W dniu 25.05.2018 r. weszła w życie unijna stronaRODO . Oferujemy przegląd technicznych środków ostrożności, które uważamy za ważne w kontekście RODO w celu obsługi Twojej witryny WordPress w sposób bezpieczny pod względem prawnym.
Zastrzeżenie
Nasz wpis na blogu nie jest poradą prawną! W ramach naszej pracy jako hostera WordPress bardzo intensywnie zajmowaliśmy się obowiązującymi niemieckimi przepisami o ochronie danych i unijnymRODO . Nie jesteśmy jednak ani prawnikami, ani ekspertami w dziedzinie ochrony danych. Nie ponosimy żadnej odpowiedzialności za kompletność, aktualność i poprawność dostarczonych przez nas środków i treści.
RODOUsuń szkodliwe wtyczki WordPress i zastąp je alternatywami zgodnymi z RODO.
Nawet wszystkie wtyczki dostarczane przez komercyjną firmę Automattic WordPress wymagają ważnego połączenia z wordpress.com , a tym samym bezpośredniego połączenia nie tylko z Twoimi danymi, ale także, na przykład, z osobistym adresem IP odwiedzających Twoją witrynę. Są one doskonałym przykładem tego rodzaju wtyczek, które lepiej zastąpić alternatywą zgodną z UERODO od 25. Mai 2018 - przynajmniej do czasu, gdy producenci opublikują zgodną z prawem wersję swoich wtyczek.
Poniższe wtyczki Automattic WordPress są przykładami dla wszystkich przedstawicieli ich odpowiednich działów w katalogu wtyczek WordPress jako przykład dla tego artykułu:
- Jetpack (Statystyki -Plugin)
- Gravatar (Społeczność -Plugin)
- Akismet (Anti-Spam Plugin)
- VaultPress (wtyczka do tworzenia kopii zapasowych)
- WP Super Cache (Caching Plugin)
Aby móc nadal obsługiwać swoją witrynę zgodnie z własnymi wymaganiami, możesz skorzystać z następujących alternatyw, które nie przekazują żadnych danych osobowych odwiedzających.
Zbieraj anonimowe statystyki odwiedzających
Oczywiście chcielibyśmy również wiedzieć, co działa szczególnie dobrze na naszej stronie internetowej, co ludzie lubią czytać lub udostępniać, jak długo odwiedzający pozostają lub jak wysoki jest współczynnik odrzuceń. Dzięki unijnej stronieRODO sytuacja prawna stała się nieco bardziej rygorystyczna. Musisz całkowicie zanonimizować każdego odwiedzającego Twoją witrynę, tak jak miało to miejsce w poprzednim niemieckim rozporządzeniu o ochronie danych. Żadne dane osobowe nie mogą być jednak przekazywane do innych usług.
Z tego powodu zalecamy Statify, aby wszystkie zanonimizowane dane osobowe pozostały w Twojej witrynie i nie były przekazywane żadnym innym usługom.
Według twórców Statify, wtyczka nie przetwarza, nie wysyła ani nie przechowuje żadnych danych osobowych, takich jak pliki cookie lub adresy IP poza Twoją witryną.
Używaj zgodnych z prawem awatarów na blogu i w komentarzach
- Avatar Privacy umożliwia zgodne z zasadami RODO korzystanie z funkcjiWordPress -Gravatar.
Avatar Privacy by Johannes Freudendahl oferuje następujące funkcje do implementacji RODO : Po pierwsze, nie publikuje hash adresów email, jeśli nie ma dla nich konta Gravatar. Z drugiej strony, oferuje opcję opt-in lub opt-out dla wyświetlania Gravatara w komentarzach i w profilu użytkownika. Ponadto, Plugin udostępnia nowe domyślne awatary, które są ładowane z lokalnego serwera zamiast z serwerów gravatar.com w USA.
Alternatywą jest całkowita dezaktywacja gravatarów na twojej stronie internetowej:
- Awatar użytkownika WP zamiast Gravatara
Aby jednak całkowicie dezaktywować Gravatar w WordPress, musisz wprowadzić następujące ustawienia w obszarze administracyjnym WordPress w pozycji menu "Ustawienia": Przewiń w dół w podmenu w sekcji Dyskusje, aż dojdziesz do sekcji Awatary. Następnie dezaktywuj pole wyboru: "Wyświetlanie awatarów - Pokaż awatary". Kliknij Zapisz, aby zastosować ustawienia i usunąć pamięć podręczną witryny. Teraz twoja strona nie powinna już komunikować się z wordpress.com .
