Jak dodać funkcje wymagane przez RODO do WordPressa

20 komentarzy

1. Rewelacyjny wpis! Dzięki!
   Do ulubionych! 🙂

2. Fajny Art. Właściciel przeciętnej strony www z cms wp, potrzebujesz:
   1 https
   2 blok skryptów śledzących min. ga, pixel, gtag itp. zanim nie zaakceptujesz regulaminu
   3 oprócz polityki prywatności i cookies dodajesz regulamin dot. rodo.
   Coś jeszcze?

3. zgoda na przechowywanie danych osobowych i przetwarzanie ich w celu kontaktu zwrotnego to samo dla sklepów.
   Checkbox NIE JEST wymagany jeżeli przetwrazanie danych wymagane jest do realizacji usługi lub np. wysyłki towaru – odpowiedź na mail jest w tym samym katalogu i nie ptrzeba w formularzu kontaktowym checkboxa. Pod formularzem wystarczy standardowa nowa formułka o przetwarzaniu z linkiem do polityki prywatnosci/karty informacyjnej. Identycznie z formularzami “oddzowń w 28 sekund” – jeżeli komunikat na takim ekranie jest jasny i użytkownik dobrowolnie podaje dane, a z komunikatu wynika, że mają TYLKO oddzwonić… nie jest wymagany. Rabat w sklepie internetowym – Jeżeli wyświetla się popup odbierz rabat to jeżeli chcemy mu tylko wysłać kod rabatowy bez newslettera (checkbox nie wymagana), ale jeżeli chcemy z domyśle ich zapisywać na newsletter – już checkbox musi być.

   Checkbox WYMAGANY jest TYLKO – jeżeli poza odpowiedzią lub relizacją umowy chcemy robić coś extra np. wysyłać newsletter (1 checbox), wysyłać SMS (+1 checbox), telemarketing (+1 checkbox) etc.

4. “RODO bierze pod uwagę nie tylko obecność technologii zabezpieczającej, ale również jej skuteczność” ?? A co to za organizacja ta RODO ale chętnie poznam :D. i jeśli już dojdziemy że to tylko rozporządzenie to gdzie to jest tam napisane, że płatny certyfikat jest bardziej skuteczny niż darmowy ? i dlaczego wasz jest bardziej skuteczny niż ten Let’s Encrypt

5. Przy zakupie certyfikatu z LH.pl klient dostaje wsparcie techniczne- jesteśmy w stanie poinstruować jak uzyskać chociażby wynik A w teście SSLLABS – https://www.ssllabs.com/ssltest/ – ma to bezpośredni wpływ na bezpieczeństwo. Samo posiadanie certyfikatu SSL nie gwarantuje wysokiego poziomu bezpieczeństwa transmisji danych.
   W Let’s encrypt można zapomnieć o takich wartościach dodanych.

6. Jeśli masz również newsletter to potrzebujesz jeszcze zgody na wysyłkę maili. Wspominam o tym, bo często właściciele “przeciętnej strony” jakąś formę newslettera stosują.

7. ale bez wasych ” wartosci dodanych” i tak uzyskasz A/A+ -kazdy hostinh z autoinstalatorem Lets necrypt robi to porpawnie – malo kto LE instaluje recznie 🙂

8. A jest juz wersja polska?

9. Super wpis. Dzięki!

10. Panie Błażeju,

    “Istnieją też darmowe alternatywy, takie jak Let’s Encrypt, ale należy pamiętać, że RODO bierze pod uwagę nie tylko obecność technologii zabezpieczającej, ale również jej skuteczność. To od Ciebie zależy ocena ryzyka – czy na pewno chcesz ryzykować użycie darmowego rozwiązania w kwestii tak ważnej, jak szyfrowanie danych osobowych swoich klientów i odwiedzających?”

