GDPR și blogurile

 

GDPR (General Data Protection Regulation / Regulamentul general privind protecția datelor) este noua lege privind protecția datelor din UE, aprobată de Parlamentul European la 14 aprilie 2016 și cu aplicabilitate începând cu data de 25 mai 2018. Regulamentul UE privind protecția datelor înlocuiește Directiva 95/46 / CE privind protecția datelor și a fost conceput pentru a armoniza legislația referitoare la confidențialitatea datelor în Europa, pentru a oferi cetățenilor UE controlul asupra datelor lor personale și pentru a schimba abordarea companiilor față de confidențialitatea datelor personale. GDPR se aplică datelor colectate despre cetățenii UE din orice parte a lumii.

Protecția datelor personale nu-i o chestiune nouă. În România există din 2001, prin Legea nr. 677/2001 și prin care ”operatorul de date cu caracter personal este persoana fizică sau juridică, de drept public ori de drept privat care stabileşte scopul şi mijloacele prelucrării”, având obligația ”să notifice prelucrările pe care le efectuează la Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (A.N.S.P.D.C.P.)”. Însă, acum, prin GDPR se extinde sfera de aplicare şi asupra operatorilor de date stabiliţi în afara UE, în măsura în care bunurile şi/sau serviciile acestora sunt adresate (şi) persoanelor aflate pe teritoriul UE; acești operatori de date vor trebui să respecte regulile şi principiile stabilite de Regulament.

Nerespectarea GDPR și amenzile

În funcție de gravitatea încălcării, amenda poate ajunge până la 4% din cifra de afaceri anuală și până la 20 de milioane de euro.

Cum și cine va implementa GDPR

Autoritățile de supraveghere ale diferitelor state membre pot pune în aplicare GDPR, având atât competențe de investigare, cât și de corectare și sancționare, pentru a verifica respectarea legii prin:

  • efectuarea de audituri pe site-uri web
  • emiterea de avertismente pentru neconformitate
  • emiterea unor măsuri corective 

În România, Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal este cea care se ocupă de aplicarea GDPR.

GDPR și blogurile

Datele personale se referă la “orice informații referitoare la o persoană fizică identificată sau identificabilă“:

  • Nume,
  • e-mail,
  • adresa,
  • telefon
  • adresă IP etc.

Prelucrarea datelor personale se referă la orice operațiune sau set de operațiuni care sunt efectuate pe un tip de informație personală. De exemplu, o operație simplă de stocare a unei adrese IP pe serverul web înseamnă că se procesează datele personale ale unui utilizator.

Ce fel de date poate colecta un blog WordPress:

  • înregistrările utilizatorilor,
  • comentarii,
  • formularul de contact,
  • soluții de analiză și statistici referitoare la trafic,
  • orice alte instrumente de logare și pluginuri,
  • instrumente de securitate.

GDPR în cazul unui blog / site web WordPress:

  1. Trebuie solicitat consimțământul explicit. Dreptul de acces prevede că, înainte de a se realiza colectarea datelor (înainte ca utilizatorul să trimită formularul), utilizatorii trebuie să fie conștienți de faptul că acest formular colectează date cu caracter personal cu intenția de a le stoca și trebuie dat un consimțământ explicit în acest sens. Un ghid privind consimțământul, aici.
  2. Trebuie informați utilizatorii. Fiecare blog ar trebui să aibă trei pagini de informare:
    • Termeni și condiții – regulile pe care un vizitator (utilizator) trebuie să le accepte ca să poată folosi blogul / site-ul
    • Politica de confidențialitate  – aici trebuie explicat care dintre datele lor vor fi stocate și utilizate, cum, unde și în ce scop
    • Politica de cookie-uri – ce cookie-uri sunt plantate utilizatorilor în timpul vizitei lor pe blog ori site

    Formularul de solicitare a consimțământului trebuie să conțină și link-urile către aceste pagini.