Procedura double opt-in dla komentarzy
W tym miejscu należy z góry zaznaczyć, że powiadamianie o dalszych komentarzach do własnego komentarza już zakłada, że dane zostaną przekazane dalej. Jeśli chcesz wykluczyć negatywną interpretację tej "szarej strefy", skorzystaj z darmowej wtyczki Subskrybuj komentarze z podwójnym wejściem. W ten sposób odwiedzający musi wcześniej aktywnie potwierdzić, że naprawdę chce otrzymywać powiadomienia o kolejnych komentarzach.
Ogranicz ochronę antyspamową do własnej strony internetowej
- Antyspam Bee zamiast Akismet
Antispam Bee może być używany w sposób zgodny z RODO, jeśli przestrzegane są następujące ustawienia Plugins : Funkcja "Uwzględnij publiczną bazę spamu" musi być wyłączona, aby zapobiec przesyłaniu adresów IP odwiedzających do serwisu Stop Forum Spam. Filtr językowy, wykorzystujący API Google, jest wbrew założeniom wielu osób zajmujących się ochroną danych osobowych - technicznie nieproblematyczny:
Jeśli filtr mowy został włączony, pierwsze dziesięć słów każdego komentarza jest wysyłane do usługi rozpoznawania mowy Google. Trzy słowa treści komentarza. Nie adres e-mail, nie imię i nazwisko osoby komentującej, nie adres IP. Podsumowując: brak danych osobowych, a więc brak problemu. - Simon Kraft, członek Pluginkollektiv
WordPress -Backup-Plugins zastąpić rozwiązaniami alternatywnymi
Aby przeciwdziałać przesyłaniu danych osobowych na przykład na serwery w Stanach Zjednoczonych i, jako pozytywny efekt uboczny, uwolnić dalsze możliwości wydajnościowe Twojej witryny, zalecamy powstrzymanie się od korzystania ze specjalnych wtyczek do tworzenia kopii zapasowych WordPress w przyszłości.
Lepszą alternatywą jest korzystanie z automatycznych kopii zapasowych WordPressa za pośrednictwem hostingu, np. na stronie Raidboxes.
Użyj buforowania serwera WWW zamiast buforowania WordPress Plugin
Wiele wtyczek buforujących, w tym Automattic, dobrze radzi sobie z buforowaniem Twojej witryny. Buforowanie pozwala na szybsze dostarczanie witryny. Jednak buforowanie wiąże się również z utratą kontroli nad danymi.
Prawnie bezpieczną alternatywą, która zapewnia również zniknięcie obciążającego wydajność Plugins , jest korzystanie z pamięci podręcznej po stronie serwera wyspecjalizowanych hosterów WordPress .
Zaleta: dane są przechowywane już w momencie dostarczenia i znajdują się co najmniej w Raidboxes tylko na niemieckich serwerach z gwarantowanym certyfikatem ISO 27001.
Zapobiegaj problematycznym serwisom społecznościowym Plugins, takim jak Facebook Like Button, Like Box czy Twitter Widgets.
- Shariff Wrapper zamiast np. ShareThis
Usługi udostępniania często już wykorzystują dane, gdy tylko odwiedzający znajdą się na stronie internetowej z aktywną wtyczką społecznościową. Nawet jeśli użytkownik jeszcze niczego nie udostępnił, dane są już przekazywane. Jest to nadal w dużej mierze nieznane, ale krytyczne z punktu widzenia RODO . W naszych poszukiwaniach rozwiązań zgodnych z prawem natknęliśmy się tylko na jedną darmową wtyczkę społecznościową, która zapobiega przesyłaniu danych jeszcze przed kliknięciem przycisku udostępniania.
Dlatego w tej chwili zalecamy usunięcie zintegrowanych widgetów Twittera, przycisków Facebook Like lub widgetu Like Box i poleganie na Shariff Wrapper 's Social Plugin dla przycisków udostępniania w postach.
Formularz kontaktowy-Plugins jak np. Contact Form 7 & Gravity Forms również używać z EU-RODO
Nowe wymagania dotyczące formularzy kontaktowych
Zgodnie z Ogólnym Rozporządzeniem o Ochronie Danych Osobowych, wysłanie formularza wymaga zgody nadawcy. Za dane uważa się nie tylko osobisty adres IP, ale także adres e-mail oraz samą treść. Opt-in dla zgody na przechowywanie danych może być zaimplementowany poprzez dodatkowy checkbox akceptacji na Contact Form 7 i Gravity Forms, na przykład z darmowym Plugin WP GDPR Compliance wdrożenie.
W perspektywie średnio- i długoterminowej jesteśmy przekonani, że wszyscy znani Plugin-developerzy wprowadzą niezbędne regulacje w celu dostosowania się do RODO . Do tego czasu, RODO-Plugins naprawdę potrafi zrobić dobrą robotę!
