LH.pl · Dział pomocy
RODO wchodzi w życie 25 maja 2018 roku i stawia sporo wymagań przed posiadaczami stron internetowych. To nie tylko wyzwanie prawne, ale również technologiczne. Jak dodać funkcje wymagane przez RODO do WordPressa?
RODO to rozporządzanie w sprawie ochrony danych osobowych i obowiązuje wszystkie firmy oraz osoby, które przetwarzają dane osobowe. Rozporządzenie to stawia wiele wymagań, które muszą zostać spełnione. Część z tych wymagań może być dla niektórych osób ciężka do spełnienia, gdyż RODO to nie tylko wyzwanie prawne (np. odpowiednia aktualizacja treści regulaminu i polityki prywatności), ale również wyzwanie technologiczne.
Jakich funkcji wymaga RODO od stron internetowych?
RODO zakłada, w bardzo dużym skrócie i uproszczeniu, że użytkownik ma mieć kontrolę nad swoimi danymi osobowymi i pełną świadomość sposobu i celu ich wykorzystania np. przez stronę czy sklep internetowy. Nowości, które niesie za sobą rozporządzenie, zostały opisane na naszym blogu w artykule poświęconym zmianom w GIODO dla sklepów internetowych, z którym zalecam się zapoznać.
- Zgoda na przetwarzanie danych osobowych
Użytkownik musi dobrowolnie wyrazić zgodę na przetwarzanie danych osobowych, na przekazanie ich innemu podmiotowi czy też na otrzymywanie informacji handlowych i newsletterów. Zabronione jest łączenie ze sobą indywidualnych zgód w jeden „checkbox” – każda zgoda musi zawierać osobny przycisk do zaznaczenia, a także musi być sformułowana w czysty i jasny sposób. Pola te muszą być domyślnie odznaczone.
Jeśli nie wiesz, jak sformułować treść tej zgody, to zapoznaj się z naszym poradnikiem, w którym pokazaliśmy, jak napisać zgodę na przetwarzanie danych osobowych.
- Możliwość wycofania wyrażonych zgód i danych osobowych
Użytkownik powinien móc także sprawdzić wyrażone przez siebie zgody, mieć możliwość przejrzenia i wycofania swoich danych, a także mieć możliwość usunięcia swojego konta (tzw. “prawo do bycia zapomnianym”).
- Kwestia plików cookies
Oprócz tego istnieje sporna kwestia odnośnie plików cookies. Interpretacje prawnicze nadal nie są w pełni zgodne co do tej kwestii, ale wielu analytików sugeruje, że RODO za dane osobowe uznaje także adres IP oraz pliki cookies. A to może oznaczać, że do wykorzystania plików cookies może być konieczne nie tylko informowanie użytkownika o tym fakcie, ale także otrzymanie na to jego zgody.
Dodawanie funkcji wymaganych przez RODO w WordPressie
Jeśli jesteśmy początkującymi administratorami swojego bloga czy niewielkiego sklepu internetowego, to wprowadzenie tych funkcji może sprawić nam ogromny problem. Napisanie odpowiednich zgód na przetwarzanie danych osobowych czy aktualizacja regulaminu i polityki prywatności to jedno. Te warunki możemy spełnić chociażby po konsultacji z prawnikiem lub po samodzielnej analizie rozporządzenia, wprowadzając odpowiednie zmiany w samych treściach dokumentów. Nieco gorzej jest w przypadku konkretnych funkcji, których wprowadzenie wymaga nie tyle wiedzy prawniczej, ale informatycznej.
Na szczęście w WordPressie wiele rzeczy można załatwić za pomocą wtyczek. Poniżej opisaliśmy część dostępnych wtyczek, które ułatwiają spełnienie powyższych wymagań.
