GDPR a WordPress

GDPR & WordPress : Technická opatření, která byste měli provést

Dne 25.5.2018 vstoupila v platnost stránka EUGDPR . Nabízíme vám přehled technických opatření, která považujeme na pozadí GDPR za důležitá, abyste mohli provozovat své webové stránky WordPress právně bezpečným způsobem.

Prohlášení

Náš příspěvek na blogu není právním poradenstvím! V rámci naší práce jako hostingové společnosti WordPress jsme se velmi intenzivně zabývali platnými německými předpisy o ochraně osobních údajů a předpisy EUGDPR . Nejsme však právníci ani odborníci na ochranu osobních údajů. Nepřebíráme žádnou odpovědnost za úplnost, aktuálnost a správnost námi poskytnutých opatření a obsahu.

GDPROdstraňte škodlivé pluginy WordPressu a nahraďte je alternativami kompatibilními s GDPR.

Pokud musí moduly plug-in navázat platné připojení k jinému webu a předat údaje, jako je IP adresa, stává se to problematickým. Takové zásuvné moduly by rozhodně měly být nahrazeny alternativou vyhovující požadavkům EUGDPR- přinejmenším do doby, než výrobci zveřejní legálně vyhovující verzi svých zásuvných modulů.

Shromažďování anonymních statistik návštěvníků

Samozřejmě bychom také rádi věděli, co na našich webových stránkách funguje obzvlášť dobře, co lidé rádi čtou nebo sdílejí, jak dlouho návštěvníci zůstávají na stránce nebo jak vysoká je míra odezvy. V souvislosti s EUGDPR se právní situace trochu zpřísnila. Stejně jako tomu bylo již podle předchozího německého nařízení o ochraně osobních údajů, musíte každého návštěvníka svých webových stránek zcela anonymizovat. Žádné osobní údaje však nesmí být předávány jiným službám.

Z tohoto důvodu doporučujeme službu Statify, aby všechny anonymizované osobní údaje zůstaly na vašich webových stránkách a nebyly předávány dalším službám.

Podle informací o zásuvném modulu zásuvný modul nezpracovává, neodesílá ani neukládá žádné osobní údaje, jako jsou soubory cookie nebo IP adresy, mimo vaše webové stránky.

Použití legálních avatarů pro blogy a komentáře

Avatar Privacy od Petera Putzera nabízí následující funkce pro implementaci GDPR : Na jedné straně není zveřejněn hash e-mailové adresy, pokud pro ni neexistuje účet Gravatar. Za druhé nabízí možnost opt-in nebo opt-out pro zobrazení Gravataru v komentářích a v profilu uživatele. Kromě toho plugin poskytuje nové výchozí avatary, které se načítají z místního serveru místo ze serverů gravatar.com v USA.

Alternativou je úplná deaktivace gravatarů na vlastních webových stránkách:

Chcete-li však Gravatar ve WordPressu zcela deaktivovat, musíte v administraci WordPressu v nabídce "Nastavení" provést následující nastavení: Přejděte v podnabídce v části Diskuze dolů, až se dostanete do sekce Avatary. Poté deaktivujte zaškrtávací políčko: "Zobrazení avataru - Zobrazit avatary". Kliknutím na tlačítko Uložit použijte nastavení a vymažte mezipaměť webu. Nyní by vaše webové stránky již neměly komunikovat s wordpress.com .

Postup dvojitého přihlášení k odběru komentářů

Zde je třeba předem říci, že oznámení dalších komentářů k vlastnímu komentáři již předpokládá předání údajů. Pokud chcete vyloučit negativní výklad této "šedé zóny", použijte bezplatný doplněk Odebírat komentáře s dvojitým přihlášením. Tímto způsobem musí návštěvník předem aktivně potvrdit, že chce skutečně dostávat oznámení o následných komentářích.

Omezení antispamové ochrany na vlastní webové stránky

Zde lze použít například Antispam Bee nebo Akismet. Antispam Bee lze používat v souladu s GDPR, pokud dodržíte následující nastavení pluginu: Funkce "Zohlednit veřejnou databázi spamu" musí být deaktivována, aby se zabránilo předávání IP adres vašich návštěvníků službě Stop Forum Spam. Jazykový filtr, který využívá Google API, není z hlediska ochrany osobních údajů problematický, na rozdíl od toho, co se mnozí domnívají:

Pokud je aktivován řečový filtr, prvních deset slov každého komentáře se odešle službě Google k rozpoznání řeči. Tři slova obsahu komentáře. Ne e-mailová adresa, ne jméno komentující osoby, ne IP adresa. Sečteno a podtrženo: žádné osobní údaje, a tudíž žádný problém. - Simon Kraft, člen skupiny Pluginkollektiv

Nahrazení zálohovacích pluginů WordPressu alternativními řešeními, pokud je to nutné

Abyste zabránili například přenosu osobních údajů na americké servery a jako pozitivní vedlejší efekt uvolnili další výkonnostní kapacity svých webových stránek, měli byste zvážit, zda nepoužívat speciální zálohovací pluginy WordPressu. Existují také alternativy k zálohovacímu pluginu WordPressu, které můžete zvážit.