  3. Păstrați datele utilizatorilor organizate și accesibile. Dreptul de a fi uitat oferă utilizatorilor posibilitatea de a șterge datele personale și de a opri colectarea și prelucrarea ulterioară a datelor. Clauza privind portabilitatea datelor din GDPR le oferă utilizatorilor dreptul de a descărca datele lor personale, pentru care și-au dat consimțământul anterior și să transmită în continuare aceste date altui operator. Trebuie să puteți oferi utilizatorilor o copie a tuturor datelor personale pe care le aveți la dispoziție, la cerere, fără costuri, în termen de 40 de zile și să le ștergeți la cerere.
  4. Existența unui formular simplu de retragere a consimțământului și / sau de vizualizare a datelor – pe pagina politicii de confidențialitate (care este legată de orice formular care colectează date personale) va lăsa utilizatorul să vă contacteze simplu și rapid.
  5. Înștiințare privind încălcarea protecției datelor. În conformitate cu respectarea GDPR, în cazul în care site-ul web va avea vreodată o încălcare a protecției datelor, va trebui să fie comunicată tuturor utilizatorilor în timp util (în termen de 72 de ore de la prima constatare a unei încălcări). De asemenea, ANSPDCP va trebui să fie informată în privința încălcării protecției datelor. Ideal ar fi să monitorizați traficul web și/sau să utilizați pluginul Wordfence, având notificările activate. Se încurajează utilizarea celor mai bune practici de securitate disponibile pentru a se asigura că nu se produc încălcări ale protecției datelor. Utilizatorii pot fi utilizatori obișnuiți ai site-ului, cei care folosesc formularul de contact și comentatorii. Astfel, GDPR creează o cerință legală pentru evaluarea și monitorizarea securității site-ului web.

Pluginurile folosite pe WordPress trebuie să respecte GDPR

Toate pluginurile instalate pe blog trebuie să respecte GDPR. În calitate de proprietar al site-ului/blogului, este responsabilitatea voastră să vă asigurați că fiecare plugin poate exporta / furniza / șterge datele de utilizator pe care le colectează în conformitate cu regulile GDPR. Fiecare plugin instalat pe blog trebuie să informeze cu privire la prelucrarea datelor cu caracter personal.

Pluginuri care te pot ajuta să respecți GDPR

WP GDPR – este un plugin de wordpress gratuit, care automatizează procesul de administrare a solicitărilor utilizatorilor cu privire la datele personale. Vizitatorii nu au nevoie de conturi de utilizator pentru a accesa datele lor. Totul funcționează printr-un link unic. WP-GDPR se integrează cu unele dintre cele mai cunoscute plugin-uri prin intermediul add-on-urilor. Acest lucru va face ca datele stocate de pluginuri să fie disponibile pentru ca vizitatorul să le poată gestiona. Lista tuturor add-on-urilor: https://wp-gdpr.eu/add-ons/

Pluginul creează o pagină în care utilizatorii pot solicita accesul la datele lor personale stocate pe site-ul web. Puteți vedea această pagină în lista paginilor WordPress.
În back-end veți vedea o imagine de ansamblu a solicitărilor trimise de utilizatori, dar și care pluginuri colectează date personale și care necesită bifarea că sunteți de acord. 

Utilizatorii care solicită vizualizarea datelor personale vor primi un e-mail cu o adresă URL unică pe care să poată vizualiza, actualiza și descărca comentariile și să ceară ștergerea pentru fiecare comentariu în parte. Administratorul are capacitatea de a șterge comentariul prin backend-ul wp-gdpr. Toate e-mailurile vor fi trimise automat.

Pluginul plasează, de asemenea, o notă de consimțământ GDPR în cadrul fiecărui câmp de comentariu.

