczka nazywa się Shared Counts .

Zastąpiłem wtyczkę przycisku udostępniania tą wtyczką zgodną z RODO, w związku z czym usunąłem pliki cookie Facebooka.

Jak pozbyć się plików cookie YouTube

Na niektórych stronach serwisu umieściłem filmy wideo i na szczęście jest ich niewiele, więc mogę je zmieniać ręcznie. Jeśli masz więcej, możesz wyszukiwać i zamieniać za pomocą wtyczki WordPress lub bezpośrednio w bazie danych.

Zastąpiłem adres URL youtube.com w kodzie osadzania adresem URL youtube-nocookie.com.

To wszystko.

Zidentyfikowałem, jakie pliki cookie są zapisywane i wyeliminowałem te, których nie potrzebowałem, pozostawiając tylko te absolutnie niezbędne, na które nie muszę uzyskiwać zgody odwiedzającego, ponieważ nie są one uważane za dane osobowe.

Wyeliminowało to potrzebę umieszczania pliku cookie z banerem informacyjnym na mojej stronie internetowej.

Pamiętaj, że to, co zrobiłem powyżej, dotyczyło specjalnie moich witryn internetowych; możesz mieć inne pliki cookie na swojej stronie internetowej, każda witryna jest inna.

Inne względy

Starałem się maksymalnie uprościć ten poradnik dotyczący RODO, jednak jest to bardzo skomplikowana sprawa.

To, co opisałem w tym artykule, ogólnie pasuje do większości prostych stron internetowych, takich jak mój blog czy moja firma, ale w przypadku sklepów lub innych firm internetowych nie wystarczy tylko zaimplementować pewne rzeczy na stronie, potrzebne są również pewne wdrożenia administracyjne.

Na przykład wykonaliśmy następujące czynności:

• wyznaczyliśmy IOD (inspektora ochrony danych)
• poprosiliśmy o DPA (umowę o przetwarzaniu danych) od wszystkich partnerów, u których przechowujemy dane
• opracowujemy umowę DPA, którą możemy zaoferować naszym klientom
• przeprowadziliśmy szkolenia dla naszych pracowników z zakresu ochrony danych

Mam nadzieję, że pomogło Ci to w dostosowaniu Twojej witryny WordPress do RODO. Jeśli coś przeoczyłem, możesz zostawić komentarz, postaram się odpowiedzieć na pytania lub skierować Cię do odpowiednich zasobów.