    Poważnie? I właśnie artykuł, który miał jakiś sens stał się marketingową papką, bo jeśli na końcu artykułu można tak swobodnie podchodzić do faktów i przeinaczać je na swoją korzyść, żeby sprzedać, to trochę odechciewa mi się weryfikować rzetelność reszty tekstu…

    Praktycznie każdy hosting oferujący Let’s Encrypt wdraża go automatycznie i wszystko konfiguruje w poprawny sposób – dlatego nie jest potrzebny dodatkowy support – i dobrze, bo mniej przez to miejsca na czynnik ludzki.

11. Po pierwsze, to trochę przykry jest fakt, że tak łatwo cały tekst jest w stanie stać się dla kogoś marketingową papką tylko dlatego, że w jego niewielkiej części jest zawarta oferta certyfikatu SSL – zarówno płatnego, jak i darmowego. Zwłaszcza, że nie ma w tym nic złego, bo przecież każdy usługodawca ma w swojej ofercie SSL, a to jest oficjalny blog LH. Pragnę też wspomnieć, że nawet wyraźnie zaznaczyłem, że RODO bezpośrednio nie nakłada obowiązku użycia SSL, ale jego wykorzystanie jest dobrym sposobem na spełnienie warunków zachowania bezpieczeństwa danych osobowych i po prostu w dzisiejszych czasach powinno się to robić.

    Wydaje się być Pan głęboko urażony ofertą płatnego SSL. Czyli co, idąc pańskim tokiem rozumowania należałoby wycofać z oferty wszystkich dostawców płatne certyfikaty SSL i zostawić jedynie Let’s Encrypt, bo jest darmowy, tak? Bo skoro jest darmowy Let’s Encrypt, to nie ma sensu płacić, a każdy płatny SSL jest naciąganiem i reklamowanie tego to branie udziału w jakimś nieuczciwym procederze marketingowym? Bez urazy, ale brzmi to jak nieporozumienie.

    Po drugie, pisząc o Let’s Encrypt nie miałem zamiaru nikogo zniechęcać do tego rozwiązania i ukazywać go jako gorszego niż płatny SSL, a jedynie chciałem zwrócić uwagę na to, że RODO jest bardzo “płynne” w kwestii interpretacji i jedną z rzeczy, jakie wskazuje, jest ocena ryzyka. Nie postawiłem żadnej tezy, że Let’s Encrypt jest gorszy, a zadałem jedynie na sam koniec pytanie, czy w kontekście oceny ryzyka warto stawiać na darmowe rozwiązanie, czy lepiej posłużyć się płatnym certyfikatem od swojego dostawcy. Rozporządzenie wskazuje, że powinniśmy brać pod uwagę zabezpieczenie danych osobowych, zdolność do zapewnienia ich ciągłej poufności, a także regularne testowanie i sprawdzanie środków technicznych wykorzystanych do ich zabezpieczenia. Czy w przypadku ewentualnych problemów i konieczności “obrony” użytych technik zabezpieczenia płatny certyfikat w firmie hostingowej zwiększa poziom bezpieczeństwa pod kątem OCENY ryzyka bardziej niż darmowe rozwiązanie z zagranicznej strony internetowej? Na to pytanie musi sobie odpowiedzieć każdy sam i podjąć decyzję. Gdybym chciał zareklamować rozwiązanie LH, to w ogóle nie wspominałbym o tym, że istnieje darmowa alternatywa, bo przecież w kontekście chamskiej, marketingowej papki byłby to fakt niewygodny.

12. Panie Błażeju,

    Oczywiście, że odbiór całego tekstu się zmienia, jeśli trafi się w nim na jawne przekłamanie czy kręcenie. Cieszę się, że łagodzi Pan swoje zdanie i próbuje je teraz rozmyć. Jednak to zdanie z Pańskiego komentarza:

    “pisząc o Let’s Encrypt nie miałem zamiaru nikogo zniechęcać do tego rozwiązania i ukazywać go jako gorszego”

    stoi w konflikcie z tym zdaniem artykułu:

    “Istnieją też darmowe alternatywy, takie jak Let’s Encrypt, ale należy pamiętać, że RODO bierze pod uwagę nie tylko obecność technologii zabezpieczającej, ale również jej skuteczność.”,

    w którym wyraźnie próbuje Pan zasugerować, że Let’s Encrypt w zakresie SSL jest mniej skuteczny, a późniejszymi zdaniami, że stanowi jakieś ryzyko (mam nieodparte wrażenie, że w poprzedniej wersji artykułu fragment ten był nieco inaczej sformułowany – może to tylko moje wrażenie).

