Jak jsem na WordPress webech vyřešil technicky GDPR – 2 TIPY (aktualizováno)

GDPR netřeba asi představovat, v dnešních dnech vrcholí přípravy těch, kteří se na něj vykašlali… Přitom to pro uživatele je přínosné (říkám jako uživatel), jen to chce nějakou tu práci po podnikatelích. Zrovna v on-linu to ale není nic nemožného, kór na jednodušších affiliate webech které běží na WP. Ukážu vám, jak jsem se s tím popasoval já.

Právničině se u GDPR moc nevyhnete

Souhlasy s kontaktními formuláři, komentáři, e-mailingem, registrací… s tím musíte za právníkem, aby je vám vytvořil na míru. Není to nic, co by se dalo jen tak 1:1 zkopírovat (protože každý sbírá jiné údaje, jinak je uchovává, jinak je zpracovává, předává jiným subjektům, …) a měli byste vyhráno.

„Hlavně tohle není žádná novinka, podobné podmínky byste měli mít už dávno hotové, protože platily z větší části už za stávající „stojedničky“, která bude od 25. května nahrazena GDPR nařízením.“

Technikálie a WP = pohoda

Aktualizace z 23. 5.: UOOÚ vydalo návrh dokumentu (není tedy právně závazný – na to pozor), že cookie lišty nejsou pro stávající GDPR klíčové – pokud tedy nepracujete s cílenou reklamou na základě cookies, tedy třeba s remarketingem. To znamená, že mnou první doporučený plugin je stavěný hlavně na budoucí ePrivacy nařízení a ve většině případů ho nemusíte nasazovat. Ten druhý plugin je ale stále aktuální, protože GDPR jako takové řeší hlavně souhlasy a právničinu.

Ale s technickou implementací ne/spouštění cookies, zaškrtávátky všude možně a umožněním výseku uživatelských dat (na jeho požádání) a jejich případnou anonymizaci = s tím vám už můžu pomoci.

Strávil jsem nad GDPR asi měsíc času, takže jsem si vyzkoušel hodně pluginů, které umožňují jednodušeji napojit právnické souhlasy s mými stávajícími stránkami.

Nejlépe mi vyšly tyto (světe div se, jsou zadarmo):

Ano jsou 2, protože žádný neumí všechno. Ten první zajistí selektivní ne/spouštění skriptů s cookies (tradičně třetí strany) a umožní návštěvníkovi i změnit své rozhodnutí (oběma směry).

Druhý přidá k WP komentářům, kontaktním formulářům (přes Contact Form 7, Gravity forms), Woocommercu a dalším zaškrtávátka s vaším textem a odkazem na celé znění podmínek. A nově umožní i na vyžádání automaticky připravit výsek uživatelských dat, která se váží ke konkrétnímu e-mailu.

GDPR Cookie Compliance plugin

Mám blízko k vývojářům tohoto pluginu, takže ještě když byl nový v repozitáři WP, mohl jsem do něj protlačit pár drobností, které jeho použití zpříjemňují. V základu vytvoří lištu se souhlasícím tlačítkem a možnost revidovat všechny použití cookies = a to v pěkném rozhraní popup okna.

Pracuje se záložkami:

  • striktní cookies – ty jsou potřebné pro pamatování nastavení uživatele u samotného pluginu – pokud s nimi uživatel nesouhlasí, bude muset při každé návštěvě daného webu znovu ne/souhlasit s podmínkami.
  • cookies třetích stran – sem standardně patří Google Analytics (o těch více níže), Google Tag Manager, Facebook trackovací skript, remarketingový kód Skliku (ač ten tvrdí, že souhlasy nepotřebuje), Hotjary, … jakékoliv další „cizí“ skripty.
  • „další“ cookies, význam této části jsem dosud nepochopil a nenapadá mě, jaké bych tam vetknul, protože všechny třetích stran jsou už zahrnuté v předchozím bloku.
  • a nakonec odkaz na vaše podmínky ochrany osobních údajů.

Kam s Google Analytics?

Ve velmi striktním pohledu na GDPR/ePrivacy, byste měli všechny kódy pracující s cookies spouštět až při souhlasu uživatele. Dokud by tedy neklikl na Souhlasím v lištičce, nebo selektivně je zapnul v detailu okna pluginu, tak by se nesměly spustit. GA, GTM a další kódy totiž vkládáte přímo do tohoto pluginu, a až při kliknutí na Souhlas se aktualizuje stránka a teprve v ten moment se dané kódy spustí.

„Bez souhlasu v tomto striktním maximalistickém pohledu neuvidíte žádného návštěvníka v GA apod.“

Ono ikdybychom takto museli spouštět GA apod., z mých testů zatím vyšlo, že souhlas dá cca 20-30 % návštěvníků, takže nikdy to nebude 0.

Aktualizace z 22. 5.: Potvrzeno právníkem:

Co se týče užívání Google Analytics, pak prostřednictvím tohoto nástroje lze zpracovávat osobní údaje na základě oprávněného zájmu, souhlas tedy není třeba. Pokud by se však v rámci zpracování užívalo cílení reklamy, profilovaní nebo remarketingu, doporučujeme toto zpracování provádět na základě předem uděleného souhlasu.

Doporučuji však nasadit anonymizaci IP ať jste čistí.

Každopádně na remarketingy a podobné strany souhlas potřebujete stejně – podobně jako běžní e-shopáři.

GDPR compliance plugin

Šikovný kousek, který pomůže těm, kteří si neumí přidat ke všem formulářům na webu zaškrtávátka (ne vždy jsou 100 % nutné a tedy není nutné vyžadovat explicitní souhlas) se souhlasy s jednotlivými podmínkami. Po zapnutí si můžete selektivně vybírat, kde budete mít jaké texty, jaké souhlasy vyžadovat.

A také pomocí speciálního shortcodu vytvoří pro vaše návštěvníky možnost si nechat zaslat na svůj e-mail všechny osobní údaje, které jsou v daném WP webu vázané na daný e-mail. Tím byste měli splnit další z požadavků GDPR na:

  • jaké osobní údaje zpracováváme,
  • vysvětlení ohledně zpracování osobních údajů,
  • vyžádání přístupu k těmto údajům,
  • a požadovat výmaz těchto osobních údajů.

Pro vyřešení těchto technických nasazení (hlavně pro cookies) existují už placené služby (jak jinak), ale nemyslím si, že pro menší a jednodušší weby je nutné jejich služeb využívat.

Nezapomeňte na bezpečnost

Dále jsem řešil ještě bezpečnostní věci typu:

chybějící https, Wordfence PRO jako obranu proti sql injection a podobným útokům, dvoufázové ověření pro administrátory WP, brutální hesla k FTP a DB, … věci, které se hodí i bez GDPR 🙂

A co další affiláci a GDPR?

Jak se s GDPR popasováváte vy? Řešíte ho laxně či agresivně? Nebo na něj kašlete a čekáte, co udělá konkurence?

Ohodnoťte článek: post

16 komentářů ke článku “Jak jsem na WordPress webech vyřešil technicky GDPR – 2 TIPY (aktualizováno)”

  1. Milan napsal:

    Ahoj, díky za pluginy. Budou se moc hodit! 🙂
    Provozuji sice jen malý affil web pro zábavu, ale GDPR raději řeším. Naštěstí nevedu newslettery, formuláře nebo uživatelské profily, tudíž zpracovávám jen cookies. Řešil jsem GA a opravdu by se mělo jednat o oprávněný zájem pokud jsou IP adresy anonymizovány.

    A jak se na GDPR chystám? O víkendu chci nasadit https (dlouho to odkládám) a teď tedy i pluginy od tebe, upravit podmínky na webu a doladit GDPR dokumenty. Naštěstí jsem je připravoval už pro malou firmu, tak vím do čeho jdu.

    Nevím si rady jen jak řešit trackující cookies, které sbírá provozovatel affilu a na jejíchž základě dostávám provize. Je nutné vyžadovat souhlas návštěvníka o předání těchto cookies? To by pak moc konverzí nepadalo.. Doufám, že to snad také spadá pod oprávněný zájem jako u GA. Bohužel moc informací od provozovatele affilu nemám. Zatím ani zpracovatelskou smlouvu.

    Řeším to už delší dobu, tak trochu vím o co jde. Neumím si představit, že bych do toho naskočil až teď. Díky za článek a případně za odpověď. Budu se těšit na případné pokračování. Ať se ti daří! 🙂

    • Ondřej Martinek napsal:

      Není vůbec zač 🙂 když můžu, tak pomůžu.

      K inzerentským cookies – ty vznikají až při příchodu k inzerentovi, takže nás partnerů se netýkají a nic pro to nemusíme udělat.

      Ona zpracovatelská smlouva by byla nutná jen v případě třeba leadgenu přes API, kdy jdou údaje o zákazníkovi k vám, a až pak k inzerentovi, ale v případě produktového affilu si myslím, že to nebude tak horké. Jen od partnerů bude potřeba validovat souhlas s uchováváním jejich údajů – to je věc, kterou teď ještě řešíme s právníky.

