Наръчник за WordPress сайт и GDPR – всичко, което трябва да знаете
Объркани ли сте от GDPR промените и как те ще повлияят на вашия сайт? GDPR, накратко от General Data Protection Regulation, е закон на Европейския съюз, за който най-вероятно сте чули. Получихме доста запитвания за това какво всъщност е GDPR (на прост език) и как да направите вашия сайт съвместим с него. Тук ще обясним това, което според нас трябва да знаете за GDPR (без сложната законова част).
Забележка: Ние не сме адвокати. Нищо от този сайт не трябва да се счита за съвет от адвокат.
За да ви улесним в наръчника сме разделили съдържанието на части:
Съдържание
- Какво е GDPR?
- Какво се изисква от GDPR?
- WordPress съвместим ли е с GDPR?
- Части от сайта ви, които са засегнати от GDPR
- Най-добрите WordPress добавки за GDPR съвместимост
Какво е GDPR?
General Data Protection Regulation (GDPR) е закон на Европейския съюз, който влиза в сила от 25 май 2018г. Целта му е да даде на европейските граждани контрол над техните лични данни и да промени подхода към поверителността на данните в целия свят.
Най-вероятно вече сте получили десетки мейли от компании като Google и други относно GDPR, тяхната нова политика за поверителност и още куп други законови неща. Това е, защото ЕС ще наложи големи наказания над тези, които не са се съобразили със закона.
Наказания
Накратко – след 25 май 2018г. бизнесите, които не са съвместими с изискванията на GDPR могат да бъдат глобени до 4% от годишния приход на компанията, ИЛИ 20 000 000 евро (което е по-голямата стойност). Това е достатъчна причина да се всее паника из бизнесите по целия свят.
Това сигурно провокира и големия въпрос, който си задавате:
GDPR приложим ли е при моя сайт?
Отговорът е ДА. Той е приложим при всеки бизнес – голям и малък, в целия свят (не само в ЕС).
Ако вашият сайт има посетители от ЕС – тогава законът е приложим и за вас.
Но не се паникьосвайте – това не е края на света.
Въпреки, че GDPR има потенциала да наложи големи глоби, всичко започва с предупреждение, и след това с още няколко мерки и, ако продължите да нарушавате закона – тогава ще бъдете глобени.
ЕС не е някакво зло правителство, което само чака да ви издебне. Тяхната цел е да се защити потребителя от безрасъдно обработване на данни и пробив, защото ситуацията вече излиза извън контрол.
По наше мнение основната цел е да се привлече вниманието на големи компании като Facebook и Google, за да НЕ се игнорира тази регулация. Освен това законът окуражава компаниите да положат повече усилия при защитата на правата на хората.
След като разберете какво се изисква от GDPR и “духа” на закона ще осъзнаете, че изобщо не е налуден.
Какво се изисква от GDPR?
Целта на GDPR е да се защитят личните данни на потребителя и да се наложи по-висок стандарт на начина, по който бизнесите събират, съхраняват и използват тези данни.
Личните данни включват: име, мейл, адрес, IP адрес, здравословно състояние и т.н.
Регулацията е дълга над 200 страници, но ето най-важното, което трябва да знаете:
Изрично съгласие – ако събирате лични данни от гражданин на ЕС, тогава трябва да получите изрично съгласие, което е специфично и недвусмислено. С други думи – не можете да изпращате непоискани съобщения до хора, които са ви дали визитка или са попълнили контактната ви форма, защото те НЕ СА поискали вашия бюлетин (това, между другото е СПАМ и така или иначе не трябва да го правите).
За да се счете за изрично съгласие трябва да изискате положително действие, като напр. клик върху чекбокс (т.е. НЕ предварително отбелязан чекбокс), който да съдържа с ясни (не законови) думи, и да бъде отделен от останалите Условия за ползване.
Права над данните – трябва да информирате потребителя къде, как и защо техните данни се обработват и съхраняват. Потребителя има право да свали своите данни и също така “да бъде забравен”, т.е. може да поиска данните му да бъдат изтрити.
Това означава, че когато кликнете на Отпиши се, или помолите компанията да изтрие профила ви, те наистина ще го направят (то и без закона би трябвало, но сега нямат избор).
Съобщение за нарушение (пробив или атака) – организациите трябва да докладват определени типове нарушения до 72 часа, освен, ако нарушението не е безобидно и не е рисково за данните на потребителя. Но, ако пробивът е високорисков – организацията трябва да информира и потребителите, които са засегнати веднага.
