GDPR: konkrét tennivalók WordPressben

Április 12-én a fejlesztők még azt ígérték, május elején jön a GDPR-kompatibilis új verzió (itt olvashatod el a cikket »), aztán május 15-éről volt szó, de az a helyzet, hogy a WordPress 4.9.6. még mindig beta állapotban van. Én már nagyon kíváncsi voltam, hogy pontosan milyenek a beígért újdonságok, és az idő is sürget, úgyhogy telepítettem a beta verziót és megnéztem, mit tud az új WordPress GDPR-ügyben.

[FRISSÍTÉS] Ma hajnalban kijött az új verzió, magyar fordítással. Frissítsetek!

Egy apróság: ha új oldalként hozzátok létre, akkor az Adatkezelési tájékoztató nevet használjátok, NE azt, amit a rendszer felkínál (Adatvédelmi tájékoztató). Bár egyesek szerint mindegy, de nekem ezt mondta a szakértő, akivel konzultáltam, úgyhogy én így fogom használni.

[FRISSÍTÉS] Utóbbit már javították is! Köszönjük, WordPress Magyarország, királyok vagytok! 🙂

A fejlesztőcsapat négy területre összpontosított:

1. Az új előírásoknak megfelelő Adatkezelési tájékoztató kialakításának és használatának elősegítése

Kell lennie egy oldaladnak, amelynek pontosan ez a neve (“Adatkezelés” vagy “Adatkezelési tájékoztató”) – ez eddig is kellett, már a 2011-ben életbe lépett ún. Info törvény szerint is, de most szigorúbbak az előírások, és több mindennek kell benne lennie. A WordPress motor sokat fog segíteni a kialakításában.

A Beállítások menüpont alá bekerül egy új almenüpont, a “Privacy” (gondolom, majd “Adatkezelés” lesz magyarul), itt ki kell választanod azt az oldalt, ahol a tájékoztatód van:

Adatkezelési tájékoztató a WordPressben

Ha a szerkesztésére kattintasz innen, ott is megjelenik egy segítséget ígérő szöveg, de ezen az oldalon is látható a “Check out our guide” link. Nézd meg, és egy előre elkészített sablont találsz itt:

Segítség az adatkezelési tájékoztató megírásához

A WordPress Magyarország csapata gőzerővel dolgozik a jogilag is megfelelő fordításon, de a tartalmával kapcsolatban mindenképpen konzultálj adatvédelmi szakértővel! Ez azért is fontos, amit elmondtam az eLearning rendszerünkben található anyagban: mert minden vállalkozás más, mindenhol mások a folyamatok, és ezeket kezelned kell, ezekről hatásvizsgálatot kell készítened és leírnod, hogy a későbbiek során védve legyél.

2. Segítségnyújtás a bővítmények fejlesztőinek, hogy megfeleljenek a GDPR előírásainak

Ez nyilván nem érint Téged, ha nem vagy fejlesztő – de az igen, hogy ha egy új bővítményt telepítesz, vagy egy meglévőt eltávolítasz, akkor ennek a személyi adatok kezelését érintő következményeit kezelned kell – még az is lehet, hogy át kell írnod valamit az Adatkezelési tájékoztatódban. Ehhez is lesz elvileg valamilyen segítség, de ezt a beta verzióban nem látom (persze lehet, hogy csak azért, mert nem telepítettem új bővítményt, de erre most nincs idő…)

3. A GDPR előírása szerinti eszközök a WordPress által kezelt személyes adatok esetében

Két új funkció került be az Eszközök menüpont alá: a személyes adatok továbbítása és a személyes adatok törlése.

GDPR és WordPress: új eszközök

A GDPR előírja a személyes adatok hordozhatóságát: ez azt jelenti, hogy ha egy felhasználó ki akarja kérni, hogy milyen adatokat tárolunk róla, akkor biztosítani kell, hogy ezt megtehesse. Ha valaki ezt kéri, akkor a WordPress először egy e-mailt küld neki, hogy erősítse meg ebbéli szándékat (nehogy valaki más kérje ezt az ő nevében), majd ha ezt megteszi, akkor automatikusan elküldi neki a kért adatokat.