Uwaga! Zastosowanie poniższych wtyczek nie gwarantuje, że Twoja strona lub sklep internetowy będzie automatycznie spełniać wszystkie wymagania stawiane przez RODO. Nie instaluj wszystkiego “na ślepo”! Sprawdź dokładnie, czego potrzebujesz, a następnie wybierz odpowiednie z nich.
Część z tych wtyczek to prawdziwe kombajny, które oferują wiele opcji i wymagają zaawnsowanej wiedzy technicznej do wykorzystania całego potencjału funkcjonalności (np. do blokowania indywidualnych plików cookie). Wtyczki są też nadal cały czas rozwijane i aktualizowane przez twórców, więc samemu musisz określić, jakich funkcji brakuje Ci na stronie i pobrać to, co jest dla Ciebie niezbędne.
Wtyczka WP GDPR Compliance, czyli zgody na przetwarzanie danych osobowych
Checkboxy ze zgodą na przetwarzanie danych osobowych można dodać na różne sposoby. Większość wtyczek do formularzy kontaktowych posiada łatwy w użyciu edytor, za pomocą którego możesz dodawać własne pola formularza (np. Contact Form 7).
Alternatywnym sposobem na szybkie dodanie wymaganych przez RODO pól do zaznaczenia jest wtyczka WP GDPR Compliance. To wtyczka, która z automatu dodaje podstawowe, najpotrzebniejsze zgody w WordPressie do następujących elementów:
-
- formularz kontaktowy z Contact Form 7 (zgoda na przechowywanie danych osobowych i przetwarzanie ich w celu kontaktu zwrotnego)
-
- formularze stworzone przez Gravity Forms
-
- formularz zamówienia w WooCommerce (zgoda na przechowywanie danych osobowych i przetwarzanie ich w celu realizacji zamówienia i wysyłki towaru)
- komentarze WordPressa (zgoda na przechowywanie danych osobowych i przetwarzanie ich poprzez przypisanie treści komentarza do adresu e-mail)
Wtyczka jest bardzo prosta w użyciu. Po zainstalowaniu wystarczy wejść do sekcji „Narzędzia > GDPR Compliance” i zaznaczyć, które pola mają być aktywne. Pojawią się wtedy szczegóły, pozwalające wpisać nazwę i treść zgody w języku polskim dla każdego typu formularza.
Pomocna jest także sekcja „Checklist”, w której znajdziemy informacje o tym, jakie zgody są wymagane w określonych sytuacjach. Niestety treść tych porad jest po angielsku. W ostatniej zakładce znajdziemy opcję wskazania tej strony, która zawiera treść polityki prywatności. Wybierz odpowiednią stronę z listy – dzięki temu przy każdym checkboxie pojawi się szybki odnośnik do twojej polityki prywatności.
Wkrótce WP GDPR Compliance ma zostać wyposażona także w funkcję przejrzenia wyrażonych zgód i wycofania ich przez użytkownika na życzenie.
Wtyczka GDPR, czyli kombajn funkcji związanych z RODO
Wtyczka GDPR to prawdziwy kombajn, który wprowadza mnóstwo funkcji związanych z wdrożeniem RODO. W jednym miejscu znajdziemy szereg funkcji, które są wymagane przez RODO bądź sprawiają, że spełnimy odpowiednie sugestie. Wtyczka GDPR umożliwia dodanie takich funkcji, jak:
- okno ze zgodą na wykorzystywanie plików cookies i opisem wszystkich plików cookies, wraz z podziałem ich na kategorie tematyczne
- możliwość wyłączenia poszczególnych plików cookies przez użytkownika w dowolnej chwili (wymaga zaawansowanej konfiguracji)
- wymuszenie akceptacji polityki prywatności przed rejestracją na stronie
- przycisk zgłoszenia chęci usunięcia swojego konta przez użytkownika
- przycisk zgłoszenia chęci pobrania swoich danych przez użytkownika
- formularz zgłoszenia naruszenia danych osobowych
- możliwość wysłania informacji o wycieku danych do wszystkich zarejestrowanych użytkowników
- panel sterowania w ustawieniach WordPressa, który pozwala Administratorowi Danych Osobowych zarządzać wszelkimi zgłoszeniami i prośbami
Wtyczka jest niestety w języku angielskim, ale treści polityki prywatności i komunikatów cookies możemy wpisać samemu. Całą resztę elementów możemy przetłumaczyć samodzielnie za pomocą wtyczki LOCO Translate.
