Hodně tomu pomohl Úřad pro ochranu osobních údajů (ÚOOÚ), který rozlouskl problém s cookies. Ale vezměme to postupně.
Prohlášení o ochraně osobních údajů
Už od začátku jsem chtěl vytvořit jeden společný text pro všechny weby. Udržovat jej na jednom místě je daleko jednodušší než na jednotlivých webech. I když se jednotlivé weby do značné míry liší, stavím je většinou na ověřených pluginech. Monetizace je také obdobná, popřípadě u ní není potřeba GDPR řešit. Ovšem i na tuto variantu jsem byl původně připraven. Chtěl jsem udělat tabulku, v níž by bylo sepsáno, kde se co používá.
Přemýšlel jsem, jaký zvolit název pro centrální dokument, nejvíce se mi líbilo „Prohlášení o ochraně osobních údajů“. Výsledek si můžete prohlédnout zde.
A teď k jednotlivým částem.
Provozovatel
Asi by chtělo vyplnit kompletně všechny informace o provozovateli a kontakt. Ten jsem nechal jen na konec. Soupis webů také není konečný, jsou tam jen ty aktivní. Mám několik dalších, které už neaktualizuji, nedají se komentovat a fungují jen, protože se mi vrátí náklady.
Jaké informace jednotlivé weby shromažďují
Tohle je nutná část. Musíte napsat, co shromažďujete, k čemu to potřebujete a na jakou dobu je potřebujete. Nezapomínejte, že něco jako „neomezeno“ už po GDPR neexistuje.
Jak vidíte, u WordPress jsem to rozdělil na Komentáře, Odběr komentářů (plugin Subscribe to comments) a Cookies. Asi by to chtělo doplnit ještě část o registrovaných uživatelích – ty mám v sekci Jak dlouho jsou vaše data uchovávána.
Vložený obsah z dalších webů
Na tohle jsem narazil před týdnem. WordPress automaticky předělává odkazy na určité weby (Facebook, Twitter, YouTube) na vložený obsah (embed). S tím se však automaticky vkládají i koláčky.
Analytika
Prohlášení o webové analytice. Ačkoliv existují metody, jak s analytikou nespadnout pod GDPR, tak se domnívám, že podstatou GDPR je hlavně informovat návštěvníka.
S kým sdílím vaše údaje
Tato sekce je povinná. Vzhledem k tomu, že se o data s nikým nedělím, tak to mám lehké. Ovšem musím to napsat.
Zpracovatelé
Tohle je povinná sekce. Se všemi zpracovateli byste měli mít elektronicky podepsanou zpracovatelskou smlouvu. Podepisovat papír v online podnikání je neefektivní přežitek. Navíc nezapomínejte, že podle GDPR musí být všechny dokumenty obsahující osobní data zamčené v nějaké skřínce. Lehčí je zaheslovaný počítač anebo data v cloudu.
Doporučuji použít tabulku, do které dáte název subjektu, jaká data mu předáváte a proč mu je předáváte.
Jak dlouho jsou vaše data uchovávána
Tohle je povinná část. Asi by to bylo lepší vyřešit tabulkou.
Část o registrovaných uživatelích jsem okopíroval z WordPress šablony.
Jaká máte práva?
Další povinná část. Musíte uživatele poučit o jeho právech, která mu GDPR zaručuje. Doporučuji přidat upozornění, že to může nějakou dobu trvat a také že opakované úkony zpoplatníte.
Kontaktní údaje
Budete potřebovat existující kontakt, kde se bude moct uživatel hlásit o svá práva.
Závěr
Do této části jsem dal „ten zbytek“. Tedy prohlášení, že se zpracovává nezbytné minimum dat a že dělám vše proto, aby nedošlo k zneužití dat.
Závěrem
Tak tohle jsem stihl za odpoledne s přestávkami na další práci. Je vidět, že to ještě pár úprav snese, ale chci počkat, co se bude dít. Přeci jen dělám magazíny a prakticky nesbírám žádné osobní údaje. To nejcitlivější jsou e-maily a ty ani nepoužívám pro marketing, ale jen pro technický provoz.
Co mě ještě čeká? Musím projet zbývající weby, jestli tam není nějaký zapomenutý plugin jako Akismet, případně nějaký, který dává do prohlížeče cookies. Většinou se jedná o takzvané technické cookie, které není nutné ani hlásit.
Co je na hraně? V podstatě jen Google AdSense a jeho síť partnerů. Myslím si, že žádat o povolení není třeba, protože buď jej uživatel už má, anebo z mých stránek se nic nedozví (čte si o doménách a online podnikání – to není osobní údaj, problém by byl, pokud bych tu měl nějaký choulostivý obsah). Ovšem ta síť partnerů mě mate. Každý si tam dává své cookie. Pokud by se to nějak začalo řešit, tak přejdu na čistě kontextovou reklamu, zas o tolik hůře mi nevychází.
Hlavně jsem rád za rozhodnutí ÚOOÚ. Koláčkové lišty s „rozumím“ jsou pakárna a postup s žádostí o umístění koláčku je technický nesmysl. Prohlížeče mohou dnes v základní instalaci vytvářet oddělené kontejnery, připojovat přes VPN a blokovat reklamu. Stačí to lidi naučit používat.
GDPR každopádně již platí a myslím si, že je čas si oddechnout a věnovat se rozvoji projektů, ne?
Příspěvek byl převzat se souhlasem autora z blogu 404m.com
ČLÁNKY DO MAILU