Jak dodać funkcje wymagane przez RODO do WordPressa

RODO wchodzi w życie 25 maja 2018 roku i stawia sporo wymagań przed posiadaczami stron internetowych. To nie tylko wyzwanie prawne, ale również technologiczne. Jak dodać funkcje wymagane przez RODO do WordPressa?

rodo

RODO to rozporządzanie w sprawie ochrony danych osobowych i obowiązuje wszystkie firmy oraz osoby, które przetwarzają dane osobowe. Rozporządzenie to stawia wiele wymagań, które muszą zostać spełnione. Część z tych wymagań może być dla niektórych osób ciężka do spełnienia, gdyż RODO to nie tylko wyzwanie prawne (np. odpowiednia aktualizacja treści regulaminu i polityki prywatności), ale również wyzwanie technologiczne.

Jakich funkcji wymaga RODO od stron internetowych?

RODO zakłada, w bardzo dużym skrócie i uproszczeniu, że użytkownik ma mieć kontrolę nad swoimi danymi osobowymi i pełną świadomość sposobu i celu ich wykorzystania np. przez stronę czy sklep internetowy. Nowości, które niesie za sobą rozporządzenie, zostały opisane na naszym blogu w artykule poświęconym zmianom w GIODO dla sklepów internetowych, z którym zalecam się zapoznać.

  • Zgoda na przetwarzanie danych osobowych

Użytkownik musi dobrowolnie wyrazić zgodę na przetwarzanie danych osobowych, na przekazanie ich innemu podmiotowi czy też na otrzymywanie informacji handlowych i newsletterów. Zabronione jest łączenie ze sobą indywidualnych zgód w jeden „checkbox” – każda zgoda musi zawierać osobny przycisk do zaznaczenia, a także musi być sformułowana w czysty i jasny sposób. Pola te muszą być domyślnie odznaczone.

Jeśli nie wiesz, jak sformułować treść tej zgody, to zapoznaj się z naszym poradnikiem, w którym pokazaliśmy, jak napisać zgodę na przetwarzanie danych osobowych.

  • Możliwość wycofania wyrażonych zgód i danych osobowych

Użytkownik powinien móc także sprawdzić wyrażone przez siebie zgody, mieć możliwość przejrzenia i wycofania swoich danych, a także mieć możliwość usunięcia swojego konta (tzw. “prawo do bycia zapomnianym”).

  • Kwestia plików cookies

Oprócz tego istnieje sporna kwestia odnośnie plików cookies. Interpretacje prawnicze nadal nie są w pełni zgodne co do tej kwestii, ale wielu analytików sugeruje, że RODO za dane osobowe uznaje także adres IP oraz pliki cookies. A to może oznaczać, że do wykorzystania plików cookies może być konieczne nie tylko informowanie użytkownika o tym fakcie, ale także otrzymanie na to jego zgody.

Dodawanie funkcji wymaganych przez RODO w WordPressie

Jeśli jesteśmy początkującymi administratorami swojego bloga czy niewielkiego sklepu internetowego, to wprowadzenie tych funkcji może sprawić nam ogromny problem. Napisanie odpowiednich zgód na przetwarzanie danych osobowych czy aktualizacja regulaminu i polityki prywatności to jedno. Te warunki możemy spełnić chociażby po konsultacji z prawnikiem lub po samodzielnej analizie rozporządzenia, wprowadzając odpowiednie zmiany w samych treściach dokumentów. Nieco gorzej jest w przypadku konkretnych funkcji, których wprowadzenie wymaga nie tyle wiedzy prawniczej, ale informatycznej.

Na szczęście w WordPressie wiele rzeczy można załatwić za pomocą wtyczek. Poniżej opisaliśmy część dostępnych wtyczek, które ułatwiają spełnienie powyższych wymagań.

Uwaga! Zastosowanie poniższych wtyczek nie gwarantuje, że Twoja strona lub sklep internetowy będzie automatycznie spełniać wszystkie wymagania stawiane przez RODO. Nie instaluj wszystkiego “na ślepo”! Sprawdź dokładnie, czego potrzebujesz, a następnie wybierz odpowiednie z nich.