WP GDPR Compliance  – un plugin wordpress gratuit care oferă integrarea cu alte pluginuri care colectează date personale:

WP Terms Popup – un plugin wordpress care creează ferestre pop-up prin intermediul cărora poți anunța că politica de confidențialitate s-a schimbat. Interesant este faptul că poți adăuga și butoane de tipul Sunt de acord / Nu sunt de acord; plus un link de acțiune pentru butonul Nu sunt de acord. Din păcate, oricât de enervant ar fi pop-up-ul cu exprimarea acordului, n-ai ce face. Atâta vreme cât știi că ai un plugin care monitorizează traficul și, întrucât, până și banalul IP intră în categoria ”date personale”, atunci vizitatorul trebuie să fie informat și să fie conștient că poate să fie sau să nu fie de acord. Dacă nu este de acord, mi se pare firesc să nu poată accesa site-ul/blogul. Singurul dezavantaj este faptul că influențează informațiile din header, iar la distribuirea articolelor pe rețelele sociale sunt preluate imaginea generală setată ”featured” și textul din pop-up. O alternativă ar fi pluginul Holler Box, care nu interacționează cu informațiile din header, însă acesta nu are butoanele/linkurile pentru sunt de acord / nu sunt de acord.

Really Simple SSL – un plugin wordpress care transformă automat http în https. Se știe, desigur, că trebuie să ai o conexiune securizată (https) în cazul în care colectezi/prelucrezi date personale, pentru protecția acestora. În cazul în care deții deja un certificat SSL (întreabă hostul!), acest plugin te scutește de a reinstala wordpress de la zero. Singurul dezavantaj este faptul că, în cazul modificărilor url, nu se păstrează și interacțiunile sociale din cadrul articolelor publicate până în momentul activării pluginului.

Cookie notice – în cazul în care nu aveai așa ceva până acum. Un plugin prin intermediul căruia informezi vizitatorii că blogul tău folosește cookies. Vizitatorul poate fi de acord sau nu, dar poate afla mai multe din pagina de informare despre cookies. Ultimul update al pluginului dă posibilitatea vizitatorului de a refuza acele ”terțe părți”. O alternativă, CookieBot.

Contact Form 7 – pentru formulare și… bife. Nu uitați că n-aveți voie să prebifați vreo căsuță – conform GDPR.

Poți scăpa de GDPR pe blogul tău?

Eu cred că da, dar doar în anumite condiții:

  • Nu folosești niciun plugin sau coduri care înregistrează date legate de trafic (ex. Google Analytics)
  • Dezactivezi comentariile
  • Nu folosești un formular de contact
  • Utilizatorii / vizitatorii tăi nu se înregistrează pe site
  • Nu folosești newsletter
  • Renunți la marketing afiliat
  • Nu organizezi concursuri sau alte chestii care necesită colectarea datelor personale

Totuși, având în vedere că există pluginuri care stochează/prelucrează date personale, trebuie să verifici care și să ai o notificare pe blog prin care să informezi utilizatorii ce fel de date personale sunt prelucrate de acestea.

Pe de altă parte, ar fi cam aiurea să nu știi câți te citesc și de unde sunt sau ca oamenii să nu aibă posibilitatea să-ți spună opiniile lor vizavi de un anumit subiect tratat pe blog.

Un pliant creat de Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal:

Notă. Nu sunt avocat, iar aceste informații au fost obținute în urma documentării; am folosit următoarele surse:

http://eur-lex.europa.eu/legal-content/RO/TXT/HTML/?uri=CELEX:32016R0679&from=ro

http://www.dataprotection.ro

https://wpcompendium.org

https://www.pinkseo.marketing

Însă, dacă aveți întrebări legate de wordpress și/sau implementare pluginuri, scrieți-mi în comentarii și vă ajut.

Vrei să afli ce mai scriu? Abonează-te la newsletter!

Da, am citit si imi dau consimtamantul pentru colectarea datelor personale in cadrul abonarii la newsletter

Acest articol a fost citit de 9581 ori

Articole asemănătoare

7 comentarii pentru “GDPR și blogurile

  1. Mersi. Este chiar singurul articol in limba romana din care am putut afla cum se pupa wordpress si acest ….de gdpr. Desigur, mi se pare aiurea faza cu acordul pe care trebuie sa-l dai prima data, asta daca vrei sa continui sa navighezi. Ramane de vazut daca se poate fenta sau exista o alta posibilitate.

