Chwilę temu skończyłem pisać o „Rozporządzeniu o Ochronie Danych Osobowych (RODO/GDPR) nie tylko w kontekście działalności internetowej”, i w oczekiwaniu na drugą część, w której skupię się bardziej na praktycznych aspektach RODO (blog, strona, sklep internetowy, newsletter) chciałem od tematu trochę odpocząć. Ale rano w kanale oficjalnym pojawiła się aktualizacja WordPressa, która poza „standardowymi poprawkami” wprowadziła również kilka elementów wymaganych właśnie na gruncie RODO/GDPR.
Spis treści w artykule
WordPress 4.9.6 i RODO/GDPR
Wraz z RODO nie tylko większy nacisk jest kładziony na politykę prywatności na stronie, ale pojawiło się pojęcie prawo do bycia zapomnianym, oraz prawo do wglądu i przenoszenia swoich danych. I właśnie najnowsza aktualizacja WordPressa (4.9.6) również w tym kontekście przynosi zmiany.
Ustawienia prywatności
Chyba najmniej istotną – przynajmniej na razie, póki z sensem nie zostanie to wdrożone bezpośrednio w motywach – jest ustawienie dotyczące prywatności, bo obecnie mamy tam tylko możliwość wyboru strony z polityką prywatności:
Nie dość, że jest od tego pełno wtyczek (te wszystkie przeszkadzajki o ciasteczkach) to tak naprawdę sam wybór strony w tym miejscu na obecną chwile nic nie zmienia. Zdecydowanie lepiej samodzielnie dodać stronę z informacjami o polityce prywatności samodzielnie do menu i/lub stopki strony.
Eksport danych osobowych
Na szczęście kolejna opcja jest już jak najbardziej przydatna, i pozwala na żądanie użytkownika przygotować archiwum zawierające wszystkie dane, jakie o użytkowniku mamy na naszej stronie:
Jest to zdecydowanie przydatna opcja, bo użytkownik może zarówno chcieć skorzystać z prawa do przenoszenia danych, jak i wglądu w to, jakie konkretnie dane z nim związane mamy i przetwarzamy. Z poziomu tej opcji możemy wygenerować archiwum z plikiem HTML, w którym znajdują się podstawowe informacje o użytkowniku zapisane w naszej bazie danych, oraz wszystkie interakcje, np. komentarze:
Mam tylko nadzieje, że zaraz nie rzucą się na tą opcję wszyscy czytelnicy. nie tylko dlatego, że zapewne lepiej np. Facebooka poprosić o takie dane (będą zdecydowanie ciekawsze), ale i dlatego, że… zbliża się weekend… ;-)
Usuwanie danych osobowych
Oprócz możliwości wglądu (i pobrania) swoich danych, użytkownik ma również możliwość zgłoszenia do nas żądania (prośby) usunięcia swoich danych osobowych, które przetwarzamy w naszym systemie. Również i taka opcja pojawiała się po ostatniej aktualizacji:
Działa ona podobnie do poprzedniej, czyli podajemy adres e-mail „delikwenta”, on dostaje n swój adres link do potwierdzenia, i… po temacie – był i go nie ma… ;-)
Zapisywanie danych komentującego
Ostatnią nowością związaną z RODO/DGPR jest opcja pozwalająca osobie komentującej wybrać, że chce by jej dane – imię/pseudonim i adres e-mail – zostały zapamiętane gdy publikuje komentarz, tak by potem były (lub nie) automatycznie uzupełniane:
Save my name, email, and website in this browser for the next time I comment.
Czyli mamy odwrócenie sytuacji która miała miejsce do tej aktualizacji – wcześniej takie dane się zapisywały automatycznie (ciasteczko), teraz tylko gdy osoba komentująca wyrazi taką wolę.
Warto od razu to przetłumaczyć i ostylować:
<p class="comment-form-cookies-consent"><input id="wp-comment-cookies-consent" name="wp-comment-cookies-consent" type="checkbox" value="yes" /><label for="wp-comment-cookies-consent">Save my name, email, and website in this browser for the next time I comment.</label></p>bo domyślnie nie dość, że po angielsku (przynajmniej na razie), to jeszcze nie zawsze będzie dobrze pasować do naszego formularza…
Pasjonat nowych technologii - od sprzętu po oprogramowanie, od serwerów po smartfony i rozwiązania IoT. Potencjalnie kiepski bloger, bo nie robi zdjęć "talerza" zanim zacznie jeść.