GDPR és WordPress: adatok elküldése

Egy másik előírás a személyes adatok elfeledtetésének biztosítása: azaz a felhasználó kérheti, hogy töröljük minden adatát, amelyet a WordPress tárol róla. A funkció a fentihez hasonlóan működik majd.

GDPR és WordPress: adatok törlése

4. Általános tájékoztatás és segítségnyújtás a GDPR alkalmazásával kapcsolatban

Lesz egy oldal a WordPress dokumentációban, ahol elmagyarázzák az előírásokat. És ez igazán kedves tőlük, hogy próbálnak segíteni, de ismét azt kell mondanom: minden helyzet, minden vállalkozás, minden weboldal más, mások a munkafolyamatok, mások a kezelt adatok, mások a szoftverek. Konzultálj adatvédelmi szakértővel!

Mi kell még tenned, hogy GDPR-kompatibilis legyél?

Az előző cikkemben pontokba foglalva leírtam, hogy mire kell figyelned a regisztrációval, az adatkezelési tájékoztatóval, és a hírlevélküldéssel kapcsolatban. Ezenkívül összefoglaltam a főbb érdekességeket, fontos tudnivalókat egy hanganyagban, amelyet ingyenesen meghallgathatsz ide kattintva, a hozzá tartozó rövid írásos jegyzetet pedig itt találod meg.

Amiről még nem esett szó, az a sütik kezelése. Én azt vártam, hogy ez is benne lesz a motorban, de nem: ehhez mindenképpen egy bővítményre van szükség. Némi körülnézés, próbálgatás és tesztelés után ennél maradtam:

GDPR Cookie Compliance

Javaslom, hogy ezt a bővítményt telepítsd és állítsd be aszerint, hogy a Te weboldalad milyen sütiket használ:

  • vannak a weboldalad működéséhez “Feltétlenül Szükséges Sütik”, ezek élettartama vagy annyi, amennyi a munkameneté (magyarul, csak addig lesznek a látogató gépén, ameddig böngészi a weboldaladat), vagy a következő látogatásig megmaradnak, hogy ne kelljen mindig mindent elölről kezdeni: például újra beállítani, hogy melyik sütiket fogadja el, és melyiket nem!
  • a következő kategória a “Statisztikai sütik”Google Analytics, Tag Manager, ilyesmi, ezt nyilván nem nagyon kell magyaráznom;
  • a harmadik pedig az “Egyéb sütik” – ez a legmacerásabb, mert utána kell nézned, hogy a weboldalad ténylegesen milyen sütiket használ, azok milyen személyes adatokat gyűjtenek, és mennyi az élettartamuk. Javaslom, hogy nézd meg egy nagyobb hírportál ilyen tájékoztatóját (mostanra ők már elkészültek), és próbáld meg az alapján megírni ezt a részt.

Ilyen lesz a weboldaladon a felugró ablak, amelyben a látogató rendelkezhet a sütikről:

GDPR - Sütikezelési tájékoztató

Én már nagyjából elkészítettem a fordítást, amint teljesen készen vagyok vele, felteszem a linkjét ide is és az eLearning rendszerünkbe is, letöltheted, használhatod, nem kérek érte semmit cserébe, még csak fel sem kell iratkoznod a blogértesítőmre 🙂

[FRISSÍTÉS] Bán Annamari írt egy remek cikket a témáról, itt tudod elolvasni:
https://kreanilla.hu/wordpress-gdpr-mit-tegyel-hogy-megfelelj/

Ebből idézek most, a WooCommerce webáruházakkal kapcsolatban:

“Jó hír, hogy a Woocommerce fejlesztői is készülnek az új 3.4-es kiadással GDPR eszközök alkalmazására, május 23-ára ígérik a stabil kiadást. (RC1 már kinn van, ha tesztelnél.)

