25 maja 2018 to dzień, kiedy RODO wchodzi w życie w Unii Europejskiej. Rozporządzenie o Ochronie Danych Osobowych wprowadza szereg wymagań wobec właścicieli stron internetowych, za czym idą zmiany zarówno prawne jak techniczne.
Co zatem mogą zrobić właściciele WordPressowych stron?
Funkcje stron internetowych wymagane przez RODO
Spójrzmy najpierw, jakie wymagania narzuca RODO. Można z nich ułożyć krótka listę, którą postaramy się omówić krok po kroku:
- Zgoda na przetwarzanie danych osobowych
- Anulowanie udzielonej zgody
- Polityka prywatności pliki Cookies
Zgoda na przetwarzanie danych osobowych
RODO wprowadza przepis, nakazujący informowanie użytkownika o celu przetwarzania jego danych osobowych. Co więcej użytkownik musi wyrazić osobna zgodę na każdy z podanych celów, abyśmy mogli podjąć się przetwarzania czy choćby przechowywania jego danych. Zgody możemy zbierać w formie elektronicznej za pomocą checkbox’ów. Istnieje wymóg, by same zgody zostały przedstawione w czytelny jasny do zrozumienia sposób. Co za tym idzie należy unikać używania technicznego lub prawniczego języka.
Istnieje szereg wtyczek do WordPressa, które oferują możliwość generowania formularzy zapisowych. W wielu z nich znajdziemy opcję dodawania własnych pól dodatkowych typu checkbox z możliwością opisania go własnym tekstem.
Anulowanie udzielonej zgody na przetwarzanie danych osobowych
RODO nakazuje, aby użytkownicy wyrażający zgodę na przetwarzanie danych osobowych mieli możliwość cofnięcia tej zgody, jak również żądania usunięcia swoich danych z bazy lub usunięcia konta. Przepis ten został określony mianem „Prawa do bycia zapomnianym”.
Polityka prywatności pliki Cookies
Co prawda kwestie prawne odnośnie plików Cookies nadal są poddawane pracom, to jednak istnieje kilka kwestii pewnych, wartych wspomnienia. Przede wszystkim nie tylko RODO reguluje kwestie plików Cookies, ale polskie prawo.
Między innymi każda strona wykorzystująca Cookies powinna o tym fakcie poinformować. O ile przed wprowadzeniem RODO sama informacja wystarczyła, o tyle wraz z wejściem rozporządzenia o ochronie danych osobowych doszło kilka nowych obowiązków w tej kwestii. Przede wszystkim w przypadku przechowywania w plikach cookies informacji uznawanych za dane osobowe należy użytkownikowi przedstawić informację o tym fakcie, celu, w jakich są one przechowywane oraz, co najistotniejsze dać możliwość niewyrażenia zgody na ich przechowywanie. Fakt faktem w takim przypadku użytkownik powinien albo zostać przekierowany poza stronę, albo powinien mieć udostępniona opcję wyłączenia plików cookies dla danej witryny (no wywołując opcję ustawień przeglądarki)
No dobrze, skoro dysponujemy przynajmniej bazową wiedzą na temat wymagań spójrzmy, co mogłoby pomóc nam je spełnić. Na szczescie ostatnio pojawiło sie wiele prostych do skonfigurowania wtyczek, które mogą pomóc nam z wprowadzeniem koniecznych elementów na stronę.
W tym miejscu trzeba jednak jasno powiedzieć, że tak jak istnieją różne biznesy, tak mają one własne cele przetwarzania danych oraz wymogi prawne dotyczą ich w różnym stopniu.
Dlatego nie ma uniwersalnych narzędzi, które automatycznie spełnią wymogi ochrony danych osobowych narzuconym przez RODO. Dla pewności lepiej skorzystać z fachowej pomocy prawników firm, które przeprowadzą adekwatne audyty doradzą w sprawie koniecznych wdrożeń. Zastosowanie niżej wymienionych wtyczek nie gwarantuje automatycznego spełniania wymagań RODO przez Twoja witrynę.