Dumny przyjaciel swoich psów :-)
- Zakupy w sklepie Bambu Lab bez podatku VAT, czyli rejestracja jako B2B oraz specjalny link do specjalnego sklepu - 1970-01-01
- W Home Assistant 2024.7 w końcu można bezpośrednio z właściwości danego elementu zarządzać jego rozmiarem w cały jeszcze czas eksperymentalnym układzie „sekcje” - 1970-01-01
- Sprzedajesz drona DJI? Usuń go ze swojego konta. Kupujesz używanego drona DJI? Zadbaj, by dotychczasowy właściciel usunął go ze swojego konta! - 1970-01-01
Kilka ciekawych rzeczy dodały. Ciekawo jak ta ustawa w końcu będzie kontrolowana. :)
Tak, ogólnie moim zdaniem będzie lepiej i… łatwiej. Tyle tylko, że trzeba będzie podchodzić bardziej „lege artis” do wszelkich czynności. Ale też niestety coś czuje, że będzie jak zwykle, czyli Ci co przestrzegają prawa mają dodatkową robotę, a SPAMerzy i tak będą to mieli głęboko w…
Teraz czekać, jak autorzy wtyczek podepną się pod ten mechanizm – ja szczególnie czekam na wtyczki do wspomagania komentowania, bo w końcu chyba informacja iż „śledzę” jakieś wątek i jestem zapisany na newsletter komentarzy to chyba też podchodzi pod RODO?
Już nie mówiąc o wszystkich prawdziwych newsletterach.
PS. Zdziwiło mnie, iż dostałem linki do moich media.
Śledzenie komentarzy oczywiście też podchodzi. I teraz z praktycznego punktu widzenia – na Webinsider.pl jest taka możliwość, stosuję zasadę double opt-in, więc niby OK, ale… oprócz tego można założyć, ze taki e-mail powinien zawierać od ch… dodatkowych informacji. I teraz (mam) dylemat – zresetować wszystkie powiadomienia, czy… zostawić. I niestety, ale na wszelki wypadek najlepiej będzie zresetować…
A nie możesz wysłać każdemu śledzącemu wykazu postów, które śledzi, tak by za 24h (nie wiem ile potrzeba czasu) zapisał się tam jeszcze raz?
Teoretycznie mogę, ale jest to sporo ponad 1200 rekordów, do tego trzeba by jakoś technicznie to rozwiązać. Możliwe, że zostawię subskrypcje, a ew. wyśle tylko info, że subskrybujesz z linkiem do zarządzania subskrypcją, bo jednak…
Z szczególności, iż z poziomu narzędzia do zarządzania subskrypcją mogę zrobić, wszystko co chce rodo – zobaczyć swoje subskrypcje, usunąć je itp.
PS. Jak mam puste pozycje, to są jakieś resztki usuniętych wpisów, czy po prostu „buginfo” iż w danym temacie (przed dziurą) mam więcej niż jeden komentarz z subskrypcją?
Z tego co widziałem po ID wpisów, to faktycznie odwoływało się to do usuniętych wpisów. Był taki dzień, że chyba z pół tysiąca wpisów wycofałem (kosz). Nawet nie dlatego, że były złe, ale dlatego, że… generowały sporo ruchu, ale takiego jaki był mi niepotrzebny (w większości). Wiem, rzecz niepopularna, bo zazwyczaj robi się wszystko dla UU, ale… czasem mam i takie kaprysy ;-)
Ale jeśli subskrybowałem, to znaczy iż skomentowałem. A skomentowałem, bo pewnie było coś ciekawego :P
Ja nie kwestionuje tego, że były ciekawe – wręcz przeciwnie ;-)
Ale miałem w pewnym momencie „kaprys”, a tak naprawdę pomysł na dodatkowy serwis, i tam przeniosłem artykuły. Ostatecznie serwis ten wyłączyłem, bo czas… No ale artykuły z WIPL zniknęły.
Widzę, pewien minus z rozwiązaniu WordPress. Linki do potwierdzenia itp. odnośnie podania danych pochodzą z katalogu domena/wp-admin/, co jest trochę sprzeczne z dotychczasowymi praktykami „ukrywania” admina czy ukrywania go za .htaccess
Na pewno? U mnie w trakcie testów link do potwierdzenia to:
A np. do pobrania swoich danych to:
Zresztą - choć zdarza mi się tak robić - nie jestem jakimś entuzjastą całkowitego blokowania dostępu do wp-login.php czy wp-admin. W większości przypadków "wystarczy" ukryć stronę za Cloudflare, i ew. dla tych elementów ustawić regułę o podwyższonego ryzyka (np. "I'm under attack").
Ja tylko zwracam uwagę.
W sumie, w aspekcie mojego wniosku o zapomnienie, to jestem ciekaw, jak się WordPress zachowa z komentarzami?
1) Zanimizuje je, czy je usunie?
2) Jeśli usunie, to co się stanie z drugim poziomem komentarzy? Też je usunie, czy po prostu skróci drzewo komentarzy? I wtedy wyjdzie, iż Patryk dyskutuje tu sam ze sobą ? :D
Zawsze możesz przetestować, tylko uprzedzam, że u mnie to droga w jedną stronę, i odwołań nie przewiduje ;-)