A Pénztár oldal mezőihez kis felbukkanó súgócímkéket lehet majd adni, és az adattakarékosság (egyik GDPR alapelv) jegyében ki lehet majd kapcsolni az általunk feleslegesnek ítélt mezőket.

Átírható lesz majd az ÁSZF link szövege, és lesz egy külön sor is fölötte az Adatkezelési tájékoztatónak.

A régi rendeléseket, amelyek már nem igényelnek feldolgozást, anonimizálni lehet majd.”

FONTOS – KÉRLEK, OLVASD EL ÉS FOGADD EL!

1) Ezt a cikket azért írtam, hogy egyszerre sok embernek tudjak segíteni. Nem fér bele az időmbe és az energiámba, hogy mindenkinek a weblapját én csináljam meg (vagy a csapatom), ezért ne is kérd ezt tőlünk, árajánlatot se kérj rá. Az útmutatók elegendőek, de ha ezeken túl segítségre van szüksége valakinek, akkor adatvédelmi szakértőhöz kell fordulnia, és én nem vagyok az.

2) Mivel én nem vagyok adatvédelmi szakértő, ezért ha a legjobb tudásom szerint segítek is valakinek, elkészítem a szükséges doksikat, beállítom a bővítményeket, akkor sem tudok ezért felelősséget vállalni. Nem hiányzik, hogy valakit megbüntessenek, és utána bepereljen engem, hogy nem végeztem el jól a munkámat.

Ezért mi nem vállaljuk, hogy mások weboldalát GDPR-kompatibilissá tegyük.

Oszd meg Te is:

Share on email
Share on facebook
Share on twitter
Share on whatsapp
Share on linkedin

Szerző:

Ezek is érdekesek lehetnek számodra: 

Iratkozz fel hírlevelünkre!

Javasolt eszközök:

Banner250x250.png
Elementor Pro
Generatepress Logo White Asset
GeneratePress
Divi 4.0
Divihello
Prémium támogatás és ajándék Divi licence
Adatvedelem.png
ADATVÉDELEM minta
Aszf.png
Webshop ÁSZF minta

“GDPR: konkrét tennivalók WordPressben” bejegyzéshez 49 hozzászólás

    • Ó, egek… 🙂 Valamit ti is csináljatok 😀

      Amúgy lehet, hogy fogok, bár igazából elég egyértelmű. Telepítsd, kapcsold be, és rájössz. Sajnos az Analyticatortól és a hasonló bővítményektől el kell búcsúznunk – az összes olyan scriptet, amelyek sütiket helyeznek el, a GDPR sütikezelő bővítmény admin felületébe kell ezentúl bemásolni 🙁 (Mert csak így lesz biztosítható, hogy ezek valóban ne töltődjenek be, ha a látogató kikapcsolja őket.)

      Persze ha valaki talál jobb megoldást, ne tartsa magában!

      Válasz
      • Na, én ebből szinte egy szót sem értettem, hogy miről beszélsz. Csak sejtem, hogy ami eddig automatikus volt a háttérben, és nem kellett vele foglalkoznom, az most kopipésztes elfoglaltsággá növi ki magát. (Na, én ennyit értettem belőle, és lehet, hogy azt sem jól… Elnézést, technikai antitalentum vagyok.)

  1. Szia!

    Újból, mert nem engedett hozzászólni , hibaüzenetet kaptam 🙁

    Nagyon jó cikk ismét. Nagyon jó a bővítmény, én is ezt választottam ki a sok közül.
    De amit nem tudok megoldani -neked biztosan sikerül- az a analytics kód: nem sikerül összehozni, hogy az engedélyezés illetve a nem engedélyezés lehetősége szerint működjön, nem teljesen tiszta, hogy milyen kódot kell beírni.

    Kérlek ha sikerült megbirkóznod vele egy kis iránymutatást biztosíts nekünk. 🙂

    Köszönöm előre is.

    Imi

    Válasz
    • A GDPR Cookie Compliance bővítmény beállításaiban kell beírni az Analytics kódot, oda, ahol azt írja, hogy “ide írd, amit a részbe írnál.

      Az Analytics kód ilyesféleképpen néz ki:

      Válasz
      • Szia! Köszi, én az első dobozba próbáltam ahol a script-et jelöli. Oda akkor mit várnak? Mert űresen hagyni nem engedi.
        Köszi

      • Az elsőbe azt, amit a részbe kell raknod, az alsóba meg azt, amit a elé.
        Nekem engedte a többi dobozt üresen hagyni, csak legalább egyben kell lennie érvényes kódnak.

      • Én a weboldalamból másoltam ki, az egyszerűség kedvéért. Lehet, hogy nem így a jó, de ezt most csak a példa kedvéért csináltam, hogy tudjak készíteni róla egy képernyőfotót.

        Természetesen a valódit, a tiédet tedd be.

  2. Szia!

    A WordPress frissítése után beállítottam amit lehetett (WordPress 4.9.6). A regisztrációnál és vásárláskori regisztrációnál nem jelenik meg az adatkezelési tájékoztató elfogadása box. Ezt a funkciót nem építették bele ebbe a frissítésbe? Egy másik bővítménnyel kell ezt megoldanunk?

    Van e olyan felület, ahol a vásárló saját maga kezdeményezheti az adatai törlését illetve információt kérhet, hogy mit tárol az oldal róla.
    Erre is külön bővítményt kell alkalmazni?

    A már regisztrált felhasználó hol tudja magát törölni egyszerűen? Mert ez is követelmény ha jól tudom. Nem találok olyan menüpontot, lehetőséget ahol tudná magát törölni.

    Előre is köszönöm a válaszokat.
    üdv.
    Balázs

    Válasz
    • Szia!

      Nem olvastál figyelmesen 🙂 Az adatok törlését és az adatok kikérését az Eszközök menüpont két új almenüpontja szolgáltatja, erről írtam is a bejegyzésben. Ott a kép is róla. (Persze ez még tegnap volt, ma már magyarul van: “Személyes adat exportálása” és “Személyes adat törlése”.)

      A már regisztrált felhasználó is így tudja magát töröltetni, hogy kéri az adatai törlését. Ez azért van így, hogy naplózható legyen a törlés, mert ez is követelmény.

      Az adatkezelési tájékoztató elfogadása viszont a webáruházaknál már eleve megvolt, hírlevélküldésnél pedig az adott hírlevélszolgáltató szoftvernek kell ezt megoldania.

      Válasz
      • Szia!

        Az adatok törlését és kikérését eddig is megtaláltam, de azt csak az Admin tudja lekérni. Egy sima vásárló nem tudja. A vásárló egy emailt ír az admin-nak, hogy szeretném kikérni vagy törölni az adatait? Vagy hogyan kellene ennek működnie?

        Ha nem vásárláskor regisztrál a látogató, hanem a fiókom menüben akkor ott nem jön fel az adatvédelmi tájékoztató elfogadása.

        A már regisztrált felhasználó milyen menüpontban éri el a regisztráció törlése gombot, lehetőséget?
        Ha van egy kis időd ránéznél az oldalamra?

        Köszi,
        Balázs

      • Igen, pontosan így. Az admin a vásárló (vagy regisztráló) kérésére teheti csak meg, hogy exportálja vagy törli az adatokat. Az admin beírja a vásárló e-mail címét, a rendszer küld neki egy e-mailt, hogy erősítse meg, hogy tényleg ő kérte az exportot vagy a törlést. Ha ezt a megerősítést megteszi, akkor a rendszer automatikusan kiküldi neki a tárolt adatokat vagy törli az adatokat, és mindezt naplózza.

        Ez csak így felel meg a GDPR szabályainak.

        “Ha nem vásárláskor regisztrál a látogató, hanem a fiókom menüben akkor ott nem jön fel az adatvédelmi tájékoztató elfogadása.” – ezt a WooCommerce-nek kell javítania.