    Wydaję się głęboko urażony nie tym, że macie coś w ofercie (w zakresie jej kreowania macie pełną dowolność), lecz tym, że próbuje Pan dyskredytować alternatywne rozwiązania (bez znaczenia płatne czy darmowe, w tym przypadku darmowe), których akurat przypadkiem nie oferujecie i to w najgorszy możliwy sposób – bo nie wykazuje Pan ich wad, ani faktycznych minusów, tylko insynuuje, że z jakiegoś powodu są one ryzykowne. Zniesmaczony natomiast jestem tym, że artykuł na temat RODO stał się troszkę okazją do sprzedaży certyfikatów SSL, co w zasadzie technicznie nie jest nawet związane z tematem.

    PS. A jeśli już o merytoryce… Szkoda, że skupił się Pan na wtyczkach i kompletnie pominął zmiany wykonywane w core WordPressa w tym zakresie.

13. Ale to jest artykuł o RODO, całkiem przydatny, temat chodliwy, prawdopodobnie przeczyta go wielu laików, dlatego trzeba było nic nie pisać o SSL a tym bardziej o LE, bo w tym momencie pomówiłeś konkretne konkurencyjne rozwiązanie stawiając je w złym świetle sugerując w domyśle, że to rozwiązanie może być mniej bezpieczne, czyli nie spełnia swojej podstawowej funkcji “ocena ryzyka – czy na pewno chcesz ryzykować użycie darmowego rozwiązania”, co może stanowić element nieuczciwej konkurencji. Linus T. mógł by Ci teraz wytoczyć proces albowiem LE jest zarejestrowanym znakiem towarowym. Dodatkowo wprowadzasz czytelników w błąd, dlatego zamiast wchodzić w bezsensowną dyskusję, sprostuj to stwierdzenie, dokładnie tłumacząc na czym na prawdę polega różnica albo zrezygnuj z tego niestosownego porównania.

14. Być może po prostu użyłem nieodpowiednich słów i przez niektóre osoby zostały nieodpowiednio odebrane. Nie mam zamiaru prowadzić upartej dyskusji i przykro mi, że niechcący mogłem wprowadzić kogoś w błąd nieodpowiednim doborem słów. Jak wspomniałem, absolutnie moim zamiarem nie było dyskredytowanie Let’s Encrypt, a jedynie zwrócenie uwagi na użycie darmowego rozwiązania w kontekście oceny ryzyka, aby to użytkownik sam pomyślał i zdecydował.

    Fragment o SSL został zmieniony, aby nie powodować dalszych kontrowersji i aby nie wprowadzać części osób nieświadomie w błąd. Co do nowości związanych z RODO w core WordPressa – odpowiednie informacje pojawią się na ten temat, gdy zostanie udostępniona już finalna wersja WP 4.9.6 dla wszystkich użytkowników. Póki co jesteśmy na etapie wersji RC2 (wydanej wczoraj), a w trakcie przygotowywania tego artykułu nie była chyba jeszcze nawet udostępniona Beta (ta pojawiła się 4 maja, a artykuł jest z kwietnia).

15. Kary są niezłe… Prowadze swojego bloga bez rejestracji, ale z możliwością komentarzy przez Disqus.
    Też muszę ogarnąć regulamin? Nie ma reklam i nie będzie na stronie. Czytam i nie rozumiem dla kogo to RODO. Dla każdego, czy tylko tych, co mają rejestracje jakieś lul.

16. Nie zmienia to jednak faktu, iż twierdzenie, że darmowy certyfikat daje technicznie gorsze zabezpieczenie danych użytkowników jest po prostu nieprawdziwe. “Darmowość” certyfikatu nie ma nic wspólnego z poziomem bezpieczeństwa serwisu WWW i danych w zakresie używanych metod szyfrowania, a tym samym zabezpieczenia samej transmisji danych.

    Różnica polega jedynie na tym, iż darmowy certyfikat potwierdza jedynie, że właścicielem witryny WWW jest osoba, mająca dostęp do serwera w roli administratora, a więc domyślnie reprezentująca właściciela serwisu webowego. Komercyjne certyfikaty, różnią się tym, że najczęściej (nie zawsze i nie wszystkie ich odmiany) potwierdzają jeszcze, że wystawca certyfikatu zweryfikował nie tylko własność domeny/serwera, ale również istnienie danego podmiotu (instytucji/firmy), czy też dane konkretnej osoby. I za tą dodatkową weryfikację podmiotu się płaci (choć istnieją certyfikaty komercyjne, które nie wiążą się z żadną dodatkową weryfikacją podmiotu występującego o certyfikat, poza tym, że ktoś zapłacił za wystawienie danego certyfikatu).

    Wielu ISP oferujących hosting/serwery wirtualne domyślnie udostępnia darmowe certyfikaty Let’s Encrypt i są to bezpieczne i wiarygodne certyfikaty, jeśli tylko mamy w świadomości to, co napisałem powyżej.

    Natomiast bezpieczeństwo użytych algorytmów szyfrowania, czy oprogramowania pracującego na serwerze, to nieco inna bajka i serwer korzystający z darmowego certyfikatu TLS, może być o wiele bezpieczniejszy od takiego, który korzysta z najdroższego certyfikatu komercyjnego (i vice-versa).

17. Musisz. Chociażby taki gdzie wskazujesz, że dane trzyma Disqus na swoich serwerach.
    Należy wskazać pośrednika w tym przypadku. Poza tym RODO to też cookies, a Ty sam przetwarzasz dane osobowe jeśli na stronie masz chociażby formularz kontaktowy i o to również powinieneś zadbać.

18. Kolejna głupota Unii Europejskiej. Ustalili już jaka być długość ogórka i wielkość pomidora to wzięli się za dane osobowe. Tylko nie wzięli pod uwagę, że jak ktoś będzie chciał sprzedać twoje dane osobowe na czarnym rynku to i tak to zrobi bez jakiegokolwiek problemu. Nawet jeśli na stronie będzie miał najlepsze zabezpieczenia i komunikaty.
    Zaczęło się od Cookies teraz to. Każdy internauta musi być świadomy, że jest śledzony na każdym kroku. A najlepsze jest to że rządowe agencje jak amerykańska NSA są poza obowiązującym prawem i z ich bazy nie można się wypisać choćbyśmy jak chcięli. Wszystko to mydlenie oczu ludziom..

19. hey, czy może ktoś zobaczycz na mojej stronie jaki typ polityki prywatności potrzebuje? strona jaswiatkocham.pl planuje zrobić tam platforme dla rozwijania projektów do ratuwania planety

20. Ale też nie przesadzajmy w nasycaniem nawet prostych, pozbawionych reklam stron tymi zgodami, regulaminami itp. Napisałeś, że RODO RODO “w bardzo dużym skrócie i uproszczeniu, zakłada że użytkownik ma mieć kontrolę nad swoimi danymi osobowymi” – dodałbym, że w bardzo dużym skrócie chodzi o to, żeby użytkownik wiedział kto i w jakim celu przetwarza te dane. A więc dajmy na to prosty formularz – chyba kluczowe, najważniejsze jest to, a przekazać ( w formułce, w polityce prywatności) jaki dokładnie podmiot przetwarza te dane z formularza i że przetwarza je celem udzielenia odpowiedzi na zadane pytanie. Ot, cała filozofia.

Możliwość komentowania została wyłączona.