Jak jsem na WordPress webech vyřešil technicky GDPR – 2 TIPY (aktualizováno)

GDPR netřeba asi představovat, v dnešních dnech vrcholí přípravy těch, kteří se na něj vykašlali… Přitom to pro uživatele je přínosné (říkám jako uživatel), jen to chce nějakou tu práci po podnikatelích. Zrovna v on-linu to ale není nic nemožného, kór na jednodušších affiliate webech které běží na WP. Ukážu vám, jak jsem se s tím popasoval já.

Právničině se u GDPR moc nevyhnete

Souhlasy s kontaktními formuláři, komentáři, e-mailingem, registrací… s tím musíte za právníkem, aby je vám vytvořil na míru. Není to nic, co by se dalo jen tak 1:1 zkopírovat (protože každý sbírá jiné údaje, jinak je uchovává, jinak je zpracovává, předává jiným subjektům, …) a měli byste vyhráno.

„Hlavně tohle není žádná novinka, podobné podmínky byste měli mít už dávno hotové, protože platily z větší části už za stávající „stojedničky“, která bude od 25. května nahrazena GDPR nařízením.“

Technikálie a WP = pohoda

Aktualizace z 23. 5.: UOOÚ vydalo návrh dokumentu (není tedy právně závazný – na to pozor), že cookie lišty nejsou pro stávající GDPR klíčové – pokud tedy nepracujete s cílenou reklamou na základě cookies, tedy třeba s remarketingem. To znamená, že mnou první doporučený plugin je stavěný hlavně na budoucí ePrivacy nařízení a ve většině případů ho nemusíte nasazovat. Ten druhý plugin je ale stále aktuální, protože GDPR jako takové řeší hlavně souhlasy a právničinu.

Ale s technickou implementací ne/spouštění cookies, zaškrtávátky všude možně a umožněním výseku uživatelských dat (na jeho požádání) a jejich případnou anonymizaci = s tím vám už můžu pomoci.

Strávil jsem nad GDPR asi měsíc času, takže jsem si vyzkoušel hodně pluginů, které umožňují jednodušeji napojit právnické souhlasy s mými stávajícími stránkami.

Nejlépe mi vyšly tyto (světe div se, jsou zadarmo):

Ano jsou 2, protože žádný neumí všechno. Ten první zajistí selektivní ne/spouštění skriptů s cookies (tradičně třetí strany) a umožní návštěvníkovi i změnit své rozhodnutí (oběma směry).

Druhý přidá k WP komentářům, kontaktním formulářům (přes Contact Form 7, Gravity forms), Woocommercu a dalším zaškrtávátka s vaším textem a odkazem na celé znění podmínek. A nově umožní i na vyžádání automaticky připravit výsek uživatelských dat, která se váží ke konkrétnímu e-mailu.

GDPR Cookie Compliance plugin

Mám blízko k vývojářům tohoto pluginu, takže ještě když byl nový v repozitáři WP, mohl jsem do něj protlačit pár drobností, které jeho použití zpříjemňují. V základu vytvoří lištu se souhlasícím tlačítkem a možnost revidovat všechny použití cookies = a to v pěkném rozhraní popup okna.

Pracuje se záložkami:

  • striktní cookies – ty jsou potřebné pro pamatování nastavení uživatele u samotného pluginu – pokud s nimi uživatel nesouhlasí, bude muset při každé návštěvě daného webu znovu ne/souhlasit s podmínkami.
  • cookies třetích stran – sem standardně patří Google Analytics (o těch více níže), Google Tag Manager, Facebook trackovací skript, remarketingový kód Skliku (ač ten tvrdí, že souhlasy nepotřebuje), Hotjary, … jakékoliv další „cizí“ skripty.
  • „další“ cookies, význam této části jsem dosud nepochopil a nenapadá mě, jaké bych tam vetknul, protože všechny třetích stran jsou už zahrnuté v předchozím bloku.
  • a nakonec odkaz na vaše podmínky ochrany osobních údajů.

Kam s Google Analytics?

Ve velmi striktním pohledu na GDPR/ePrivacy, byste měli všechny kódy pracující s cookies spouštět až při souhlasu uživatele. Dokud by tedy neklikl na Souhlasím v lištičce, nebo selektivně je zapnul v detailu okna pluginu, tak by se nesměly spustit. GA, GTM a další kódy totiž vkládáte přímo do tohoto pluginu, a až při kliknutí na Souhlas se aktualizuje stránka a teprve v ten moment se dané kódy spustí.

„Bez souhlasu v tomto striktním maximalistickém pohledu neuvidíte žádného návštěvníka v GA apod.“

Ono ikdybychom takto museli spouštět GA apod., z mých testů zatím vyšlo, že souhlas dá cca 20-30 % návštěvníků, takže nikdy to nebude 0.

Aktualizace z 22. 5.: Potvrzeno právníkem:

Co se týče užívání Google Analytics, pak prostřednictvím tohoto nástroje lze zpracovávat osobní údaje na základě oprávněného zájmu, souhlas tedy není třeba. Pokud by se však v rámci zpracování užívalo cílení reklamy, profilovaní nebo remarketingu, doporučujeme toto zpracování provádět na základě předem uděleného souhlasu.

Doporučuji však nasadit anonymizaci IP ať jste čistí.

Každopádně na remarketingy a podobné strany souhlas potřebujete stejně – podobně jako běžní e-shopáři.

GDPR compliance plugin

Šikovný kousek, který pomůže těm, kteří si neumí přidat ke všem formulářům na webu zaškrtávátka (ne vždy jsou 100 % nutné a tedy není nutné vyžadovat explicitní souhlas) se souhlasy s jednotlivými podmínkami. Po zapnutí si můžete selektivně vybírat, kde budete mít jaké texty, jaké souhlasy vyžadovat.