Część z tych wtyczek to prawdziwe kombajny, które oferują wiele opcji i wymagają zaawnsowanej wiedzy technicznej do wykorzystania całego potencjału funkcjonalności (np. do blokowania indywidualnych plików cookie). Wtyczki są też nadal cały czas rozwijane i aktualizowane przez twórców, więc samemu musisz określić, jakich funkcji brakuje Ci na stronie i pobrać to, co jest dla Ciebie niezbędne.

Wtyczka WP GDPR Compliance, czyli zgody na przetwarzanie danych osobowych

Checkboxy ze zgodą na przetwarzanie danych osobowych można dodać na różne sposoby. Większość wtyczek do formularzy kontaktowych posiada łatwy w użyciu edytor, za pomocą którego możesz dodawać własne pola formularza (np. Contact Form 7).

Alternatywnym sposobem na szybkie dodanie wymaganych przez RODO pól do zaznaczenia jest wtyczka WP GDPR Compliance. To wtyczka, która z automatu dodaje podstawowe, najpotrzebniejsze zgody w WordPressie do następujących elementów:

  • formularz kontaktowy z Contact Form 7 (zgoda na przechowywanie danych osobowych i przetwarzanie ich w celu kontaktu zwrotnego)
  • formularze stworzone przez Gravity Forms
  • formularz zamówienia w WooCommerce (zgoda na przechowywanie danych osobowych i przetwarzanie ich w celu realizacji zamówienia i wysyłki towaru)
  • komentarze WordPressa (zgoda na przechowywanie danych osobowych i przetwarzanie ich poprzez przypisanie treści komentarza do adresu e-mail)

Wtyczka jest bardzo prosta w użyciu. Po zainstalowaniu wystarczy wejść do sekcji „Narzędzia > GDPR Compliance” i zaznaczyć, które pola mają być aktywne. Pojawią się wtedy szczegóły, pozwalające wpisać nazwę i treść zgody w języku polskim dla każdego typu formularza.

WP GDPR Compliance - dodaj przycisk zgody,rodo

Pomocna jest także sekcja „Checklist”, w której znajdziemy informacje o tym, jakie zgody są wymagane w określonych sytuacjach. Niestety treść tych porad jest po angielsku. W ostatniej zakładce znajdziemy opcję wskazania tej strony, która zawiera treść polityki prywatności. Wybierz odpowiednią stronę z listy – dzięki temu przy każdym checkboxie pojawi się szybki odnośnik do twojej polityki prywatności.

Wkrótce WP GDPR Compliance ma zostać wyposażona także w funkcję przejrzenia wyrażonych zgód i wycofania ich przez użytkownika na życzenie.

Wtyczka GDPR, czyli kombajn funkcji związanych z RODO

Wtyczka GDPR to prawdziwy kombajn, który wprowadza mnóstwo funkcji związanych z wdrożeniem RODO. W jednym miejscu znajdziemy szereg funkcji, które są wymagane przez RODO bądź sprawiają, że spełnimy odpowiednie sugestie. Wtyczka GDPR umożliwia dodanie takich funkcji, jak:

  • okno ze zgodą na wykorzystywanie plików cookies i opisem wszystkich plików cookies, wraz z podziałem ich na kategorie tematyczne
  • możliwość wyłączenia poszczególnych plików cookies przez użytkownika w dowolnej chwili (wymaga zaawansowanej konfiguracji)
  • wymuszenie akceptacji polityki prywatności przed rejestracją na stronie
  • przycisk zgłoszenia chęci usunięcia swojego konta przez użytkownika
  • przycisk zgłoszenia chęci pobrania swoich danych przez użytkownika
  • formularz zgłoszenia naruszenia danych osobowych
  • możliwość wysłania informacji o wycieku danych do wszystkich zarejestrowanych użytkowników
  • panel sterowania w ustawieniach WordPressa, który pozwala Administratorowi Danych Osobowych zarządzać wszelkimi zgłoszeniami i prośbami

Wtyczka jest niestety w języku angielskim, ale treści polityki prywatności i komunikatów cookies możemy wpisać samemu. Całą resztę elementów możemy przetłumaczyć samodzielnie za pomocą wtyczki LOCO Translate.