Това би трябвало да предпази от прикрития кат Yahoo, които не бяха разкрити до придобиването.
Служител за защита на данните – ако сте публична компания или обработвате голямо количество лична информация, то тогава трябва да назначите служител за защита на данните. Това не се изисква за малък бизнес. Посъветвайте се с адвокат, ако имате съмнения.
Да го кажем просто – чрез GDPR регулацията се подсигурява това, че бизнесите не могат да спямят хората, като им изпращат мейли, които те не са поискали. Бизнесът не може да продава данните на хората без тяхното изрично съгласие (успех с получаването на това съгласие). Бизнесът трябва да изтрие профила на потребителя или да го отпише от мейл листата си, ако той е помолил за това. Бизнесът трябва да докладва за пробив в сигурността на данните и като цяло да защитава по-добре личните данни.
Поне на теория звучи добре.
Сигурно следващият ви въпрос е какво трябва да направите, за да се уверите, че сайтът ви е съвместим с GDPR?
Основно зависи от спецификата на вашия сайт (но за това по-късно).
Нека отговорим първо на най-често срещания въпрос:
WordPress съвместим ли е с GDPR??
Да, с новия ъпдейт на WordPress 4.9.6, ядрото на WordPress е съвместим с GDPR. Екипът, който работи по ядрото на WordPress е добавил няколко добавки за GDPR, за да е той съвместим с GDPR. Важно е да отбележим, че когато говорим за WordPress, имаме предвид WordPress на отделен хостинг (има разлика между WordPress.com и WordPress.org).
И въпреки, че казваме това, в следствие на динамичната природа на сайтовете няма платформа, добавка или решение, което да предлага 100% съвместимост с GDPR. Процесът по осъвместяване с GDPR може да варира в зависимост от типа сайт, който имате, вида на данните, които съхранявате и начина, по който ги обработвате.
И сега сигурно се чудите какво означава това?
Версията WordPress 4.9.6 има следните GDPR “обогатявания” на сисстемата:
Съгласие за коментарите
По подразбиране WordPress съхраняваше името, мейла и сайта на коментатора като бисквитка в браузера на потребителя. По този начин потребителя по-лесно можеше да оставя коментари в любимите си сайтове, тъй, като тези полета бяха предварително попълнени.
По изискването на GDPR за съгласието, WordPress е добавил чекбокс за изразяване на съгласие. Потребителят може да остави коментар без отбелязване на този чекбокс. Това означава, че всеки път при коментар – потребителят ще трябва да попълва своите данни.
Експорт на данни и опция за изтриване
WordPress предлага на собствениците на сайтове възможността да удовлетворят изискванията на GDPR, като спазят желанието на потребителя да експортира личните си данни и/или да ги премахне.
Тези настройки се намират в менюто Tools в админ панела. .
Генератор на Политика за Поверителност
WordPress идва с вграден генератор на Политика за поверителност. Предлага шаблон с предварително написан текст, към който можете да добавите информация, за да сте по-прозрачни към потребителите си за това как използвате и съхранявате техните данни.
Тези три неща са достатъчни, за да се направи един стандартен сайт на WordPress съвместим с GDPR. Въпреки това е много вероятно да трябва да добавите още неща към сайта си, за да бъде той съвместим.
Части от сайта ви, които са засегнати от GDPR
Като собственик на сайт, може би използвате различни функции, които съхраняват и обработват данни по различен начин – форми за контакт, анализ на посетителите, мейл маркетинг, онлайн магазин и т.н.
В зависимост от това какви функции използвате – трябва да реагирате по различен начин, за да осъвместите сайта си с GDPR.
Много от най-добрите добавки за WordPress вече добавиха във файловете си опции за GDPR. Нека разлгедаме най-популярните такива:
Google Analytics
Като повечето собственици на сайтове, най-вероятно използвате Google Analytics, за да проверявате статиките на сайта си. Това означава, че е възможно да събирате или отчитате лични данни като IP адрес, ID на потребителя, бисквитки и други данни за профилиране. За да сте съвместими с GDPR, трябва да направите едно от следните:
- Анонимизирате данните, преди да ги съхраните или обработите
- Да добавите прозорец в сайта, който информира потребителя за използването на бисквитки и да изискате изричното им съгласие, преди да продължат да го ползват (и следователно преди вие да имате достъп до данните)
И двете са трудно постижими, ако сте вградили UA кодът (кодът ог Google Analytics) ръчно в кодовете на сайта. Но, ако използвате една от най-популярните добавки за интеграция с Google Analytics – MonsterInsights, тогава имате късмет.