A také pomocí speciálního shortcodu vytvoří pro vaše návštěvníky možnost si nechat zaslat na svůj e-mail všechny osobní údaje, které jsou v daném WP webu vázané na daný e-mail. Tím byste měli splnit další z požadavků GDPR na:

  • jaké osobní údaje zpracováváme,
  • vysvětlení ohledně zpracování osobních údajů,
  • vyžádání přístupu k těmto údajům,
  • a požadovat výmaz těchto osobních údajů.

Pro vyřešení těchto technických nasazení (hlavně pro cookies) existují už placené služby (jak jinak), ale nemyslím si, že pro menší a jednodušší weby je nutné jejich služeb využívat.

Nezapomeňte na bezpečnost

Dále jsem řešil ještě bezpečnostní věci typu:

chybějící https, Wordfence PRO jako obranu proti sql injection a podobným útokům, dvoufázové ověření pro administrátory WP, brutální hesla k FTP a DB, … věci, které se hodí i bez GDPR 🙂

A co další affiláci a GDPR?

Jak se s GDPR popasováváte vy? Řešíte ho laxně či agresivně? Nebo na něj kašlete a čekáte, co udělá konkurence?

10 komentářů ke článku “Jak jsem na WordPress webech vyřešil technicky GDPR – 2 TIPY (aktualizováno)”

  1. Milan napsal:

    Ahoj, díky za pluginy. Budou se moc hodit! 🙂
    Provozuji sice jen malý affil web pro zábavu, ale GDPR raději řeším. Naštěstí nevedu newslettery, formuláře nebo uživatelské profily, tudíž zpracovávám jen cookies. Řešil jsem GA a opravdu by se mělo jednat o oprávněný zájem pokud jsou IP adresy anonymizovány.

    A jak se na GDPR chystám? O víkendu chci nasadit https (dlouho to odkládám) a teď tedy i pluginy od tebe, upravit podmínky na webu a doladit GDPR dokumenty. Naštěstí jsem je připravoval už pro malou firmu, tak vím do čeho jdu.

    Nevím si rady jen jak řešit trackující cookies, které sbírá provozovatel affilu a na jejíchž základě dostávám provize. Je nutné vyžadovat souhlas návštěvníka o předání těchto cookies? To by pak moc konverzí nepadalo.. Doufám, že to snad také spadá pod oprávněný zájem jako u GA. Bohužel moc informací od provozovatele affilu nemám. Zatím ani zpracovatelskou smlouvu.

    Řeším to už delší dobu, tak trochu vím o co jde. Neumím si představit, že bych do toho naskočil až teď. Díky za článek a případně za odpověď. Budu se těšit na případné pokračování. Ať se ti daří! 🙂

    • Ondřej Martinek napsal:

      Není vůbec zač 🙂 když můžu, tak pomůžu.

      K inzerentským cookies – ty vznikají až při příchodu k inzerentovi, takže nás partnerů se netýkají a nic pro to nemusíme udělat.

      Ona zpracovatelská smlouva by byla nutná jen v případě třeba leadgenu přes API, kdy jdou údaje o zákazníkovi k vám, a až pak k inzerentovi, ale v případě produktového affilu si myslím, že to nebude tak horké. Jen od partnerů bude potřeba validovat souhlas s uchováváním jejich údajů – to je věc, kterou teď ještě řešíme s právníky.

  2. Milan napsal:

    Tak to je paráda! Moc jsi mě potěšil, ještě jednou díky 🙂

  3. Lukáš napsal:

    Díky za tipy, jak to vyřešit last minute.

    S tím GA a demografií to ale snad nebude tak horké ne? Viz: https://www.danielnytra.cz/gdpr-online-marketing/ Příklad č.8.

    Víš o to více?

    • Ondřej Martinek napsal:

      Ahoj, článek od Daniela Nytry sleduju od ledna, je neskutečně vyčerpávající – máš pravdu, že to je problematické. Když jsem se původně na GDPR připravoval, tak se plánovalo, že současně s GDPR přijde i ePrivacy, které právě použití cookies plně řeší. Ještě čekám na konkrétní vyjádření právničky a doplním článek.

  4. Ondřej Martinek napsal:

    Tak potvrzeno právníkem 🙂 Čisté GA v pohodě.

  5. Petr Kožnár napsal:

    Dobrý den, chci se vás optat na wordpress a externí font awesome, google fonts a podobné zdroje. Četl jsem že v zahraničí jsou posílány upozornění provozovatelům a není to v souladu s GDPR. Řešil jste to nějak u WP? Nestačí napsat upozornění na stránku? Nerad bych byl popotahován po soudech. 🙂 Děkuji

    • Ondřej Martinek napsal:

      Zdravím,

      netuším proč by takové zdroje souvisely s GDPR, to jsou jen externí zdroje pro písma, nic tam neovlivňuje a nesbírá osobní údaje – máte k tomu nějaký zdroj?

      Neřešil a ani nebudu, zní to jako nesmysl – kdo posílá upozornění?

      Děkuji za doplnění 🙂 Nebál bych se toho.

  6. […] mě je tohle i budoucnost affilu, protože snahy o omezení naší práce budou neustálé (GDPR, ePrivacy, Adblocky) a čistý html odkaz pokazit/omezit jen tak […]

Přidejte komentář

Kliknutím na tlačítko PŘIDAT KOMENTÁŘ udělujete
souhlas se zpracováním osobních údajů.

Pošlete tento článek e-mailem: