Jak jsem na WordPress webech vyřešil technicky GDPR – 2 TIPY (aktualizováno)

GDPR netřeba asi představovat, v dnešních dnech vrcholí přípravy těch, kteří se na něj vykašlali… Přitom to pro uživatele je přínosné (říkám jako uživatel), jen to chce nějakou tu práci po podnikatelích. Zrovna v on-linu to ale není nic nemožného, kór na jednodušších affiliate webech které běží na WP. Ukážu vám, jak jsem se s tím popasoval já.

Právničině se u GDPR moc nevyhnete

Souhlasy s kontaktními formuláři, komentáři, e-mailingem, registrací… s tím musíte za právníkem, aby je vám vytvořil na míru. Není to nic, co by se dalo jen tak 1:1 zkopírovat (protože každý sbírá jiné údaje, jinak je uchovává, jinak je zpracovává, předává jiným subjektům, …) a měli byste vyhráno.

„Hlavně tohle není žádná novinka, podobné podmínky byste měli mít už dávno hotové, protože platily z větší části už za stávající „stojedničky“, která bude od 25. května nahrazena GDPR nařízením.“

Technikálie a WP = pohoda

Aktualizace z 23. 5.: UOOÚ vydalo návrh dokumentu (není tedy právně závazný – na to pozor), že cookie lišty nejsou pro stávající GDPR klíčové – pokud tedy nepracujete s cílenou reklamou na základě cookies, tedy třeba s remarketingem. To znamená, že mnou první doporučený plugin je stavěný hlavně na budoucí ePrivacy nařízení a ve většině případů ho nemusíte nasazovat. Ten druhý plugin je ale stále aktuální, protože GDPR jako takové řeší hlavně souhlasy a právničinu.

Ale s technickou implementací ne/spouštění cookies, zaškrtávátky všude možně a umožněním výseku uživatelských dat (na jeho požádání) a jejich případnou anonymizaci = s tím vám už můžu pomoci.

Strávil jsem nad GDPR asi měsíc času, takže jsem si vyzkoušel hodně pluginů, které umožňují jednodušeji napojit právnické souhlasy s mými stávajícími stránkami.

Nejlépe mi vyšly tyto (světe div se, jsou zadarmo):

• https://wordpress.org/plugins/gdpr-cookie-compliance/
• https://cs.wordpress.org/plugins/wp-gdpr-compliance/

Ano jsou 2, protože žádný neumí všechno. Ten první zajistí selektivní ne/spouštění skriptů s cookies (tradičně třetí strany) a umožní návštěvníkovi i změnit své rozhodnutí (oběma směry).

Druhý přidá k WP komentářům, kontaktním formulářům (přes Contact Form 7, Gravity forms), Woocommercu a dalším zaškrtávátka s vaším textem a odkazem na celé znění podmínek. A nově umožní i na vyžádání automaticky připravit výsek uživatelských dat, která se váží ke konkrétnímu e-mailu.

GDPR Cookie Compliance plugin

Mám blízko k vývojářům tohoto pluginu, takže ještě když byl nový v repozitáři WP, mohl jsem do něj protlačit pár drobností, které jeho použití zpříjemňují. V základu vytvoří lištu se souhlasícím tlačítkem a možnost revidovat všechny použití cookies = a to v pěkném rozhraní popup okna.

Pracuje se záložkami:

• striktní cookies – ty jsou potřebné pro pamatování nastavení uživatele u samotného pluginu – pokud s nimi uživatel nesouhlasí, bude muset při každé návštěvě daného webu znovu ne/souhlasit s podmínkami.
• cookies třetích stran – sem standardně patří Google Analytics (o těch více níže), Google Tag Manager, Facebook trackovací skript, remarketingový kód Skliku (ač ten tvrdí, že souhlasy nepotřebuje), Hotjary, … jakékoliv další „cizí“ skripty.
• „další“ cookies, význam této části jsem dosud nepochopil a nenapadá mě, jaké bych tam vetknul, protože všechny třetích stran jsou už zahrnuté v předchozím bloku.
• a nakonec odkaz na vaše podmínky ochrany osobních údajů.

Kam s Google Analytics?

Ve velmi striktním pohledu na GDPR/ePrivacy, byste měli všechny kódy pracující s cookies spouštět až při souhlasu uživatele. Dokud by tedy neklikl na Souhlasím v lištičce, nebo selektivně je zapnul v detailu okna pluginu, tak by se nesměly spustit. GA, GTM a další kódy totiž vkládáte přímo do tohoto pluginu, a až při kliknutí na Souhlas se aktualizuje stránka a teprve v ten moment se dané kódy spustí.

„Bez souhlasu v tomto striktním maximalistickém pohledu neuvidíte žádného návštěvníka v GA apod.“

Ono ikdybychom takto museli spouštět GA apod., z mých testů zatím vyšlo, že souhlas dá cca 20-30 % návštěvníků, takže nikdy to nebude 0.

Aktualizace z 22. 5.: Potvrzeno právníkem:

Co se týče užívání Google Analytics, pak prostřednictvím tohoto nástroje lze zpracovávat osobní údaje na základě oprávněného zájmu, souhlas tedy není třeba. Pokud by se však v rámci zpracování užívalo cílení reklamy, profilovaní nebo remarketingu, doporučujeme toto zpracování provádět na základě předem uděleného souhlasu.

Doporučuji však nasadit anonymizaci IP ať jste čistí.

Každopádně na remarketingy a podobné strany souhlas potřebujete stejně – podobně jako běžní e-shopáři.

GDPR compliance plugin

Šikovný kousek, který pomůže těm, kteří si neumí přidat ke všem formulářům na webu zaškrtávátka (ne vždy jsou 100 % nutné a tedy není nutné vyžadovat explicitní souhlas) se souhlasy s jednotlivými podmínkami. Po zapnutí si můžete selektivně vybírat, kde budete mít jaké texty, jaké souhlasy vyžadovat.

A také pomocí speciálního shortcodu vytvoří pro vaše návštěvníky možnost si nechat zaslat na svůj e-mail všechny osobní údaje, které jsou v daném WP webu vázané na daný e-mail. Tím byste měli splnit další z požadavků GDPR na:

• jaké osobní údaje zpracováváme,
• vysvětlení ohledně zpracování osobních údajů,
• vyžádání přístupu k těmto údajům,
• a požadovat výmaz těchto osobních údajů.

Pro vyřešení těchto technických nasazení (hlavně pro cookies) existují už placené služby (jak jinak), ale nemyslím si, že pro menší a jednodušší weby je nutné jejich služeb využívat.

Nezapomeňte na bezpečnost

Dále jsem řešil ještě bezpečnostní věci typu:

chybějící https, Wordfence PRO jako obranu proti sql injection a podobným útokům, dvoufázové ověření pro administrátory WP, brutální hesla k FTP a DB, … věci, které se hodí i bez GDPR 🙂

A co další affiláci a GDPR?

Jak se s GDPR popasováváte vy? Řešíte ho laxně či agresivně? Nebo na něj kašlete a čekáte, co udělá konkurence?