Newsletter i marketing e-mailowy
W formularzach do newslettera tylko adres e-mail powinien być polem obowiązkowym, pozostałe dane, takie jak imię i nazwisko, powinny być wymagane tylko opcjonalnie. Podobnie jak w przypadku wszystkich formularzy, również w przypadku formularza newslettera obowiązuje procedura double opt-in, a także możliwie jak największa przejrzystość informacji o tym, co dokładnie zamierzają Państwo zrobić lub zaoferować za pomocą newslettera.
Procedura double opt-in pozostaje standardem
Jeśli jeszcze tego nie zrobiłeś, to od tej pory zawsze stosuj procedurę double opt-in! W przypadku double opt-in, odbiorca e-maila musi wyraźnie kliknąć na link w e-mailu potwierdzającym po raz drugi po pierwszej rejestracji, aby zostać włączonym do listy dystrybucyjnej. Gwarantuje to, że nikt nie zarejestruje się do newslettera w Twoim imieniu i że faktyczna rejestracja jest również pożądana przez Ciebie.
Środki techniczne poza Twoją stroną WordPress -.Plugins
Szyfrowanie SSL
Szyfrowanie SSL nie jest obowiązkowe w RODO, ale bez połączenia SSL bezpieczna transmisja danych w Twojej witrynie nie jest możliwa. Możesz również dowiedzieć się więcej o SSL w naszym obszernym kompendium Let's Encrypt SSL.
Nie chcesz samodzielnie konfigurować certyfikatu SSL? Skorzystaj na przykład z certyfikatów SSL firmy Let's Encrypt, które możesz szybko i łatwo aktywować dla swojej witryny WordPress za pomocą instalacji jednym kliknięciem.
Utwórz opcję rezygnacji z Google Analytics
W tym kontekście należy jeszcze raz podkreślić, że jeszcze przed wejściem w życie unijnegoRODO , poprzedni niemiecki RODO już od lat zalecał całkowitą anonimizację odwiedzających. Aby to zapewnić, bardzo często używany Google Analytics musi zostać rozszerzony o następującą linię kodu najpóźniej teraz:
ga('set', 'anonymizeIp', true);
Czy twój javascript snippet powinien był wyglądać tak wcześniej:
<script>
(function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
})(window,document,'script','https://www.google-analytics.com/analytics.js','ga');
ga('create', 'UA-XXXXXXXX-X', 'auto');
ga('require', 'displayfeatures');
ga('require', 'linkid', 'linkid.js');
ga('send', 'pageview');
</script>
Po dodaniu kodu wygląda on tak:
<script>
(function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
})(window,document,'script','https://www.google-analytics.com/analytics.js','ga');
ga('create', 'UA-XXXXXXXX-X', 'auto');
ga('require', 'displayfeatures');
ga('require', 'linkid', 'linkid.js');
ga('set', 'anonymizeIp', true);
ga('send', 'pageview');
</script>
Ponadto musisz utworzyć opcję w swojej polityce prywatności, która pozwoli odwiedzającym Twoją witrynę całkowicie zrezygnować z Google Analytics. Możesz znaleźć bezpłatną wtyczkę rezygnacji dla Google Analytics o nazwie Google Analytics Opt-Out w katalogu wtyczek WordPress. Instaluje ona plik cookie, który uniemożliwia zbieranie danych przez analytics.js.
Zanonimizowane adresy IP w komentarzach na blogach
WordPress domyślnie przechowuje adresy IP osób piszących komentarze. Jednakże, zgodnie z EU-RODO , gromadzenie adresów IP nie jest zgodne z ochroną danych. Możesz użyć małego kodu PHP w swoim pliku functions.php, aby zapobiec przechowywaniu adresów IP w przyszłości. Zalecamy użycie do tego celu child-Theme , aby kod był nadal zintegrowany po następnej aktualizacji Themes . Kod, który należy wstawić to:
function wpb_remove_commentsip( $comment_author_ip ) {
return '';
}
add_filter( 'pre_comment_user_ip', 'wpb_remove_commentsip' );
Na koniec musisz ręcznie usunąć istniejące adresy IP z bazy danych swojej witryny. Dobre instrukcje, jak to zrobić, znajdziesz tutaj.
EU-RODO ma o wiele więcej (nowych) wymagań dla Ciebie jako operatora strony internetowej niż tylko środki techniczne na Twojej stronie WordPress wyjaśnione powyżej.
Dobrą inwestycją jest np. płatny e-book o UERODO z t3n, aby wdrożyć wymogi europejskiego ogólnego rozporządzenia o ochronie danych osobowych we wszystkich sprawach, które dotyczą Ciebie jako przedsiębiorcy.
Będziemy wdzięczni za wszelkie opinie i komentarze pod artykułem.