Použití cachování webového serveru místo pluginu cachování WordPressu

Mnoho pluginů mezipaměti odvádí dobrou práci při ukládání webu do mezipaměti. Díky ukládání do mezipaměti se webové stránky zobrazují rychleji. Ukládání do mezipaměti však s sebou nese i ztrátu kontroly nad daty.

Alternativou, která je v souladu s právními předpisy a která také zajistí, že zmizí výkonově náročné moduly plug-in, je použití mezipaměti na straně serveru.

Výhoda: data jsou uložena již při dodání a alespoň na adrese Raidboxes jsou umístěna pouze na německých serverech se zaručenou certifikací ISO 27001.

Předcházení problematickým sociálním pluginům

Služby sdílení často používají data již v okamžiku, kdy jsou návštěvníci na webu s aktivním sociálním pluginem. I když ještě nebylo nic sdíleno, data jsou již předávána. To je z hlediska webu GDPR rozhodující.

Zásuvné moduly kontaktních formulářů

Podle obecného nařízení o ochraně osobních údajů vyžaduje odeslání formuláře souhlas odesílatele. Údaje zahrnují nejen osobní IP, ale také e-mailovou adresu a samotný obsah. Souhlas s ukládáním dat lze implementovat pomocí dodatečného zaškrtávacího políčka Acceptance v kontaktním formuláři 7 a v Gravity Forms, například pomocí bezplatného pluginu WP GDPR Compliance. V současné době by však všechny pluginy tohoto typu měly mít implementovány požadavky týkající se GDPR .

Newsletter & e-mailový marketing

Ve formulářích pro zasílání newsletteru by měla být povinným polem pouze e-mailová adresa, všechny ostatní údaje, jako je jméno a příjmení, by měly být vyžadovány pouze jako volitelné. Stejně jako u všech formulářů platí i pro formulář pro zasílání newsletteru postup double opt-in a co největší transparentnost informací o tom, co přesně hodláte prostřednictvím newsletteru dělat nebo nabízet.

Pokud jste tak ještě neučinili, vždy použijte postup dvojitého přihlášení! Při použití double opt-in musí příjemce e-mailu po první registraci podruhé výslovně kliknout na odkaz v potvrzovacím e-mailu, aby byl zařazen do distribučního seznamu. Tím je zajištěno, že se nikdo nezaregistruje k odběru newsletteru vaším jménem a že skutečnou registraci si přejete i vy.

Technická opatření mimo pluginy WordPress

Šifrování SSL

Šifrování SSL není na webu GDPR povinné, ale bez připojení SSL není bezpečný přenos dat po webu možný. Více informací o SSL se dozvíte také v našem rozsáhlém kompendiu Let's Encrypt SSL.

Nechcete si certifikát SSL nastavovat sami? Pak použijte například SSL certifikáty od společnosti Let's Encrypt, které můžete pro své webové stránky WordPress aktivovat snadno a rychle zdarma pomocí instalace jedním kliknutím.

Vytvoření odhlášení z Google Analytics

V této souvislosti je třeba znovu zdůraznit, že úplná anonymizace návštěvníků je povinná. Aby to bylo zajištěno, je třeba často používaný nástroj Google Analytics rozšířit o následující řádek kódu:

ga('set', 'anonymizeIp', true);

Pokud váš fragment Javascriptu vypadal předem takhle:

<script>
(function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
})(window,document,'script','https://www.google-analytics.com/analytics.js','ga');
ga('create', 'UA-XXXXXXXX-X', 'auto');
ga('require', 'displayfeatures');
ga('require', 'linkid', 'linkid.js');
ga('send', 'pageview');
</script>

po přidání kód vypadá takhle:

<script>
(function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
})(window,document,'script','https://www.google-analytics.com/analytics.js','ga');
ga('create', 'UA-XXXXXXXX-X', 'auto');
ga('require', 'displayfeatures');
ga('require', 'linkid', 'linkid.js');
ga('set', 'anonymizeIp', true);
ga('send', 'pageview');
</script>




Kromě toho musíte ve svých zásadách ochrany osobních údajů vytvořit možnost, která návštěvníkům vašich webových stránek umožní zcela se odhlásit ze služby Google Analytics. V adresáři pluginů pro WordPress najdete bezplatný plugin pro odhlášení ze služby Google Analytics s názvem Google Analytics Opt-Out. Ten nainstaluje soubor cookie, který zabrání souboru analytics.js shromažďovat údaje.

Anonymizované IP adresy v komentářích k blogům

WordPress ve výchozím nastavení ukládá IP adresy autorů komentářů. Podle EUGDPR však shromažďování IP adres není v souladu s předpisy o ochraně osobních údajů. Budoucímu ukládání IP adres můžete zabránit pomocí malého kódu PHP ve svém souboru functions.php. Doporučujeme k tomu použít podřízené téma, aby byl kód integrován i po další aktualizaci vašeho tématu. Kód, který je třeba vložit, je následující:

function  wpb_remove_commentsip( $comment_author_ip ) {
	return '';
	}
add_filter( 'pre_comment_user_ip', 'wpb_remove_commentsip' );

Nakonec musíte jednou ručně odstranit stávající IP adresy z databáze svých webových stránek. Dobrý návod, jak to provést, najdete zde.

Líbil se vám tento článek?

Svou recenzí nám pomůžete zlepšit náš obsah.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Povinná pole jsou označena *.