Те са добавили опция за ЕС съвместимост, която помага в автоматизирането на гореописания процес.
Форми за контакт
Ако използвате форми за контакт, тогава трябва да добавите допълнителни мерки за прозрачност, особено, ако съхранявате данните с маркетингови цели.
Ето някои от нещата, над които трябва да помислите, за да направите сайта си съвместим с GDPR:
- Получете изрично съгласие от потребителя за съхраняване на тяхната информация;
- Получете изрично съгласие от потребителя, ако планирате да използвате данните им с маркетингови цели (т.е. да ги добавите в мейлинг лист);
- Забранете бисквитките и следенето на IP-то от формите;
- Трябва да предоставяте възможност за изтриване на данните при поискване от потребителя.
Простото добавяне на чекбокс за съгласие (празен чекбокс!), с обяснение за какво ще се ползват данните би следвало да е достатъчно, за да бъде съвместим сайтът ви с GDPR.
WPForms, добавка за контактни форми, са добавили няколко GDPR обогатявания, за улеснят добавянето на подобно чекбокс поле, забраната на бисквитките и събирането на IP адресите с един клик.
Мейл маркетинг форми
Подобно на контактните форми, ако имате форми за мейл маркетинг (абонамент за бюлетин), независимо дали в изскачащи прозорци, плаващи прозорци, на позоция в сайта и т.н. – трябва да се уверите, че сте получили изрично съгласие от потребителя, преди да го добавите в листата си.
Това може да се случи по 2 начина:
- Добавяне на празен чекбокс с описание на съгласието
- Изискване на двойна авторизация при абонамента – т.е. потребителят ще получи мейл с линк за потвърждение на абонамента, и само след клик върху него – абонаментът се зачита
WooCommerce / Ecommerce
Ако използвате WooCommerce, най-популярната добавка за електронна търговия за WordPress, тогава трябва да се уверите, че вашият сайт е съвместим с GDPR.
Ето насоки от разработчиците на WooCommerce относно осъвместяването с GDPR.
Ретаргетинг на обявите
Ако сайтът ви използва ретаргетинг пискели или обаяи, тогава трябва да получите съгласието на потребителя. Можете да постигнете това с добавка като Cookie Notice.
Най-добрите WordPress добавки за съвместимост с GDPR
Има няколкоWordPress добавки, които могат да ви помогнат в автоматизирането на някои от аспектите на GDPR. Но нито една добавка не гарантира 100% съвместимост, заради динамичната природа на сайтовете.
Пазете се от всякакви добавки за WordPress, която ви гарантира 100% GDPR съвместимост. Най-вероятно не знаят за какво говорят и е добре да ги избягвате.
Ето някои препоръчителни добавки за улесняване на GDPR съвместимостта:
- MonsterInsights – ако използвате Google Analytics, тяхната опция за ЕС съвместимост е много полезна;
- WPForms – най-приятелската добавка за контактни форми. Те предлагат GDPR полета и други опции;
- Cookies Notice – популярна безплатна добавка за добавяне на ЕС информация за бисквитките;
- Delete Me – добавка за добавяне на възможност на потребителя автоматично да се изтрие профила от сайта ви;
- OptinMonster – advanced lead generation software that offers clever targeting features to boost conversions while being GDPR compliant.
- Shared Counts – вместо използването на обикновените бутони за споделяне, които използват бисквитки за следене, тази добавка зарежда статични бутони за споделяне.
Заключение
Независимо дали сте готови или не, GDPR влиза в сила от 25 май 2018г. Ако сайтът ви все още не е съвместим с регулацията – не се паникьосвайте! Продължавайте да работите по осъвместяването и го приключете възможно най-скоро.
Възможността да бъдете наказани още на следващия ден граничи с нула. Както казва самият сайт на ЕС – първо ще бъдете предупредени, след това порицани и накрая наказани, ако не спазвате или игнорирате закона.
Целта на ЕС не е да ви глоби, а да защити данните на потребителя и да върне доверието им в онлайн бизнесите. С дигитализирането на света тези стандарти са необходими. И те трябва да станат глобални, не само европейски.
Ако имате въпроси – можете да ги напишете в коментарите по-долу.
Правно отхвърляне
Ние не сме адвокати. Нищо в този сайт не трябва да се счита за правен съвет. Заради динамичната природа на сайтовете, няма една-едничка добавка или платформа, която може да гарантира 100% законова съвместимост. Когато имате съмнение – най-добре е да се свържете с адвокат, който да определи дали вашият сайт е съвместим с всички закони.