Po zainstalowaniu wtyczki przejdź do zakładki „GDPR > Settings”. W sekcji „General” musisz wybrać podstronę, na której masz wpisaną politykę prywatności swojej strony.
Gdy to wybierzesz, użytkownik przy logowaniu lub rejestracji będzie musiał potwierdzić politykę prywatności strony i zaznaczyć odpowiedni checkbox.
Kolejna zakładka to Cookies, gdzie możemy utworzyć baner ze zgodą na użycie plików cookies, a także określić kategorie ciasteczek, jakich używamy. W polu „Cookie banner text” wpisz treść prośby o akceptację plików cookies. Zaawansowani użytkownicy mogą skorzystać z dodatkowych opcji związanych z cookies, dzięki którym możemy szczegółowo opisać każde użyte ciasteczka i dać ich możliwość wyłączenia, gdy są zbędne do podstawowej funkcjonalności strony. Pełne wypełnienie wszystkich pól, opisanie wszystkich plików cookies i wymienienie ich na liście, wraz z udostępnieniem informacji, jak zablokować zewnętrzne cookies, sprawia, że wtyczka buduje bardzo zaawansowaną zgodę na wykorzystanie plików cookies wraz z dokładnymi informacjami o każdym wykorzystywanym rodzaju ciasteczek.
Jeżeli chodzi o przejrzenie i wycofanie zgód użytkownika, to możemy stworzyć sekcję z ustawieniami dla użytkownika. Wejdź do zakładki “Strony” w WordPressie i utwórz nową stronę. Nadaj jej nazwę typu “Ustawienia prywatności”.
Funkcjonalność strony buduję się poprzez wpisywanie odpowiednich shortcode’ów, które w wybrane miejsca wstawiają gotowe elementy:
- [gdpr_preferences text=”Ustawienia cookies”] – wyświetla przycisk “Ustawienia cookies”, który po kliknięciu powoduje wyświetlenie okienka z opcjami plików.
- [gdpr_request_form type=complaint] – wyświetla formularz, w którym zarejestrowany użytkownik może zgłosić skargę w sprawie naruszenia prywatności.
- [gdpr_request_form type=export-data] – wyświetla przycisk, za pomocą którego zarejestrowany użytkownik może pobrać swoje dane.
- [gdpr_request_form type=delete] – wyświetla przycisk, za pomocą któego użytkownik może zgłosić chęć usunięcia swojego konta.
Oczywiście każdą z tych opcji można odpowiednio opisać, informując użytkownika, jak działają poszczególne elementy strony. Jest to wręcz wskazane, gdyż same shortcode’y dodają jedynie przyciski i pola formularza, które muszą przez nas zostać wyjaśnione. Cała strona może wyglądać tak, jak powyżej. Użytkownik może w tym miejscu przejrzeć swoje dane i zgody, a także wykasować swoje konto. Otrzyma także wiadomość e-mail, w której musi potwierdzić np. chęć usunięcia konta.
Ciasteczka to technicznie jeden z trudniejszych elementów do zaspokojenia jeśli chodzi o możliwy wpływ RODO. Teoretycznie możemy to załatwić za pomocą powyższej wtyczki GDPR, ale większość początkujących posiadaczy WordPressa nie wie, z jakich ciasteczek korzysta strona, jak je podzielić na niezbędne, funkcjonalne i reklamowe, a także jak je domyślnie wyłączyć i sprawić, że będą działać tylko wtedy, gdy użytkownik wyrazi na to zgodę. Nie wspominając o dodaniu możliwości ich indywidualnego przełączania.
Jeżeli wtyczka “GDPR” w tej kwestii jest dla Ciebie zbyt trudna i niezrozumiała w konfiguracji, to z pomocą przychodzi wtyczka Ginger – EU Cookie Law, która znacznie ułatwia sprostanie rygorystycznym wymaganiom stawianym przez RODO w sprawie plików cookies.
Ginger ma proste działanie. Po prostu blokuje wszystkie pliki cookies na naszej stronie dopóki użytkownik nie wyrazi zgody na ich użycie. Ginger jest kompatybilny także z serwisami i usługami zewnętrznymi, z których często korzystamy, a które również wykorzystują pliki cookies, czyli takimi jak:
-
- Adsense
-
- Disqus
-
- Google +
-
- Google Analytics
-
- Google Maps
-
- ShareThis
-
- Youtube
- Vimeo
Niestety integracja z niektórymi z nich jest płatna. Gdy użytkownik wejdzie na stronę, to domyślnie ciasteczka nie będą wykorzystywane. Dopiero gdy użytkownik je zaakceptuje poprzez kliknięcie w przycisk “Wyrażam zgodę” na standardowym powiadomieniu cookies, ciasteczka zaczną działać. Aby tak to działało, należy w opcjach wtyczki ustawić tryb “Opt-in”.
Przetwarzasz dane osobowe? Koniecznie wyposaż się w certyfikat SSL
Jedną z rzeczy, o których wspomina RODO, jest konieczność odpowiedniego zabezpieczenia danych osobowych. RODO nie dyktuje w sposób bezpośredni, jak ma się to odbywać. To użytkownik musi dokonać samodzielnej oceny ryzyka i zdecydować, jakie środki będą najbardziej odpowiednie. W przypadku stron internetowych, które przechowują i przetwarzają dane osobowe wyposażenie się w ceryfikat SSL jest wysoce wskazanym rozwiązaniem, zwłaszcza, że w dzisiejszych czasach ikona zielonej kłodki w pasku adresu przeglądarki staje się normą.
Rodo nie mówi wprost, że wdrożenie SSL na stronach jest wymagane, ale informuje o tym, że trzeba starannie chronić dane osobowe i wykorzystać do tego możliwe środki. SSL sprawia, że połączenie z naszą stroną jest szyfrowane, co stanowi świetną podstawę tej ochrony. Bez szyfrowania istnieje duże prawdopodobieństwo przejęcia danych wysyłanych np. za pomocą formularza kontaktowego lub formularza zamówienia. SSL sprawia, że wszystkie dane są szyfrowane, więc nawet jeśli ktoś wejdzie w ich posiadanie, to nie odczyta ich zawartości. To jeden z najlepszych i najprostszych sposobów na zbudowanie odpowiedniego poziomu zabezpieczeń na naszej stronie.
Certyfikat SSL zakłada się dla wybranej domeny. Można to zrobić u swojego usługodawcy lub skorzystać z niezależnych od swojego hostingodawcy rozwiązań. W LH.pl znajdziesz certyfikaty SSL już od 9 zł za pierwszy rok! Istnieją też darmowe alternatywy, takie jak popularny Let’s Encrypt. W tym przypadku różnica polega jednak na tym, że różni hostingodawcy, w różny sposób przystosowują swoje usługi do korzystania z Let’s Encrypt. U niektórych znajdziecie taką opcję w panelu, u niektórych będzie to wymagać ręcznej konfiguracji.W LH.pl włączenie certyfikatu Let’s Encrypt to zaledwie 3 kliknięcia. Warto przed przystąpieniem do prac sprawdzić, jak sytuacja wygląda u obecnego operatora i wtedy zdecydować, jakie rozwiązanie będzie dla nas najwygodniejsze.
Podobał Ci się artykuł? Zostaw opinię!
