RODO & WordPress : Środki techniczne, które należy wdrożyć już teraz

Torben Simon Meier Ostatnia aktualizacja 25.03.2020
.
. 7 Min.
RODO & WordPress

W dniu 25.05.2018 r. weszła w życie unijna stronaRODO . Pokażemy Ci środki techniczne, które powinieneś wdrożyć, aby Twoja strona WordPress działała w sposób bezpieczny pod względem prawnym. Bez wpadania w panikę, oferujemy Państwu przegląd technicznych środków ostrożności, które uważamy za ważne w świetle RODO .

Update Info: Podsumowaliśmy nasze wspólne doświadczenie w konwersji RAIDBOXES do wymagań RODO w dokumencie bezpłatny WordPress RODO -Przewodnik podsumowanie. Dotyczy to również środków technicznych WordPress zawartych w niniejszym artykule.

infobox liniowy niebieski

Disclaimer: Nasz wpis na blogu nie jest poradą prawną! W trakcie naszej pracy jako WordPress Hostersi, zajmowaliśmy się bardzo intensywnie aktualnymi niemieckimi regulacjami dotyczącymi ochrony danych osobowych oraz nadchodzącymi regulacjami UERODO . Nie jesteśmy jednak ani prawnikami, ani ekspertami w dziedzinie ochrony danych. Nie ponosimy odpowiedzialności za kompletność, aktualność i prawidłowość środków i treści przez nas udostępnianych.

Automattic WordPress  Plugins

RODO-obowiązkowe WordPress -Plugins usunąć i zastąpić alternatywami RODO-zgodne z przepisami

Nawet wszystkie Plugins, które są dostarczane przez komercyjną WordPress firmę Automattic, wymagają ważnego połączenia z wordpress.com i tym samym bezpośredniego połączenia nie tylko Państwa danych, ale także np. osobistego IP odwiedzających Państwa stronę. Są one doskonałym przykładem tego rodzaju Plugins, który lepiej zastąpić alternatywą zgodną z wymogami UERODO od 25 maja 2018 roku - przynajmniej do czasu, gdy producenci opublikują zgodną z prawem wersję swojego Plugins .

Przykładem mogą być następujące strony Automattic WordPress -Plugins dla wszystkich przedstawicieli swojego działu w katalogu WordPress Plugin jako przykład do tego artykułu:

Aby nadal obsługiwać swoją stronę internetową zgodnie z Twoimi wymaganiami, możesz skorzystać z następujących alternatyw, które nie przekazują żadnych danych osobowych Twoich odwiedzających.

Zbieranie anonimowych statystyk odwiedzin

Oczywiście chcielibyśmy również wiedzieć, co szczególnie dobrze działa na naszej stronie, co jest czytane lub udostępniane, jak długo odwiedzający pozostają na stronie lub jak wysoki jest współczynnik odrzuceń. W przypadku UE-RODO sytuacja prawna jest nieco bardziej zaostrzona. Musisz całkowicie zanonimizować każdą osobę odwiedzającą Twoją stronę internetową, tak jak to miało miejsce zgodnie z poprzednim niemieckim rozporządzeniem o ochronie danych. Żadne dane osobowe nie mogą być jednak przekazywane do innych serwisów.

Z tego powodu zalecamy Statify, aby wszystkie zanonimizowane dane osobowe pozostały na Twojej stronie i nie były udostępniane innym usługom.

Według twórców Statify, Plugin nie przetwarza, nie wysyła ani nie przechowuje żadnych danych osobowych, takich jak pliki cookie czy adresy IP poza Twoją witryną.

Używaj zgodnych z prawem awatarów na blogu i w komentarzach

Avatar Privacy by Johannes Freudendahl oferuje następujące funkcje do implementacji RODO : Po pierwsze, nie publikuje hash adresów email, jeśli nie ma dla nich konta Gravatar. Z drugiej strony, oferuje opcję opt-in lub opt-out dla wyświetlania Gravatara w komentarzach i w profilu użytkownika. Ponadto, Plugin udostępnia nowe domyślne awatary, które są ładowane z lokalnego serwera zamiast z serwerów gravatar.com w USA.

Alternatywą jest całkowite wyłączenie gravatarów na własnej stronie:

Jednakże, aby całkowicie wyłączyć Gravatar w WordPress , musisz dokonać następujących ustawień w obszarze administracyjnym WordPress pod pozycją menu "Ustawienia": Przewiń w dół w podmenu pod Dyskusje, aż dojdziesz do sekcji Avatary. Następnie dezaktywuj pole wyboru: "Wyświetlanie awatarów - Pokaż awatary". Kliknij na Zapisz, aby zastosować ustawienia i usunąć pamięć podręczną swojej strony. Teraz Twoja strona nie powinna już komunikować się z wordpress.com .