Wtyczki pomocne w dostosowaniu stron do wymogów RODO
WP GDPR Compliance
Wtyczka WordPresowa WP GDPR Compliance wprowadza możliwość wyrażenia zgody na przetwarzanie danych osobowych. O ile nie ma przeciwwskazań przed zbieranie zgód przez z wykorzystaniem innych metod tak długo, jak są one czytelne jednoznaczne, o tyle użycie do tego celu checkboxów stało się powszechną metodą, intuicyjną dla użytkowników.
Wtyczka WordPresowa WP GDPR Compliance współpracuje z innymi wtyczkami wprowadzającymi formularze kontaktowe takimi jak:
- Contact Form 7
(zgoda na przetwarzanie danych osobowychi przechowywanie ich, w celu wysyłania wiadomości zwrotnych - Gravity Forms
a także
- formularz zamówienia w WooCommerce
(zgoda na przechowywanie danych osobowych przetwarzanie ich w celu realizacji zamówienia wysyłki towaru) - komentarze WordPressa
(zgoda na przechowywanie danych osobowych przetwarzanie ich poprzez przypisanie treści komentarza do adresu e-mail)
GDPR
Wtyczka GDPR oferuje szereg funkcji, które wzbogacą Twoją stronę o elementy wymagane przez RODO. Między innymi znajdziemy tu takie możliwości jak:
- okienko zgody na wykorzystywanie plików cookies z opisem wszystkich plików cookies oraz ich kategoryzację tematyczną
- opcję wyłączenia poszczególnych cookiesów przez użytkownika w trybie online – tu wtyczka wymaga przeprowadzenia zaawansowane konfiguracji
- wprowadzenie konieczności akceptacji polityki prywatności przed dokonaniem rejestracji na stronie
- możliwość pobrania swoich danych przez użytkownika
- formularz zgłoszenia naruszenia danych osobowych
- opcję wysyłki do zarejestrowanych użytkowników informacji o wycieku danych osobowych
- obsługę zgłoszeń próśb przez administratowa w panelu administracyjnym WordPressa
Jedynym utrudnieniem, jakie występuje w użytowaniu wtyczki w obecnej postaci jest istnienie tylko jednej wersji językowej – po angielsku. Niemniej jest ona dostosowana do funkcji tłumaczacych, co oznacza, że możemy sami tłumaczyć jej zawartość z pomocą takich dodatków jak LOCO Translate.
Szyfrowane połączenie SSL
Rozporządzenie o Ochronie Danych Osobowych kładzie bardzo silny nacisk na zabezpieczanie danych osobowych, lecz nie definiuje konkretnego sposobu na wywiązanie się z tego obowiązku. W przypadku witryn internetowych które dokonują przetwarzania danych osobowych jednym z najbardziej zalecanych kroków jest zaopatrzenie się w certyfikat SSL, czyli tzw szyfrowane połączenie. Dodajmy jeszcze, że zabezpieczając nasza stronę w ten sposób nie tylko przyczyniamy się do większego bezpieczeństwa danych, ale również zyskujemy zaufanie klientów (cześć przeglądarek może wyświetlić użytkownikom ostrzeżenie o niezabezpieczonym połączeniu. Taki komunikat potrafi skutecznie zniechęcić do dalszego przeglądania witryny)
Chociaż RODO nie okresla jednoznacznie, że wdrożenie SSL jest konieczne, to jednak informuje o konieczności wykorzystywania dostępnych środków do zabezpieczania danych. Warto tu zauważyć, że kary za niewywiązanie się z obowiązku mogą sięgać górnej granicy 20 mln euro, albo 4% rocznego obrotu firmy.
Wszystkie przedstawione informacje służą wyłącznie do celów edukacujnych. Firma Projekt-Net nie bierze odpowiedzialności branej za błędy wynikające z interpretacji treści.