20 komentarzy
Możliwość komentowania została wyłączona.
Rewelacyjny wpis! Dzięki!
Do ulubionych! 🙂
Fajny Art. Właściciel przeciętnej strony www z cms wp, potrzebujesz:
1 https
2 blok skryptów śledzących min. ga, pixel, gtag itp. zanim nie zaakceptujesz regulaminu
3 oprócz polityki prywatności i cookies dodajesz regulamin dot. rodo.
Coś jeszcze?
zgoda na przechowywanie danych osobowych i przetwarzanie ich w celu kontaktu zwrotnego to samo dla sklepów.
Checkbox NIE JEST wymagany jeżeli przetwrazanie danych wymagane jest do realizacji usługi lub np. wysyłki towaru – odpowiedź na mail jest w tym samym katalogu i nie ptrzeba w formularzu kontaktowym checkboxa. Pod formularzem wystarczy standardowa nowa formułka o przetwarzaniu z linkiem do polityki prywatnosci/karty informacyjnej. Identycznie z formularzami “oddzowń w 28 sekund” – jeżeli komunikat na takim ekranie jest jasny i użytkownik dobrowolnie podaje dane, a z komunikatu wynika, że mają TYLKO oddzwonić… nie jest wymagany. Rabat w sklepie internetowym – Jeżeli wyświetla się popup odbierz rabat to jeżeli chcemy mu tylko wysłać kod rabatowy bez newslettera (checkbox nie wymagana), ale jeżeli chcemy z domyśle ich zapisywać na newsletter – już checkbox musi być.
Checkbox WYMAGANY jest TYLKO – jeżeli poza odpowiedzią lub relizacją umowy chcemy robić coś extra np. wysyłać newsletter (1 checbox), wysyłać SMS (+1 checbox), telemarketing (+1 checkbox) etc.
“RODO bierze pod uwagę nie tylko obecność technologii zabezpieczającej, ale również jej skuteczność” ?? A co to za organizacja ta RODO ale chętnie poznam :D. i jeśli już dojdziemy że to tylko rozporządzenie to gdzie to jest tam napisane, że płatny certyfikat jest bardziej skuteczny niż darmowy ? i dlaczego wasz jest bardziej skuteczny niż ten Let’s Encrypt
Przy zakupie certyfikatu z LH.pl klient dostaje wsparcie techniczne- jesteśmy w stanie poinstruować jak uzyskać chociażby wynik A w teście SSLLABS – https://www.ssllabs.com/ssltest/ – ma to bezpośredni wpływ na bezpieczeństwo. Samo posiadanie certyfikatu SSL nie gwarantuje wysokiego poziomu bezpieczeństwa transmisji danych.
W Let’s encrypt można zapomnieć o takich wartościach dodanych.
Jeśli masz również newsletter to potrzebujesz jeszcze zgody na wysyłkę maili. Wspominam o tym, bo często właściciele “przeciętnej strony” jakąś formę newslettera stosują.
ale bez wasych ” wartosci dodanych” i tak uzyskasz A/A+ -kazdy hostinh z autoinstalatorem Lets necrypt robi to porpawnie – malo kto LE instaluje recznie 🙂
A jest juz wersja polska?
Super wpis. Dzięki!
Panie Błażeju,
“Istnieją też darmowe alternatywy, takie jak Let’s Encrypt, ale należy pamiętać, że RODO bierze pod uwagę nie tylko obecność technologii zabezpieczającej, ale również jej skuteczność. To od Ciebie zależy ocena ryzyka – czy na pewno chcesz ryzykować użycie darmowego rozwiązania w kwestii tak ważnej, jak szyfrowanie danych osobowych swoich klientów i odwiedzających?”