Po zainstalowaniu wtyczki przejdź do zakładki „GDPR > Settings”. W sekcji „General” musisz wybrać podstronę, na której masz wpisaną politykę prywatności swojej strony.

Wybierz politykę prywatności w opcjach wtyczki GDPR,rodo

Gdy to wybierzesz, użytkownik przy logowaniu lub rejestracji będzie musiał potwierdzić politykę prywatności strony i zaznaczyć odpowiedni checkbox.

Kolejna zakładka to Cookies, gdzie możemy utworzyć baner ze zgodą na użycie plików cookies, a także określić kategorie ciasteczek, jakich używamy. W polu „Cookie banner text” wpisz treść prośby o akceptację plików cookies. Zaawansowani użytkownicy mogą skorzystać z dodatkowych opcji związanych z cookies, dzięki którym możemy szczegółowo opisać każde użyte ciasteczka i dać ich możliwość wyłączenia, gdy są zbędne do podstawowej funkcjonalności strony. Pełne wypełnienie wszystkich pól, opisanie wszystkich plików cookies i wymienienie ich na liście, wraz z udostępnieniem informacji, jak zablokować zewnętrzne cookies, sprawia, że wtyczka buduje bardzo zaawansowaną zgodę na wykorzystanie plików cookies wraz z dokładnymi informacjami o każdym wykorzystywanym rodzaju ciasteczek.

rodo

Jeżeli chodzi o przejrzenie i wycofanie zgód użytkownika, to możemy stworzyć sekcję z ustawieniami dla użytkownika. Wejdź do zakładki “Strony” w WordPressie i utwórz nową stronę. Nadaj jej nazwę typu “Ustawienia prywatności”.

rodo

Funkcjonalność strony buduję się poprzez wpisywanie odpowiednich shortcode’ów, które w wybrane miejsca wstawiają gotowe elementy:

  • [gdpr_preferences text=”Ustawienia cookies”] – wyświetla przycisk “Ustawienia cookies”, który po kliknięciu powoduje wyświetlenie okienka z opcjami plików.
  • [gdpr_request_form type=complaint]wyświetla formularz, w którym zarejestrowany użytkownik może zgłosić skargę w sprawie naruszenia prywatności.
  • [gdpr_request_form type=export-data]wyświetla przycisk, za pomocą którego zarejestrowany użytkownik może pobrać swoje dane.
  • [gdpr_request_form type=delete]wyświetla przycisk, za pomocą któego użytkownik może zgłosić chęć usunięcia swojego konta.

Oczywiście każdą z tych opcji można odpowiednio opisać, informując użytkownika, jak działają poszczególne elementy strony. Jest to wręcz wskazane, gdyż same shortcode’y dodają jedynie przyciski i pola formularza, które muszą przez nas zostać wyjaśnione. Cała strona może wyglądać tak, jak powyżej. Użytkownik może w tym miejscu przejrzeć swoje dane i zgody, a także wykasować swoje konto. Otrzyma także wiadomość e-mail, w której musi potwierdzić np. chęć usunięcia konta.

Wtyczka Ginger – EU Cookie Law, czyli łatwiejszy sposób na poskromienie ciasteczek

Ciasteczka to technicznie jeden z trudniejszych elementów do zaspokojenia jeśli chodzi o możliwy wpływ RODO. Teoretycznie możemy to załatwić za pomocą powyższej wtyczki GDPR, ale większość początkujących posiadaczy WordPressa nie wie, z jakich ciasteczek korzysta strona, jak je podzielić na niezbędne, funkcjonalne i reklamowe, a także jak je domyślnie wyłączyć i sprawić, że będą działać tylko wtedy, gdy użytkownik wyrazi na to zgodę. Nie wspominając o dodaniu możliwości ich indywidualnego przełączania.

Jeżeli wtyczka “GDPR” w tej kwestii jest dla Ciebie zbyt trudna i niezrozumiała w konfiguracji, to z pomocą przychodzi wtyczka Ginger – EU Cookie Law, która znacznie ułatwia sprostanie rygorystycznym wymaganiom stawianym przez RODO w sprawie plików cookies.

Ginger ma proste działanie. Po prostu blokuje wszystkie pliki cookies na naszej stronie dopóki użytkownik nie wyrazi zgody na ich użycie.  Ginger jest kompatybilny także z serwisami i usługami zewnętrznymi, z których często korzystamy, a które również wykorzystują pliki cookies, czyli takimi jak:

  • Adsense
  • Disqus
  • Facebook
  • Google +
  • Google Analytics
  • Google Maps
  • Linkedin
  • Pinterest
  • ShareThis
  • Twitter
  • Youtube
  • Vimeo

Niestety integracja z niektórymi z nich jest płatna. Gdy użytkownik wejdzie na stronę, to domyślnie ciasteczka nie będą wykorzystywane. Dopiero gdy użytkownik je zaakceptuje poprzez kliknięcie w przycisk “Wyrażam zgodę” na standardowym powiadomieniu cookies, ciasteczka zaczną działać. Aby tak to działało, należy w opcjach wtyczki ustawić tryb “Opt-in”.

Przetwarzasz dane osobowe? Koniecznie wyposaż się w certyfikat SSL

Jedną z rzeczy, o których wspomina RODO, jest konieczność odpowiedniego zabezpieczenia danych osobowych. RODO nie dyktuje w sposób bezpośredni, jak ma się to odbywać. To użytkownik musi dokonać samodzielnej oceny ryzyka i zdecydować, jakie środki będą najbardziej odpowiednie. W przypadku stron internetowych, które przechowują i przetwarzają dane osobowe wyposażenie się w ceryfikat SSL jest wysoce wskazanym rozwiązaniem, zwłaszcza, że w dzisiejszych czasach ikona zielonej kłodki w pasku adresu przeglądarki staje się normą.

Rodo nie mówi wprost, że wdrożenie SSL na stronach jest wymagane, ale informuje o tym, że trzeba starannie chronić dane osobowe i wykorzystać do tego możliwe środki. SSL sprawia, że połączenie z naszą stroną jest szyfrowane, co stanowi świetną podstawę tej ochrony. Bez szyfrowania istnieje duże prawdopodobieństwo przejęcia danych wysyłanych np. za pomocą formularza kontaktowego lub formularza zamówienia. SSL sprawia, że wszystkie dane są szyfrowane, więc nawet jeśli ktoś wejdzie w ich posiadanie, to nie odczyta ich zawartości. To jeden z najlepszych i najprostszych sposobów na zbudowanie odpowiedniego poziomu zabezpieczeń na naszej stronie.

Certyfikat SSL zakłada się dla wybranej domeny. Można to zrobić u swojego usługodawcy lub skorzystać z niezależnych od swojego hostingodawcy rozwiązań. W LH.pl znajdziesz certyfikaty SSL już od 0 zł za pierwszy rok! Istnieją też darmowe alternatywy, takie jak popularny Let’s Encrypt. W tym przypadku róznica polega jednak na tym, że różni hostingodawcy, w różny sposób przystosowują swoje usługi do korzystania z Let’s Encrypt. U niektórych znajdziecie taką opcję w panelu, u niektórych będzie to wymagać ręcznej konfiguracji. Warto przed przystąpieniem do prac sprawdzić, jak sytuacja wygląda u obecnego operatora i wtedy zdecydować, jakie rozwiązanie będzie dla nas najwygodniejsze.

Tags:, , , ,

Wieloletni webmaster, tworzący serwisy przy użyciu popularnych CMS typu WordPress oraz Prestashop. Ma doświadczenie w prowadzeniu sklepów internetowych i stara się być na bieżąco ze wszystkimi nowinkami technologicznymi. Uwielbia dzielić się swoją wiedzą, zawsze chętnie pomoże rozwikłać problemy.

17
Dodaj komentarz

avatar
8 Comment threads
9 Thread replies
0 Followers
 
Most reacted comment
Hottest comment thread
15 Comment authors
Marek CywińskichrisvwWujekHejterBłażej StarostaMateusz Błach Recent comment authors
  Subscribe  
najnowszy najstarszy oceniany
Powiadom o
FOTOdesign69
Gość
FOTOdesign69

Rewelacyjny wpis! Dzięki!
Do ulubionych! 🙂

Syltrex Siedlce
Gość
Syltrex Siedlce

Fajny Art. Właściciel przeciętnej strony www z cms wp, potrzebujesz:
1 https
2 blok skryptów śledzących min. ga, pixel, gtag itp. zanim nie zaakceptujesz regulaminu
3 oprócz polityki prywatności i cookies dodajesz regulamin dot. rodo.
Coś jeszcze?

Jakub Jaworowicz
Gość
Jakub Jaworowicz

zgoda na przechowywanie danych osobowych i przetwarzanie ich w celu kontaktu zwrotnego to samo dla sklepów. Checkbox NIE JEST wymagany jeżeli przetwrazanie danych wymagane jest do realizacji usługi lub np. wysyłki towaru – odpowiedź na mail jest w tym samym katalogu i nie ptrzeba w formularzu kontaktowym checkboxa. Pod formularzem wystarczy standardowa nowa formułka o przetwarzaniu z linkiem do polityki prywatnosci/karty informacyjnej. Identycznie z formularzami „oddzowń w 28 sekund” – jeżeli komunikat na takim ekranie jest jasny i użytkownik dobrowolnie podaje dane, a z komunikatu wynika, że mają TYLKO oddzwonić… nie jest wymagany. Rabat w sklepie internetowym – Jeżeli wyświetla… Czytaj więcej »

Damian Ślimak
Gość
Damian Ślimak

„RODO bierze pod uwagę nie tylko obecność technologii zabezpieczającej, ale również jej skuteczność” ?? A co to za organizacja ta RODO ale chętnie poznam :D. i jeśli już dojdziemy że to tylko rozporządzenie to gdzie to jest tam napisane, że płatny certyfikat jest bardziej skuteczny niż darmowy ? i dlaczego wasz jest bardziej skuteczny niż ten Let’s Encrypt

Paweł Gontarek
Gość
Paweł Gontarek

A jest juz wersja polska?

Michal
Gość
Michal

Super wpis. Dzięki!

Krzysiek Dróżdż
Gość
Krzysiek Dróżdż

Panie Błażeju, „Istnieją też darmowe alternatywy, takie jak Let’s Encrypt, ale należy pamiętać, że RODO bierze pod uwagę nie tylko obecność technologii zabezpieczającej, ale również jej skuteczność. To od Ciebie zależy ocena ryzyka – czy na pewno chcesz ryzykować użycie darmowego rozwiązania w kwestii tak ważnej, jak szyfrowanie danych osobowych swoich klientów i odwiedzających?” Poważnie? I właśnie artykuł, który miał jakiś sens stał się marketingową papką, bo jeśli na końcu artykułu można tak swobodnie podchodzić do faktów i przeinaczać je na swoją korzyść, żeby sprzedać, to trochę odechciewa mi się weryfikować rzetelność reszty tekstu… Praktycznie każdy hosting oferujący Let’s Encrypt… Czytaj więcej »

WujekHejter
Gość
WujekHejter

Kary są niezłe… Prowadze swojego bloga bez rejestracji, ale z możliwością komentarzy przez Disqus.
Też muszę ogarnąć regulamin? Nie ma reklam i nie będzie na stronie. Czytam i nie rozumiem dla kogo to RODO. Dla każdego, czy tylko tych, co mają rejestracje jakieś lul.

Facebook - LH.pl

Page plugin Facebook nie działa poprawnie. Proszę włączyć śledzenie w ustawieniach przeglądarki.