Úgy néz ki, május 25.-e után, a GDPR hatályba lépése után sem csitulnak a kedélyek, hiszen minden fórumon (Facebook, Twitter, YouTube,…) újabb és újabb kérdések merülnek fel a helyes használat kapcsán.
Tim Siffler utánajárt pár dolognak, amivel egy kis segítséget kaphatnak a WordPress weboldat üzemeltető tulajdonosok.
Olyan mítoszok kerülnek leleplezésre, mint például kell-e 11 checkbox minden űrlaphoz, vagy hírlevél feliratkozáshoz.
1-es számú mítosz:
Hatalmas összegekre büntetnek, ha nem felelek meg teljes mértékben a GDPR-nak
Rengeteg ember él abban a hitben, hogy amennyiben 2018. május 25.-éig nem teljesíti 100%-osan a GDPR által előírtakat, napokon belül 20 millió Euros csekkel fognak kopogtatni az ajtaján. Ez nemigazán így van.
Az valóban igaz, hogy a bírság felső határa 20 millió euró vagy az éves bevétel 4%-a, ezek közül pedig a magasabb a mérvadó, de az EU már tett olyan nyilatkozatot, hogy ez csak a végső megoldás.
Az EU információbiztosa, Elizabeth Dunham nemrégiben így nyilatkozott:
„Szörnyű visszahallani, hogy példát akarunk statuálni kisebb jogsértések miatt, vagy hogy a maximálisan kiszabható bírságot vesszük alapul. Az ICO (Information Commissioner’s Office) azon elkötelezettsége, hogy iránymutatást, tanácsadást és oktatást nyújtson a szervezetek számára, hogy miként tartható be a törvény, nem változik a GDPR életbelépése után sem. Mindig is jobban kedveltük a répát, mint a bunkósbotot. “
“A pénzbüntetés csak a kalapács a szerszámosládánkban, de ezen kívül sok más eszközhöz is hozzáférünk, amelyek jól illeszkednek a feladathoz és ugyanolyan hatékonyak” – folytatta. “A GDPR olyan szankciókat biztosít számunkra, amelyek abban segítik a szervezeteket, hogy betartsák az előírásokat – figyelmeztetéseket, megrovásokat és korrekciós utasításokat, amelyek nem forgatják ki a cégeket a vagyonukból – azonban a hírnevükre jelentős csapást mérhet. “
Más szóval, ne parázz, minden rendben lesz (nem lesz azonnali büntetés). Ami persze nem azt jelenti, hogy mostantól nem kell vele foglalkozni, vagy figyelmen kívül hagyhatók a GDPR előírásai, de pánikolni nem kell.
2-es számú mítosz:
Weboldalam minden egyes sütijére (cookie) és szkriptjére (script) engedélyt kell kérnem
A GDPR a felhasználó személyes adatairól, nem cookiekról vagy scriptekről szól. Tehát ha a süti vagy szkript nem rögzít vagy dolgoz fel személyes adatot (vagy személyazonosítási információt, más néven PII-t), akkor azt nem kell jóváhagyatnod. Természetesen az előző cookie-törvény még mindig életben van, ezért az általános GDPR / cookie értesítő bár még mindig jó ötlet.
A legtöbb plugin, amelyek a süti figyelmeztetésért felelnek, szintén sütit helyez el a böngészőbe, hogy a tárolja a felhasználó által választott lehetőséget. Ellenkező esetben minden meglátogatott oldalnál, és visszatérésnél újra és újra megjelenne az értesítő sáv. Nyilvánvaló.
Ez a süti nem tárol személyes adatokat, és nem is kommunikál semmilyen külső forrással. A célja csak az, hogy megmondja a böngészőnek, ne indítsa újra a felugró ablakot vagy promóciós sávot, amíg a cookie le nem jár.
Tehát a fenti példában nincs szükség az adott cookie engedélyezésére, mivel nem gyűjt, vagy követ személyes adatokat.