Poważnie? I właśnie artykuł, który miał jakiś sens stał się marketingową papką, bo jeśli na końcu artykułu można tak swobodnie podchodzić do faktów i przeinaczać je na swoją korzyść, żeby sprzedać, to trochę odechciewa mi się weryfikować rzetelność reszty tekstu…
Praktycznie każdy hosting oferujący Let’s Encrypt wdraża go automatycznie i wszystko konfiguruje w poprawny sposób – dlatego nie jest potrzebny dodatkowy support – i dobrze, bo mniej przez to miejsca na czynnik ludzki.
Po pierwsze, to trochę przykry jest fakt, że tak łatwo cały tekst jest w stanie stać się dla kogoś marketingową papką tylko dlatego, że w jego niewielkiej części jest zawarta oferta certyfikatu SSL – zarówno płatnego, jak i darmowego. Zwłaszcza, że nie ma w tym nic złego, bo przecież każdy usługodawca ma w swojej ofercie SSL, a to jest oficjalny blog LH. Pragnę też wspomnieć, że nawet wyraźnie zaznaczyłem, że RODO bezpośrednio nie nakłada obowiązku użycia SSL, ale jego wykorzystanie jest dobrym sposobem na spełnienie warunków zachowania bezpieczeństwa danych osobowych i po prostu w dzisiejszych czasach powinno się to robić.
Wydaje się być Pan głęboko urażony ofertą płatnego SSL. Czyli co, idąc pańskim tokiem rozumowania należałoby wycofać z oferty wszystkich dostawców płatne certyfikaty SSL i zostawić jedynie Let’s Encrypt, bo jest darmowy, tak? Bo skoro jest darmowy Let’s Encrypt, to nie ma sensu płacić, a każdy płatny SSL jest naciąganiem i reklamowanie tego to branie udziału w jakimś nieuczciwym procederze marketingowym? Bez urazy, ale brzmi to jak nieporozumienie.
Po drugie, pisząc o Let’s Encrypt nie miałem zamiaru nikogo zniechęcać do tego rozwiązania i ukazywać go jako gorszego niż płatny SSL, a jedynie chciałem zwrócić uwagę na to, że RODO jest bardzo “płynne” w kwestii interpretacji i jedną z rzeczy, jakie wskazuje, jest ocena ryzyka. Nie postawiłem żadnej tezy, że Let’s Encrypt jest gorszy, a zadałem jedynie na sam koniec pytanie, czy w kontekście oceny ryzyka warto stawiać na darmowe rozwiązanie, czy lepiej posłużyć się płatnym certyfikatem od swojego dostawcy. Rozporządzenie wskazuje, że powinniśmy brać pod uwagę zabezpieczenie danych osobowych, zdolność do zapewnienia ich ciągłej poufności, a także regularne testowanie i sprawdzanie środków technicznych wykorzystanych do ich zabezpieczenia. Czy w przypadku ewentualnych problemów i konieczności “obrony” użytych technik zabezpieczenia płatny certyfikat w firmie hostingowej zwiększa poziom bezpieczeństwa pod kątem OCENY ryzyka bardziej niż darmowe rozwiązanie z zagranicznej strony internetowej? Na to pytanie musi sobie odpowiedzieć każdy sam i podjąć decyzję. Gdybym chciał zareklamować rozwiązanie LH, to w ogóle nie wspominałbym o tym, że istnieje darmowa alternatywa, bo przecież w kontekście chamskiej, marketingowej papki byłby to fakt niewygodny.
Panie Błażeju,
Oczywiście, że odbiór całego tekstu się zmienia, jeśli trafi się w nim na jawne przekłamanie czy kręcenie. Cieszę się, że łagodzi Pan swoje zdanie i próbuje je teraz rozmyć. Jednak to zdanie z Pańskiego komentarza:
“pisząc o Let’s Encrypt nie miałem zamiaru nikogo zniechęcać do tego rozwiązania i ukazywać go jako gorszego”
stoi w konflikcie z tym zdaniem artykułu:
“Istnieją też darmowe alternatywy, takie jak Let’s Encrypt, ale należy pamiętać, że RODO bierze pod uwagę nie tylko obecność technologii zabezpieczającej, ale również jej skuteczność.”,
w którym wyraźnie próbuje Pan zasugerować, że Let’s Encrypt w zakresie SSL jest mniej skuteczny, a późniejszymi zdaniami, że stanowi jakieś ryzyko (mam nieodparte wrażenie, że w poprzedniej wersji artykułu fragment ten był nieco inaczej sformułowany – może to tylko moje wrażenie).