        “A már regisztrált felhasználó milyen menüpontban éri el a regisztráció törlése gombot, lehetőséget?” – nincs ilyen lehetősége, mert az ellenkezne a GDPR szabályaival is és a NAV előírásaival is. Aki vásárolt tőled, annak az adatait 5 évig meg kell őrizned.

        Önállóan leiratkozni csak hírlevélről lehet.

        “Ha van egy kis időd ránéznél az oldalamra?” Ne haragudj, de erre nincs lehetőségem.

        Mégpedig azért, mert:

        1) Tudod, hányan kérik ezt mostanában tőlem? Éppen azért írtam a cikket, hogy egyszerre sok embernek tudjak segíteni, de nem fér bele az időmbe és az energiámba, hogy mindenkiét én csináljam meg. Az útmutatók elegendőek, de ha ezeken túl segítségre van szükséges valakinek, akkor adatvédelmi szakértőhöz kell fordulnia, és én nem vagyok az.

        2) Mivel én nem vagyok adatvédelmi szakértő, ezért ha a legjobb tudásom szerint segítek is valakinek, elkészítem a szükséges doksikat, beállítom a bővítményeket, akkor sem tudok felelősséget vállalni a munkámért. Nem hiányzik, hogy valakit megbüntessenek, és utána bepereljen engem, hogy nem végeztem el jól a munkámat.

        Ezért mi nem vállaljuk, hogy mások weboldalát GDPR-kompatibilissá tegyük.

  3. Szuper írás köszi. De…Ezzel nagy gond, hogy az Analytics kód csak elfogadás után jelenik meg. Elvileg GDPR szempontból helyes megoldás lenne, ha elfogadás előtt egy butított analytics kód futna le , IP Id és remarketing nélkül. Ekkor a mérés, pl látogatószám pl jó lenne még. Erre van ötlete valakinek? Ugyanezt a plugint használom én is. Köszi!

    Válasz
    • Már az IP-cím is személyes adatnak számít, és a “Működéshez Feltétlenül Szükséges” sütik is azonnal, belépéskor aktiválódnak. Így amint belép valaki az oldalra, azonnal kezeljük az adatait, az IP címét minimum. Tehát azonnal fel kell jönnie a sütikezelő lehetőségnek.

      Szerintem a “butított kód” sem működne süti nélkül, arról nem is beszélve, hogy az Analytics most is névtelenül statisztikáz, tehát nem látom be, mi lenne a különbség. De ennek nem vagyok a szakértője, ebben a témában “forduljon orvosához, gyógyszerészéhez, Google-fejlesztőjéhez, adatvédelmi szakértőjéhez”… 🙂

      Válasz
      • Szia! Köszönöm szépen. Végül így sikerült:
        GA fiók>Adminisztráció>Követőkód>Globális webhelycímke (gtag.js).
        Amit kimásoltam, azt a plugin 3rd party fülén, a 3. boxba másoltam be (footer section), és így működik. Legalábbis megjeleníti a weboldalon. A letiltást nem teszteltem, hogy akkor mit csinálna…

      • Nagyszerű! És köszönöm, hogy leírtad pontosan, ezzel másoknak is segítettél!

        Az elv az, hogy csak akkor játssza le azt a kódot, ami itt van, ha a felhasználó engedi, tehát ha nem, akkor nem. Egyébként ezt úgy lehet tesztelni, hogy kilépve (tehát sima felhasználóként, úgy, hogy nem vagy belépve adminként) kipróbálod: letiltod a bővítményt, és utána megnézed a weboldal forráskódját (jobb egérgomb), és abban rákeresel a Google szóra vagy az UA-ra, és látni fogod, hogy nem látod 🙂

  4. Szia Móni! Jó írás, köszi!

    Azt viszont nem tudom megoldani, hogy pluginnal megfogjak egy youtube sütit, ami pl. egy bejegyzésben van elhelyezve. Erre van megoldás? Köszi!

    Válasz
  5. Szia Móni!