Procedura double opt-in dla komentarzy

Tutaj jest z góry powiedziane, że powiadomienie o dalszych komentarzach do własnego komentarza już wymaga przekazania danych. Jeśli chcesz wykluczyć negatywną interpretację tej "szarej strefy", skorzystaj z darmowego serwisu Plugin Subskrybuj Komentarze Double-Opt-In. W ten sposób odwiedzający musi wcześniej aktywnie potwierdzić, że naprawdę chce otrzymywać powiadomienia o kolejnych komentarzach.

Ograniczenie ochrony antyspamowej do własnej witryny

Antispam Bee może być używany w sposób zgodny z RODO, jeśli przestrzegane są następujące ustawienia Plugins : Funkcja "Uwzględnij publiczną bazę spamu" musi być wyłączona, aby zapobiec przesyłaniu adresów IP odwiedzających do serwisu Stop Forum Spam. Filtr językowy, wykorzystujący API Google, jest wbrew założeniom wielu osób zajmujących się ochroną danych osobowych - technicznie nieproblematyczny:

Jeśli filtr mowy został włączony, pierwsze dziesięć słów każdego komentarza jest wysyłane do usługi rozpoznawania mowy Google. Trzy słowa treści komentarza. Nie adres e-mail, nie imię i nazwisko osoby komentującej, nie adres IP. Podsumowując: brak danych osobowych, a więc brak problemu. - Simon Kraft, członek Pluginkollektiv

WordPress -Backup-Plugins zastąpić rozwiązaniami alternatywnymi

W celu przeciwdziałania przesyłaniu danych osobowych np. na serwery amerykańskie i jako pozytywny efekt uboczny w celu uwolnienia dalszych możliwości wydajności Państwa strony internetowej, zalecamy w przyszłości zrezygnować ze specjalnego WordPress -backup-Plugins .

Lepszą alternatywą jest korzystanie z automatycznego tworzenia kopii zapasowych WordPress za pośrednictwem hostingu WordPress , np. RAIDBOXES.

Użyj buforowania serwera WWW zamiast buforowania WordPress Plugin

Wiele cachinguPlugins, w tym Automattic, wykonuje dobrą robotę buforując Twoją stronę. Buforowanie pozwala na szybsze dostarczenie strony internetowej. Jednak buforowanie wiąże się również z utratą kontroli nad danymi.

Prawnie bezpieczną alternatywą, która zapewnia również zniknięcie obciążającego wydajność Plugins , jest korzystanie z pamięci podręcznej po stronie serwera wyspecjalizowanych hosterów WordPress .

Zaleta: dane są przechowywane już w momencie ich dostarczenia i znajdują się co najmniej RAIDBOXES tylko na niemieckich serwerach z gwarantowanym certyfikatem ISO 27001.

Social Media WordPress  RODO  zgodny z przepisami

Zapobiegaj problematycznym serwisom społecznościowym Plugins, takim jak Facebook Like Button, Like Box czy Twitter Widgets.

Serwisy udostępniające często wykorzystują dane już w momencie, gdy odwiedzający znajdą się na stronie z aktywnym serwisem społecznościowym Plugin . Nawet jeśli użytkownik jeszcze niczego nie udostępnił, dane są już przekazywane dalej. Jest to jeszcze w dużej mierze nieznane, ale kluczowe w kontekście RODO . Szukając rozwiązań zgodnych z prawem, natrafiliśmy tylko na jeden darmowy serwis społecznościowy Plugin , który zapobiega przesyłaniu danych jeszcze przed kliknięciem przycisku udostępniania.

Dlatego w tej chwili zalecamy usunięcie zintegrowanych widgetów Twittera, przycisków Facebook Like lub widgetu Like Box i poleganie na Shariff Wrapper 's Social Plugin dla przycisków udostępniania w postach.

Formularze RODO WordPress

Formularz kontaktowy-Plugins jak np. Contact Form 7 & Gravity Forms również używać z EU-RODO

Nowe wymagania dotyczące formularzy kontaktowych

Zgodnie z Ogólnym Rozporządzeniem o Ochronie Danych Osobowych, wysłanie formularza wymaga zgody nadawcy. Za dane uważa się nie tylko osobisty adres IP, ale także adres e-mail oraz samą treść. Opt-in dla zgody na przechowywanie danych może być zaimplementowany poprzez dodatkowy checkbox akceptacji na Contact Form 7 i Gravity Forms, na przykład z darmowym Plugin WP GDPR Compliance wdrożenie.

W perspektywie średnio- i długoterminowej jesteśmy przekonani, że wszyscy znani Plugin-developerzy wprowadzą niezbędne regulacje w celu dostosowania się do RODO . Do tego czasu, RODO-Plugins naprawdę potrafi zrobić dobrą robotę!

Newsletter i Email Marketing RODO WordPress

Newsletter i Email Marketing

W formularzach do newslettera tylko adres e-mail powinien być polem obowiązkowym, pozostałe dane, takie jak imię i nazwisko, powinny być wymagane tylko opcjonalnie. Podobnie jak w przypadku wszystkich formularzy, również w przypadku formularza newslettera obowiązuje procedura double opt-in, a także możliwie jak największa przejrzystość informacji o tym, co dokładnie zamierzają Państwo zrobić lub zaoferować za pomocą newslettera.

Procedura double opt-in pozostaje standardem

Jeśli jeszcze tego nie zrobiłeś, to od tej pory zawsze stosuj procedurę double opt-in! W przypadku double opt-in, odbiorca e-maila musi wyraźnie kliknąć na link w e-mailu potwierdzającym po raz drugi po pierwszej rejestracji, aby zostać włączonym do listy dystrybucyjnej. Gwarantuje to, że nikt nie zarejestruje się do newslettera w Twoim imieniu i że faktyczna rejestracja jest również pożądana przez Ciebie.

Środki techniczne UERODO

Środki techniczne poza Twoją stroną WordPress -.Plugins

Szyfrowanie SSL

Szyfrowanie SSL nie jest obowiązkowe w RODO, ale bez połączenia SSL nie jest możliwa bezpieczna transmisja danych na Twojej stronie. Więcej informacji na temat SSL można również znaleźć w naszym obszernym kompendium Let's Encrypt SSL.

Nie chcesz samemu konfigurować certyfikatu SSL? W takim razie skorzystaj np. z certyfikatów SSL firmy Let's Encrypt, które możesz szybko i łatwo aktywować dla swojej strony WordPress bezpłatnie za pomocą instalacji jednym kliknięciem.

Utwórz Google Analytics Opt-Out

W tym kontekście należy jeszcze raz podkreślić, że jeszcze przed UERODO, poprzednia, wciąż obowiązująca polscy RODO, wymagała już od lat całkowitej anonimizacji odwiedzających. Aby to zapewnić, do bardzo często używanej wyszukiwarki Google Analytics należy dodać następujący wiersz kodu:

ga('set', 'anonymizeIp', true);

Czy twój javascript snippet powinien był wyglądać tak wcześniej:

<script>
(function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
})(window,document,'script','https://www.google-analytics.com/analytics.js','ga');
ga('create', 'UA-XXXXXXXX-X', 'auto');
ga('require', 'displayfeatures');
ga('require', 'linkid', 'linkid.js');
ga('send', 'pageview');
</script>

po dodaniu kod wygląda tak:

Ponadto, w swojej polityce prywatności musisz stworzyć możliwość, aby odwiedzający Twoją stronę mogli zostać całkowicie wykluczeni z analizy Google. Darmowy opt-out Plugin dla Google Analytics o nazwie Google Analytics Opt-Out można znaleźć w katalogu WordPress -Plugin-. To instaluje plik cookie, który uniemożliwia analytics.js zbieranie danych.

Zanonimizowane adresy IP w komentarzach na blogach

WordPress domyślnie przechowuje adresy IP osób piszących komentarze. Jednakże, zgodnie z EU-RODO , gromadzenie adresów IP nie jest zgodne z ochroną danych. Możesz użyć małego kodu PHP w swoim pliku functions.php, aby zapobiec przechowywaniu adresów IP w przyszłości. Zalecamy użycie do tego celu child-Theme , aby kod był nadal zintegrowany po następnej aktualizacji Themes . Kod, który należy wstawić to:

function  wpb_remove_commentsip( $comment_author_ip ) {
	return '';
	}
add_filter( 'pre_comment_user_ip', 'wpb_remove_commentsip' );

Wreszcie, musisz ręcznie usunąć istniejące adresy IP w bazie danych witryny raz retroaktywnie. Dobry tutorial jak to zrobić można znaleźć tutaj.

UE-RODO stawia przed Państwem jako operatorem strony internetowej o wiele więcej (nowych) wymagań niż tylko środki techniczne opisane powyżej na Państwa stronie WordPress .

Dobrą inwestycją jest np. płatny e-book o UERODO z t3n, aby wdrożyć wymogi europejskiego ogólnego rozporządzenia o ochronie danych osobowych we wszystkich sprawach, które dotyczą Ciebie jako przedsiębiorcy.

Będziemy wdzięczni za wszelkie opinie i komentarze pod artykułem.

Powiązane artykuły

Komentarze do tego artykułu

Napisz komentarz

Twój adres e-mail nie zostanie opublikowany. Pola obowiązkowe oznaczone są *.