  2. @Cosmin, din păcate, oricât de enervant ar fi pop-up-ul cu exprimarea acordului, n-ai ce face. Atâta vreme cât știi că ai un plugin care monitorizează traficul și, întrucât, până și banalul IP poate fi considerat ”date personale”, atunci vizitatorul trebuie să fie informat și să fie conștient că poate să fie sau să nu fie de acord. Dacă nu e de acord, este logic să nu poată accesa site-ul/blogul.

  3. Nu inteleg o chestie. Daca folosesti linkuri de afiliat atunci cum pot fi blocate avand in vedere ca ele nu se instaleaza implicit cand intra pe siteul tau (asa cum e cazul cu google analytics) ci doar dupa ce da click pe acel link? Daca scot analytics, scot butoanele de share, scot newsletter, scot comentariile si raman doar cu afilirea atunci ce fel de notificare mai trebuie sa scriu? Isi mai are rost butomul cu refuz? Acel plugin Cookie Notice poate bloca cookieurile instalate dupa ce un vizitator da click pe linkul de afiliere dupa ce in notificare a dat click ca Nu sunt de acord? Si inca ceva.. din cate am citit despre gdpr parca trebuie sa l lasi sa navigheze pe site chiar daca a dat click pe Nu sunt de acord. Stiu.. e absurd.. Cum ai facut sa fie blocat analytics daca cineva da click pe Nu sunt de acord? Are pluginul Cookie Notice o setare ceva? Mersi pt articol

  4. @Dan, din pacate, nu exista norme pentru punerea in aplicare a GDPR. Asta inseamna ca putem presupune ca, daca tu le scoti pe toate si lasi doar marketing afiliat, e suficient sa pui o notificare despre acest lucru si cum functioneaza. Ref. Cookie notice, exista urmatoarele setari: Enable to give to the user the possibility to refuse third party non functional cookies, Enable to give to the user the possibility to revoke their cookie consent (requires “Refuse cookies” option enabled), Select the method for displaying the revoke button – automatic (in the Cookie Notice container) or manual using [cookies_revoke] shortcode.
    Ref. blocare analytics, cred ca singura solutie e un redirect temporar, tip 302, catre o pagina .html ori .php cu un formular de Sunt de acord / Nu sunt de acord si care, in functie de raspuns – Sunt de acord – intra pe site/blog, Nu sunt de acord – i se incarca aceeasi pagina cu formularul.

  5. Multumesc. Am gasit totusi un plugin care poate bloca analytics daca nu da click pe butonul Accept. Dupa ce accepta activeaza acel script, iar daca da click pe Refuz nu-l activeaza. Este vorba despre acest plugin: https://wordpress.org/plugins/cookie-law-info/
    Practic vizitatorul poate folosi siteul chiar daca nu da click pe accept si este posibil sa nu se activeze analytics in acest timp. Eu probabil voi scrie o notificare mai lunga si fac un buton de Accept mai mare si mai evidentiat astfel incat aceasta notificare sa acopere cam jumate de pagina pe mobil si sa le explic de ce e bine sa dea click pe accept. Are in settings posibilitatea de a alege ce fel de buton vrei (mai mare, mai mic etc) atat pt accespt cat si pt refuz. Cred ca are si posibilitatea sa adaugi tot felul de ID de cookie-uri pe care le foloseste siteul dar alea le poti baga separat. Scriptul de analutics il adaugi la non-functional cookies saua sa ceva. Ti-am scris asta doar pentru a stii ca este inca o alternativa la pluginul Cookie Notice de la dFactory. Nu stiu cat de buna e dar eu cred ca o voi folosi.

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

* GDPR (obligatoriu)

*

Sunt de acord

Acest sit folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.