Wydaję się głęboko urażony nie tym, że macie coś w ofercie (w zakresie jej kreowania macie pełną dowolność), lecz tym, że próbuje Pan dyskredytować alternatywne rozwiązania (bez znaczenia płatne czy darmowe, w tym przypadku darmowe), których akurat przypadkiem nie oferujecie i to w najgorszy możliwy sposób – bo nie wykazuje Pan ich wad, ani faktycznych minusów, tylko insynuuje, że z jakiegoś powodu są one ryzykowne. Zniesmaczony natomiast jestem tym, że artykuł na temat RODO stał się troszkę okazją do sprzedaży certyfikatów SSL, co w zasadzie technicznie nie jest nawet związane z tematem.
PS. A jeśli już o merytoryce… Szkoda, że skupił się Pan na wtyczkach i kompletnie pominął zmiany wykonywane w core WordPressa w tym zakresie.
Ale to jest artykuł o RODO, całkiem przydatny, temat chodliwy, prawdopodobnie przeczyta go wielu laików, dlatego trzeba było nic nie pisać o SSL a tym bardziej o LE, bo w tym momencie pomówiłeś konkretne konkurencyjne rozwiązanie stawiając je w złym świetle sugerując w domyśle, że to rozwiązanie może być mniej bezpieczne, czyli nie spełnia swojej podstawowej funkcji “ocena ryzyka – czy na pewno chcesz ryzykować użycie darmowego rozwiązania”, co może stanowić element nieuczciwej konkurencji. Linus T. mógł by Ci teraz wytoczyć proces albowiem LE jest zarejestrowanym znakiem towarowym. Dodatkowo wprowadzasz czytelników w błąd, dlatego zamiast wchodzić w bezsensowną dyskusję, sprostuj to stwierdzenie, dokładnie tłumacząc na czym na prawdę polega różnica albo zrezygnuj z tego niestosownego porównania.
Być może po prostu użyłem nieodpowiednich słów i przez niektóre osoby zostały nieodpowiednio odebrane. Nie mam zamiaru prowadzić upartej dyskusji i przykro mi, że niechcący mogłem wprowadzić kogoś w błąd nieodpowiednim doborem słów. Jak wspomniałem, absolutnie moim zamiarem nie było dyskredytowanie Let’s Encrypt, a jedynie zwrócenie uwagi na użycie darmowego rozwiązania w kontekście oceny ryzyka, aby to użytkownik sam pomyślał i zdecydował.
Fragment o SSL został zmieniony, aby nie powodować dalszych kontrowersji i aby nie wprowadzać części osób nieświadomie w błąd. Co do nowości związanych z RODO w core WordPressa – odpowiednie informacje pojawią się na ten temat, gdy zostanie udostępniona już finalna wersja WP 4.9.6 dla wszystkich użytkowników. Póki co jesteśmy na etapie wersji RC2 (wydanej wczoraj), a w trakcie przygotowywania tego artykułu nie była chyba jeszcze nawet udostępniona Beta (ta pojawiła się 4 maja, a artykuł jest z kwietnia).
Kary są niezłe… Prowadze swojego bloga bez rejestracji, ale z możliwością komentarzy przez Disqus.
Też muszę ogarnąć regulamin? Nie ma reklam i nie będzie na stronie. Czytam i nie rozumiem dla kogo to RODO. Dla każdego, czy tylko tych, co mają rejestracje jakieś lul.