    Hol lehet fordítani a plugint? Kerestem az angol felülírt szöveget (amit magyarral írtam felül a bővítményben), de nem találtam sehol.
    A Loco translate megoldásnál Invalid PO file-t írt, hogyan lehet fordítani?
    A te fordításod mikor lesz kész?
    Lehet, hogy a fejlesztő magyar (Gabor Nemes)?

    Köszi!

    Válasz
  6. Szia Móni,

    Kicsit öngólnak érzem ezt a pipálós módszert. Ugyanúgy megfelelne a GDPR-nak, ha pl.: dFactory: Cookie Notice plugin segítségével ugyanúgy kiszűrjük a kívánt scripteket és csak az elfogadom gomb után töltődik be, ha a “nem fogadom el” gombra megy akkor pedig nem töltődik be. Pipálós módszerrel sohasem fogja senki elfogadni a GA kódot, egyszerűen nem fog vele foglalkozni, csak gyorsan túl akar esni rajta és rámegy hogy elogadom.

    Rosszul gondolom? Köszi a választ!

    Válasz
    • Szia!

      Az általam ajánlott bővítmény pontosan ezt csinálja, amit leírtál: hogy az elfogadás után tölti csak be a sütiket. De már nem kell semmin túlesnie a látogatónak, sajnos: ugyanis nem olyan agresszív az engedélykérés, mint volt az “EU Cookie Law” esetében. Igazából ha valaki nem megy rá külön a fogaskerékre, és nem engedélyezi szándékosan a sütiket, akkor nem lesz GA.

      Úgyhogy ez nem öngól, hanem egy rohadt nagy kics….és (már bocsánat), és teljes mértékben ostobaság… Remélem (mind azt reméljük), hogy ez csak az 1.0, és hamarosan értelmesebbé teszik a GDPR-t.

      Válasz
  7. Szia Moni!

    Köszönjük az infókat, szépen összefoglalt írás.

    Rémisztő kissé, hogy az összes portálunkon be kell mindent állítani, de elképesztően sokat segít ez a “sorvezető”, amit írtál.

    Válasz
    • Lényegében igen. Bár az EU Cookie Law is kiadott egy frissítést, és lehet, hogy az is tud valami GDPR-kezelést, de őszintén szólva nem néztem meg, rögtön ezzel kezdtem.

      Válasz
  8. Szia Móni,

    Ha Diviben a “blog body” részéhez kell hozzáadni az Analytics kódot, attól még a GDPR pluginban a footerhez adjam (mert itt korábban azt írtátok) vagy akkor a pluginban is a body-hoz?

    Válasz
    • Szia!

      Igazából a footer részbe kell Divi használata esetén is. (Tudom, hogy nem ezt írja ki, de jobb a footerben, mert akkor tutira csak akkor számolja a megnyitást, ha megjelent az egész oldal, és a véletlen megnyitások majd azonnali bezárások nem rontják a statisztikát.)

      Korábban jobb megoldás volt az Analyticator bővítmény, de sajnos azt most már nem használhatjuk a GDPR miatt.

      Válasz
      • Szia,
        Nagyon szépen köszönöm a választ. Akkor átteszem oda.

        Még egy kérdésem lenne. Látom, hogy nálad a cookie pluginban nincs marketing rész. Te úgy döntöttél, hogy nem fogsz semmilyen marketing cookie-t alkalmazni az oldaladon, még fb-t sem, mert úgysem engedélyezik vagy ezek egy részét beraktad a statisztikába vagy mi ennek az oka?

      • Én egyáltalán nem hirdetek Google AdWordsben és Facebookon, ezért nem hasznáom a remarketing kódot és a Facebook pixelt sem. Így más sütiket nem gyárt az oldalam, csak a működéshez szükségeseket és a statisztikai sütiket.

Szólj hozzá!

Ez a weboldal az Akismet szolgáltatását használja a spam kiszűrésére. Tudjunk meg többet arról, hogyan dolgozzák fel a hozzászólásunk adatait..