  2. Milan napsal:

    Tak to je paráda! Moc jsi mě potěšil, ještě jednou díky 🙂

  3. Lukáš napsal:

    Díky za tipy, jak to vyřešit last minute.

    S tím GA a demografií to ale snad nebude tak horké ne? Viz: https://www.danielnytra.cz/gdpr-online-marketing/ Příklad č.8.

    Víš o to více?

    • Ondřej Martinek napsal:

      Ahoj, článek od Daniela Nytry sleduju od ledna, je neskutečně vyčerpávající – máš pravdu, že to je problematické. Když jsem se původně na GDPR připravoval, tak se plánovalo, že současně s GDPR přijde i ePrivacy, které právě použití cookies plně řeší. Ještě čekám na konkrétní vyjádření právničky a doplním článek.

  4. Ondřej Martinek napsal:

    Tak potvrzeno právníkem 🙂 Čisté GA v pohodě.

  5. Petr Kožnár napsal:

    Dobrý den, chci se vás optat na wordpress a externí font awesome, google fonts a podobné zdroje. Četl jsem že v zahraničí jsou posílány upozornění provozovatelům a není to v souladu s GDPR. Řešil jste to nějak u WP? Nestačí napsat upozornění na stránku? Nerad bych byl popotahován po soudech. 🙂 Děkuji

    • Ondřej Martinek napsal:

      Zdravím,

      netuším proč by takové zdroje souvisely s GDPR, to jsou jen externí zdroje pro písma, nic tam neovlivňuje a nesbírá osobní údaje – máte k tomu nějaký zdroj?

      Neřešil a ani nebudu, zní to jako nesmysl – kdo posílá upozornění?

      Děkuji za doplnění 🙂 Nebál bych se toho.

  6. […] mě je tohle i budoucnost affilu, protože snahy o omezení naší práce budou neustálé (GDPR, ePrivacy, Adblocky) a čistý html odkaz pokazit/omezit jen tak […]

  7. Ondřej Vrtěl napsal:

    Ten první plugin na cookie mi přišel skvělý. Ale jen do chvíle, než jsem zjistil že po odsouhlasení refrešuje stránku. To se prostě klientům nebude líbit. Četl jsme diskuzi kolem toho, doufám že to autoři brzy vyřeší, prý na otm pracují co jsem pochopil. Také může nastat problém u vícejazyčných webů. Nevím jak moc je kompatibilní s WPML, ale u qTranslate jsem musel trochu čarovat. Jinak super článek, díky.

    • Ondřej Martinek napsal:

      Ano refrešuje, protože díky tomu může znovu načít skripty, které se po odsouhlasení mohou teprve spustitl na pozadí. Určitě by to šlo i bez toho, ale nevím jak moc velkou budou mít motivaci to dále rozvíjet, když je zatím venku jen bezplatná verze. WPML co jsem slyšel od vývojáře z jejich týmu by molo být funkční už od prvních verzí.

      Každopádně díky moc za komentář 🙂

  8. Michal napsal:

    Dobrý den, jak se Vám podařilo dostat pouze text bez zaškrtávátka dolu k přidat komentář? „Kliknutím na tlačítko PŘIDAT KOMENTÁŘ udělujete
    souhlas se zpracováním osobních údajů.“ ? Ve zminovaných pluginech jsem tuto možnost nenašel.
    Díky,
    Michal Seifert

    • Ondřej Martinek napsal:

      Hezký den,

      v případě větších webů a šablon na míru (která je i na tomto blogu) jsem to nechal doplnit vývojářem na míru do kódu – varianta bez zaškrtávátka je posvěcená právníkem, takže vše by mělo být v pořádku.

  9. tom napsal:

    přesunul jsem hosting na servery v kanadě a doménu mám .com, takže mi můžou všichni s GDPR políbit PRD..

    • Ondřej Martinek napsal:

      To je roztomilá snaha 🙂 GDPR neřeší domény či umístění serverů, ale návštěvnost „EU citizens“ – jestli máte návštěvníky/zákazníky z EU, tak se vás GDPR týká, ikdybyste měl servery v Kazachstánu a na Nigerijské doméně.

Přidejte komentář

Kliknutím na tlačítko PŘIDAT KOMENTÁŘ udělujete
souhlas se zpracováním osobních údajů.
Pošlete tento článek e-mailem: