W dniu 25.05.2018 r. weszła w życie unijna stronaRODO . Oferujemy przegląd technicznych środków ostrożności, które uważamy za ważne w kontekście RODO w celu obsługi Twojej witryny WordPress w sposób bezpieczny pod względem prawnym.
Zastrzeżenie
Nasz wpis na blogu nie jest poradą prawną! W ramach naszej pracy jako hostera WordPress bardzo intensywnie zajmowaliśmy się obowiązującymi niemieckimi przepisami o ochronie danych i unijnymRODO . Nie jesteśmy jednak ani prawnikami, ani ekspertami w dziedzinie ochrony danych. Nie ponosimy żadnej odpowiedzialności za kompletność, aktualność i poprawność dostarczonych przez nas środków i treści.
RODOUsuń szkodliwe wtyczki WordPress i zastąp je alternatywami zgodnymi z RODO.
Jeśli wtyczki muszą nawiązywać ważne połączenie z inną witryną i przekazywać dane, takie jak adres IP, staje się to problematyczne. Takie wtyczki powinny być zdecydowanie zastąpione alternatywą zgodną z UERODO- przynajmniej do czasu, gdy producenci opublikują zgodną z prawem wersję swoich wtyczek.
Zbieraj anonimowe statystyki odwiedzających
Oczywiście chcielibyśmy również wiedzieć, co działa szczególnie dobrze na naszej stronie internetowej, co ludzie lubią czytać lub udostępniać, jak długo odwiedzający pozostają na stronie lub jak wysoki jest współczynnik odrzuceń. Dzięki EU-RODO sytuacja prawna została nieco zaostrzona. Tak jak miało to już miejsce w poprzednim niemieckim rozporządzeniu o ochronie danych, musisz całkowicie anonimizować każdego odwiedzającego Twoją stronę internetową. Żadne dane osobowe nie mogą być jednak przekazywane do innych serwisów.
Z tego powodu zalecamy Statify, aby wszystkie zanonimizowane dane osobowe pozostały w Twojej witrynie i nie były przekazywane żadnym innym usługom.
Zgodnie z informacjami na temat wtyczki, wtyczka nie przetwarza, nie wysyła ani nie przechowuje żadnych danych osobowych, takich jak pliki cookie lub adresy IP poza Twoją witryną.
Używaj zgodnych z prawem awatarów na blogu i w komentarzach
- Avatar Privacy umożliwia zgodne z RODO korzystanie z funkcji WordPress Gravatar.
Avatar Privacy autorstwa Petera Putzera oferuje następujące funkcje do implementacji RODO : Z jednej strony, hash adresów e-mail nie jest publikowany, jeśli nie ma dla niego konta Gravatar. Po drugie, oferuje opcję opt-in lub opt-out dla wyświetlania Gravatara w komentarzach i profilu użytkownika. Ponadto wtyczka zapewnia nowe domyślne awatary, które są ładowane z lokalnego serwera zamiast z serwerów gravatar.com w USA.
Alternatywą jest całkowita dezaktywacja gravatarów na twojej stronie internetowej:
- Awatar użytkownika WP zamiast Gravatara
Aby jednak całkowicie dezaktywować Gravatar w WordPress, musisz wprowadzić następujące ustawienia w obszarze administracyjnym WordPress w pozycji menu "Ustawienia": Przewiń w dół w podmenu w sekcji Dyskusje, aż dojdziesz do sekcji Awatary. Następnie dezaktywuj pole wyboru: "Wyświetlanie awatarów - Pokaż awatary". Kliknij Zapisz, aby zastosować ustawienia i usunąć pamięć podręczną witryny. Teraz twoja strona nie powinna już komunikować się z wordpress.com .
Procedura podwójnej zgody na komentarze
W tym miejscu należy z góry zaznaczyć, że powiadomienie o kolejnych komentarzach do własnego komentarza zakłada już, że dane zostaną przekazane dalej. Jeśli chcesz wykluczyć negatywną interpretację tej "szarej strefy", skorzystaj z darmowej wtyczki Subscribe to Double-Opt-In Comments. W ten sposób odwiedzający musi wcześniej aktywnie potwierdzić, że naprawdę chce otrzymywać powiadomienia o kolejnych komentarzach.
Ogranicz ochronę antyspamową do własnej strony internetowej
Można tu użyć na przykład Antispam Bee lub Akismet. Antispam Bee może być używany zgodnie z RODO, jeśli przestrzegasz następujących ustawień wtyczki: Funkcja "Rozważ publiczną bazę danych spamu" musi być wyłączona, aby zapobiec przesyłaniu adresów IP Twoich odwiedzających do usługi Stop Forum Spam. Filtr językowy, który korzysta z Google API, nie jest problematyczny z punktu widzenia ochrony danych, w przeciwieństwie do tego, co wiele osób zakłada:
Jeśli filtr mowy został aktywowany, pierwsze dziesięć słów każdego komentarza jest wysyłane do usługi Google w celu rozpoznania mowy. Trzy słowa treści komentarza. Nie adres e-mail, nie imię i nazwisko osoby komentującej, nie adres IP. Podsumowując: żadnych danych osobowych, a zatem żadnego problemu. - Simon Kraft, członek Pluginkollektiv
W razie potrzeby zastąp wtyczki do tworzenia kopii zapasowych WordPress alternatywnymi rozwiązaniami.
Aby na przykład przeciwdziałać przesyłaniu danych osobowych na amerykańskie serwery i jako pozytywny efekt uboczny uwolnić dalsze możliwości wydajnościowe Twojej witryny, powinieneś rozważyć rezygnację ze specjalnych wtyczek do tworzenia kopii zapasowych WordPress. Istnieją również alternatywy dla wtyczki do tworzenia kopii zapasowych WordPress, które możesz rozważyć.
Używaj buforowania na serwerze internetowym zamiast wtyczki buforującej WordPress.
Wiele wtyczek buforujących dobrze radzi sobie z buforowaniem Twojej witryny. Buforowanie pozwala na szybsze dostarczanie witryny. Jednak buforowanie wiąże się również z utratą kontroli nad danymi.
Alternatywą zgodną z prawem, która zapewnia również zniknięcie wtyczek o wysokiej wydajności, jest użycie pamięci podręcznej po stronie serwera.
Zaleta: dane są przechowywane już w momencie ich dostarczenia i, przynajmniej na stronie Raidboxes , znajdują się wyłącznie na niemieckich serwerach z gwarantowanym certyfikatem ISO 27001.
Zapobiegaj problematycznym wtyczkom społecznościowym
Usługi udostępniania często już wykorzystują dane, gdy tylko odwiedzający znajdą się na stronie z aktywną wtyczką społecznościową. Nawet jeśli nic nie zostało jeszcze udostępnione, dane są już przekazywane. Ma to kluczowe znaczenie dla RODO .
Wtyczki formularzy kontaktowych
Zgodnie z ogólnym rozporządzeniem o ochronie danych, wysłanie formularza wymaga zgody nadawcy. Dane obejmują nie tylko osobiste IP, ale także adres e-mail i samą treść. Zgoda na przechowywanie danych może być zaimplementowana poprzez dodatkowe pole wyboru akceptacji w Contact Form 7 oraz w Gravity Forms, na przykład za pomocą darmowej wtyczki WP GDPR Compliance. Obecnie jednak wszystkie wtyczki tego typu powinny mieć zaimplementowane wymagania dotyczące RODO .
Newsletter i marketing e-mailowy
W formularzach newslettera tylko adres e-mail powinien być polem obowiązkowym, wszystkie inne dane, takie jak imię i nazwisko, powinny być wymagane tylko opcjonalnie. Podobnie jak w przypadku wszystkich formularzy, procedura podwójnej zgody dotyczy również formularza newslettera, a także możliwie największej przejrzystości informacji o tym, co dokładnie zamierzasz zrobić lub zaoferować za pomocą newslettera.
Jeśli jeszcze tego nie zrobiłeś, zawsze stosuj procedurę double opt-in! W przypadku double opt-in odbiorca wiadomości e-mail musi wyraźnie kliknąć link w wiadomości e-mail z potwierdzeniem po raz drugi po pierwszej rejestracji, aby zostać uwzględnionym na liście dystrybucyjnej. Gwarantuje to, że nikt nie zarejestruje się do newslettera w Twoim imieniu i że faktyczna rejestracja jest również pożądana przez Ciebie.
Środki techniczne poza twoimi wtyczkami WordPress
Szyfrowanie SSL
Szyfrowanie SSL nie jest obowiązkowe w RODO, ale bez połączenia SSL bezpieczna transmisja danych w Twojej witrynie nie jest możliwa. Możesz również dowiedzieć się więcej o SSL w naszym obszernym kompendium Let's Encrypt SSL.
Nie chcesz samodzielnie konfigurować certyfikatu SSL? Skorzystaj na przykład z certyfikatów SSL firmy Let's Encrypt, które możesz szybko i łatwo aktywować dla swojej witryny WordPress za pomocą instalacji jednym kliknięciem.
Utwórz opcję rezygnacji z Google Analytics
W tym kontekście należy jeszcze raz podkreślić, że pełna anonimizacja odwiedzających jest obowiązkowa. Aby to zapewnić, często używany Google Analytics musi zostać rozszerzony o następującą linię kodu:
ga('set', 'anonymizeIp', true);Czy twój javascript snippet powinien był wyglądać tak wcześniej:
<script>
(function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
})(window,document,'script','https://www.google-analytics.com/analytics.js','ga');
ga('create', 'UA-XXXXXXXX-X', 'auto');
ga('require', 'displayfeatures');
ga('require', 'linkid', 'linkid.js');
ga('send', 'pageview');
</script>Po dodaniu kodu wygląda on tak:
<script>
(function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
})(window,document,'script','https://www.google-analytics.com/analytics.js','ga');
ga('create', 'UA-XXXXXXXX-X', 'auto');
ga('require', 'displayfeatures');
ga('require', 'linkid', 'linkid.js');
ga('set', 'anonymizeIp', true);
ga('send', 'pageview');
</script>Ponadto musisz utworzyć opcję w swojej polityce prywatności, która pozwoli odwiedzającym Twoją witrynę całkowicie zrezygnować z Google Analytics. Możesz znaleźć bezpłatną wtyczkę rezygnacji dla Google Analytics o nazwie Google Analytics Opt-Out w katalogu wtyczek WordPress. Instaluje ona plik cookie, który uniemożliwia zbieranie danych przez analytics.js.
Anonimowe adresy IP w komentarzach na blogu
WordPress domyślnie przechowuje adresy IP autorów komentarzy. Jednak zgodnie z UERODO , gromadzenie adresów IP nie jest zgodne z przepisami o ochronie danych. Możesz zapobiec przechowywaniu adresów IP w przyszłości za pomocą małego kodu PHP w pliku functions.php. Zalecamy użycie do tego celu motywu potomnego, aby kod był nadal zintegrowany po następnej aktualizacji Twojego motywu. Kod, który należy wstawić to:
function wpb_remove_commentsip( $comment_author_ip ) {
return '';
}
add_filter( 'pre_comment_user_ip', 'wpb_remove_commentsip' );Na koniec musisz ręcznie usunąć istniejące adresy IP z bazy danych swojej witryny. Możesz znaleźć dobre instrukcje, jak to zrobić tutaj.