Nie zmienia to jednak faktu, iż twierdzenie, że darmowy certyfikat daje technicznie gorsze zabezpieczenie danych użytkowników jest po prostu nieprawdziwe. “Darmowość” certyfikatu nie ma nic wspólnego z poziomem bezpieczeństwa serwisu WWW i danych w zakresie używanych metod szyfrowania, a tym samym zabezpieczenia samej transmisji danych.
Różnica polega jedynie na tym, iż darmowy certyfikat potwierdza jedynie, że właścicielem witryny WWW jest osoba, mająca dostęp do serwera w roli administratora, a więc domyślnie reprezentująca właściciela serwisu webowego. Komercyjne certyfikaty, różnią się tym, że najczęściej (nie zawsze i nie wszystkie ich odmiany) potwierdzają jeszcze, że wystawca certyfikatu zweryfikował nie tylko własność domeny/serwera, ale również istnienie danego podmiotu (instytucji/firmy), czy też dane konkretnej osoby. I za tą dodatkową weryfikację podmiotu się płaci (choć istnieją certyfikaty komercyjne, które nie wiążą się z żadną dodatkową weryfikacją podmiotu występującego o certyfikat, poza tym, że ktoś zapłacił za wystawienie danego certyfikatu).
Wielu ISP oferujących hosting/serwery wirtualne domyślnie udostępnia darmowe certyfikaty Let’s Encrypt i są to bezpieczne i wiarygodne certyfikaty, jeśli tylko mamy w świadomości to, co napisałem powyżej.
Natomiast bezpieczeństwo użytych algorytmów szyfrowania, czy oprogramowania pracującego na serwerze, to nieco inna bajka i serwer korzystający z darmowego certyfikatu TLS, może być o wiele bezpieczniejszy od takiego, który korzysta z najdroższego certyfikatu komercyjnego (i vice-versa).
Musisz. Chociażby taki gdzie wskazujesz, że dane trzyma Disqus na swoich serwerach.
Należy wskazać pośrednika w tym przypadku. Poza tym RODO to też cookies, a Ty sam przetwarzasz dane osobowe jeśli na stronie masz chociażby formularz kontaktowy i o to również powinieneś zadbać.
Kolejna głupota Unii Europejskiej. Ustalili już jaka być długość ogórka i wielkość pomidora to wzięli się za dane osobowe. Tylko nie wzięli pod uwagę, że jak ktoś będzie chciał sprzedać twoje dane osobowe na czarnym rynku to i tak to zrobi bez jakiegokolwiek problemu. Nawet jeśli na stronie będzie miał najlepsze zabezpieczenia i komunikaty.
Zaczęło się od Cookies teraz to. Każdy internauta musi być świadomy, że jest śledzony na każdym kroku. A najlepsze jest to że rządowe agencje jak amerykańska NSA są poza obowiązującym prawem i z ich bazy nie można się wypisać choćbyśmy jak chcięli. Wszystko to mydlenie oczu ludziom..
hey, czy może ktoś zobaczycz na mojej stronie jaki typ polityki prywatności potrzebuje? strona jaswiatkocham.pl planuje zrobić tam platforme dla rozwijania projektów do ratuwania planety
Ale też nie przesadzajmy w nasycaniem nawet prostych, pozbawionych reklam stron tymi zgodami, regulaminami itp. Napisałeś, że RODO RODO “w bardzo dużym skrócie i uproszczeniu, zakłada że użytkownik ma mieć kontrolę nad swoimi danymi osobowymi” – dodałbym, że w bardzo dużym skrócie chodzi o to, żeby użytkownik wiedział kto i w jakim celu przetwarza te dane. A więc dajmy na to prosty formularz – chyba kluczowe, najważniejsze jest to, a przekazać ( w formułce, w polityce prywatności) jaki dokładnie podmiot przetwarza te dane z formularza i że przetwarza je celem udzielenia odpowiedzi na zadane pytanie. Ot, cała filozofia.