Azonban mi a helyzet azokkal a sütikkel vagy szkriptekkel, amelyek igenis gyűjtenek vagy követnek személyes azonosításra vonatkozó információkat? Nos ebben az esetben valóban erre utaló magatartással a felhasználónak bele kell egyeznie a használatukba.
Ezzel kapcsolatos általános félreértés árnya lengi körbe szegény Google Analytics -et is. Amennyiben a GA nem gyűjt személyes azonosításra alkalmas információt, nem kell hozzá külön hozzájárulás.
El kell végezni pár szükséges lépést, amellyel a Google Analytics GDPR-kompatibilissé tehető. Később még lesz róla szó, de nem túl bonyolult dolog.
A következő nagyobb falat a Facebook. Amennyiben használsz Facebook Pixelt a weboldaladon, a felhasználóknak lehetőséget kell adni arra, hogy kikapcsolják a követést. Annak ellenére, hogy nincs közvetlen hozzáférésed a Facebook Pixel által tárolt adatokhoz, attól az még összegyűjti az adatokat, és jelentéseket készít a Facebook számára a felhasználó viselkedési profiljának felépítéséhez, így ezért ajánlatos a felhasználóknak az opt-out lehetőséget megadni ebben az esetben.
Ehhez használatos ez a plugin például.
És akkor vissza a Google Analytics -hez.
GDPR kompatibilis Google Analytics
- Kapcsold be az IP anonimizálást
A GDPR az IP-címet személyes adatnak tekinti. A Google Analytics pedig használhatja a földrajzi adatok beszerzéséhez, amihez mondjuk te nem férsz hozzá, de a biztonság kedvéért azért nem árt az anonimizálás. A Google szerint ez csak minimálisan fogja csökkenteni a földrajzi adatok pontosságát.
Az IP cím maszkolásának bekapcsolása attól függ, milyen módszerrel illesztetted be a Google Analytics követőkódját weboldaladra.
Ha a Monster Insights plugint használod, akkor az EU megfelelőségi kiegészítő egy egyszerű jelölőnégyzetet tesz az anonimizáláshoz., azonban ez a lehetőség csak a fizetős változatban érhető el.
A Google Analytics Dashboard for WP bővítmény azonban ingyenes.
Amennyiben manuálisan illesztetted be a scriptet, minimális módosítással szintén elérheted ezt az eredményt.
Ezekről itt találsz több infot, gtag esetén pedig itt.
- Alaposan nézd át a jelentéseket, hogy nincs-e valamilyen személyazonosításra alkalmas információ bennük.
Kukkants bele a GA jelentésekbe (viselkedés -> webhelytartalom -> tartalom lebontása) és lapozz a kevésbé népszerű oldalakra. A webhelytől függően előfordulhat, hogy e-mail címek vagy más személyes adatok az URL-ben a lekérdezési paraméterek (email=me@mydomain.hu) segítségével jelennek meg.
A legtöbb weboldalon amúgy ez nem általános., de ha nálad mégis megjelennek ezek az adatok, azonnal láss neki a javításnak. Abban az esetben, ha egy plugin húzza be ezeket az adatokat, konzultálj a fejlesztőkkel.
- Add meg a lehetőséget, hogy kikapcsolják az analitikai sütiket a felhasználók.
Igen-kikapcsolni… Ugyanis amennyiben a fenti feladatokat elvégezted, nem gyűjtesz személyes adatokat, így nem kell a Google Analytics használatához beleegyezést kérned.
Rengeteg cikk hamisan azt állítja, hogy az GA használatához előzetes engedélyt kell kérned, mielőtt a szkriptek lefutnak, és a felhasználónak egyértelműen és konkrétan ráutaló magatartással kell engedélyt adnia a használatához. Ez nem igaz.
Ismételten: ha nem gyűjtesz személyes adatot (ami az 1 és 2 pontban részletezve lett), nem kell engedély a Google Analytics használatához.
Többen azt mondják, hogy inkább biztosra mennek, de nem biztos, hogy jól teszik ezt.
Először is jelentősen csökkented az adataid mennyiségét. A legtöbb ember nem fogja bepipálni a beleegyezést. Másodszor, ami talán még fontosabb, szörnyű felhasználói élményt nyújtasz.
Egy általános cookie értesítés még oké, megszokták a felhasználók. De a sok új GDPR süti értesítő, amelyek olyan népszerűek lettek, mindenféle típusú sütit bemutatnak és választásra kényszerítik a látogatót, hihetetlenül idegesítő, és a legtöbb esetben teljesen felesleges is.
A Divilife azt tanácsolja, hogy maradjunk meg a hagyományos GDPR cookie értesítőnél egy linkkel kiegészítve, amelyre kattintva tételesen értesítjük a felhasználót a használt sütikről, amennyiben az egyáltalán érdekli őket.
Ahogyan a Facebooknál, itt is érdemes megadni az opt-out lehetőséget. Ebben például ezek a pluginek lehetnek a segítségedre, amelyeket itt, és itt tudsz megnézni.
3-as számú mítosz:
E-mailt kell küldenem minden email listámon található címnek, és meg kell kérdeznem, szeretnének-e maradni?
Az utóbbi időben e-mailek százai érkeztek postafiókunkba, amelyek a feliratkozási megerősítésünkért könyörögtek, vagy a frissített adatvédelmi irányelvek linkjeit tartalmazták. Ezek közül egyik sem feltétlenül kötelező, annak ellenére, hogy sok GDPR “szakértő” ezt állítja.
Ha a feliratkozók egyszer már beleegyeztek abba, hogy e-maileket szeretnének kapni, akkor nem kell újra áldást kérni tőlük. Ez különösen igaz, ha bizonyítéka is van beleegyezésüknek.
A Mailchimpben például megtalálható a feliratkozó története, hogy mikor, és milyen módon történt a feliratkozás, de ez a legtöbb hírlevélküldő szolgáltatásnál így van.
4-es számú mítosz:
Checkbox minden egyes kapcsolatfelvételi űrlaphoz és feliratkozáshoz
Talán ez a legelterjedtebb tévhit a GDPR-rel kapcsolatban. Eleinte nagyon sokan gondolták úgy, hogy az egész GDPR nem más, mint hogy checkboxokat kell biggyeszteni az űrlapokhoz.
A GDPR egyértelmű hozzájárulást kíván, de a jelölőnégyzetek nem kötelezőek. Ha a felhasználónak teljesen egyértelmű, hogy mire iratkozik fel, akkor nem kell extra jóváhagyást kérni még egy extra checkbox-al.
Arról nem is beszélve, hogy a sok pipálgatási lehetőség konverzióromboló hatású is.
Ez az opt-in form 100%-osan GDPR kompatibilis, és láss csodát! Sehol egy checkbox.
GDPR kompatibilis, mert egyértelmű, hogy a video sorozat egy feliratkozás része. Egyértelmű az is, hogy a feliratkozó rendszeres e-maileket fog kapni, és azok miről fognak szólni.
A Divi és a GDPR
A fent felsorolt mítoszok témától függetlenül mindenkire vonatkoznak. Most akkor jöjjön a Divi.
A napokban az Elegant Themes is kiadott egy frissítést, amellyel GDPR kompatibilissé tehetjük weboldalunkat.
Tulajdonképpen a legtöbb esetben semmit nem kellene tenned, hogy Divi oldalad GDPR kompatibilis legyen a fent említett dolgok miatt. Ennek ellenére immár a Divi email optin, és a Bloom modulok is kiegészültek checkbox lehetőséggel, hiszen elképzelhető, hogy további listákra is feliratkoztatnád az embereket, amelyhez viszont szükség van rájuk.
Ezen kívül más miatt nem kell aggódnod a Divi használata közben, hiszen a Divi kapcsolati űrlapja nem tárol adatokat, a Bloom analitikája pedig anonim.
Fontos megjegyezni, hogy amennyiben eCommerce weboldalad van, vagy harmadik féltől származó bővítményeket használsz, meg kell győződnöd róla, hogy beépítették a GDPR-kompatibilitást, és hogy be is legyen kapcsolva az.
Nick Roach válasza a GDPR & Divi kapcsolatára
Nick Roach (Elegant Themes CEO):
“Keményen dolgozunk annak érdekében, hogy hozzáadjuk azokat a GDPR-hez kapcsolódó funkciókat, amelyeket ügyfeleink kértek tőlünk…
Tudom, hogy ezek az új szabályok mindenkit stresszelnek, különösen akkor, ha sok téves információ és félreértelmezés terjed a neten. Biztos lehetsz benne arra törekszünk, hogy ügyfeleinknek olyan eszközöket biztosítunk, amelyek segítségével a választásuknak megfelelő módon eszközölhetik a GDPR megfeleltetést.
A GDPR maga nagyon kevés hatással bír a Divi-re, hiszen a Divi nem tárol információt a látogatóiról néhány nagyon ritka esetet kivéve (amely a következő frissítésben javításra kerül). A Divi lehetővé teszi bizonyos információk harmadik fél részére történő továbbítását az Email Optin és a Kapcsolati űrlap modulok használatával.
Ezekben az esetekben az ügyfelek dönthetnek úgy, hogy a hozzájárulást kérnek a checkboxok segítségével. Személy szerint nem gondolom, hogy szükséges lenne checkbox ezeken a modulokon. A hozzájárulás csak az egyik olyan jogszerű lehetőség, amely az adatok gyűjtésére használható. Az ICO azonban még akkor sem tanácsolja ezt a módszert, amikor lehetséges, mert szükségtelen terhet ró mind az adatkezelőre, mind a felhasználóra egyaránt. A beleegyezés kérése inkább azokra a helyzetekre alkalmazandó, amikor olyan módon gyűjtik vagy tárolják az adatokat, amely a felhasználó számára nem ismert. Az E-mail Optin és a Kapcsolatfelvételi modul esetében a felhasználó által küldött adatok tárolása azonban szükséges a kapcsolatfelvételi kérelem teljesítéséhez.
Érdekes, hogy az ehhez hasonló online űrlapoknál mindenki a “beleegyező checkbox”-ra van kihegyezve. De kérdezd meg magadtól, ha valaki más módszert használ, hogy neked e-mailt küldjön, hogyan tervezed beszerezni a beleegyezését, mielőtt a szolgáltatód tárolná azt? Ha valaki Gmail használva e-mailt küld a Yahoo- s címedre, hogyan szerzel beleegyezést az e-mail tárolásához? Sehogy, mert ez se nem lehetséges, se nem szükséges. Az a tény, hogy kapcsolatfelvételi űrlap az weboldaladon található, ugyanez a helyzet.
Mindenesetre mielőtt teleraknád honlapodat beleegyezést kérő checkboxokkal, gondold át ezeket! Ha úgy döntesz mégis használni fogod, azzal együtt úgy is döntesz, hogy elindulsz egy olyan úton, amely valójában nem ideális. “
Remélhetőleg hasznosnak bizonyult ez a kis összefoglaló! Ne felejtsd el, hogy a GDPR megfelelés egy olyan forradalmi evolúció, amely hosszabb időbe is telhet. Mindaddig, amíg megteszed megfelelő lépéseket minden rendben lesz.
További cikkek és források:
- További tippek a Google Analytics GDPR megfelelőségéhez
- Ez a plugin egy konkrét szöveg lokális (pl. csak EU) megjelenítésére használható
Az eredeti Divilife cikket itt találod, ahol többféle cookie plugint is találsz.
Személy szerint arról nem vagyok meggyőződve, hogy a Facebook-hoz elég opt-out-ot használni, de begyűjtöm az infót, és jövök vissza vele.