Как сделать сайт соответствующим закону о защите данных

Last Updated on 16 апреля, 2022

Этот пост для тех, кто:

  • имеет сайт, ориентированный на европейских потребителей
  • имеет сайт, зарегистрированный в Европе
  • живет в Германии и имеет сайт с подключением аналитики и соц. сетей (и особенно рекламы)

Драконовский европейский закон о защите данных практически полностью вступил в силу. Очередная доза этого яда начала действовать с декабря. Разумеется, данные защищать надо, но неадекватный объем подпадающих под защиту и кривые формулировки, исполнение которых практически нереально, делает этот закон совершенно мусорным. Взять хотя бы шрифты от Гугла – их тоже нельзя, так как они подгружаются с сайта. Тем не менее, пока европейских депутатов не достанет результат того, что они наделали, нам придется с этим жить и как-то соответствовать.

Далее – как соответствовать, в короткой форме, чтобы ничего не забыть. По каждому пункту уже написаны сотни статей в сети. Я не IT-специалист и не адвокат. Суммирую то, что смогла найти, без каких-либо гарантий.

Цветовая палитра в мерах соответствует трем группам пользователей: красный – касается всех, синий – второй и третьей группы, зеленый – только третьей.

Кого и насколько это касается

1. Вы пишете небольшой блог для личных целей

Ничего делать не надо, но желательно убить или переключить на правильные плагины аналитику и соц. сети. О том, какие плагины правильные, – чуть ниже. Если у вас есть реклама – вам в пункт 3 по полной программе.

2. Вы ведете сайт-визитку

Например, вы в управлении русского ферайна, и у него есть сайт. Или вы оказываете какие-то услуги, а сайт служит для информирования клиентов.

В этом случае у вас должны быть на сайте: Impressum, Datenschutzerklärung.

Все ваши плагины должны быть приведены в соответствие закону о защите данных. Какие плагины надо убрать, смотрите ниже. “Больные” места: аналитика, формы связи, комментарии, Newsletters, социальные сети, платежи. Если вы сумеете привести “в чувства” или удалить эти cookie-опухоли, то вам не нужно ставить платный сервис по обслуживанию кук, но желательно поставить “декоративный” бесплатный вариант-предупреждение.

На всякий случай неплохо заключить с хостингом ADV (что за зверь – ниже).

3. Вы зарабатываете с помощью сайта

Вы поставили на сайт рекламу, оказываете услуги или что-то продаете. В этом случае ваш сайт должен полностью соответствовать правилам.

У вас должны быть на сайте: Impressum, Datenschutzerklärung

Все ваши плагины должны соответствовать закону.

У вас должно быть действительно работающее куки-предупреждение (то есть платное или сделанное IT-специалистом).

У вас должны быть договора ADV.

Плагины – здравствуй, головная боль

Когда вы ставили на ноги свой сайт, то, скорее всего, читали всякие обзоры, выбирали самые популярные плагины с большим количеством положительных оценок.

Теперь вы вдруг обнаружите, что половину придется снести или писать множество обслуживающих слов и ставить блокировку в баннере.

Коротко многие плагины описаны здесь. Если вашего плагина в списке нет, может помочь погуглить “плагин + dsgvo”.

Обратите внимание, что ситуация все время меняется: многие плагины прозевали момент и не сделали вовремя изменения (или не очень-то и хотят что-то делать, как Jet Pack), но массового отключения пользователя они вряд ли не заметят, поэтому начнут шевелиться и через год это будет уже совсем другая картина. Пока что маленькие и шустрые бойко рванули вперед.

1.Аналитика

Снести, или обеcкукить, или подключить безопасный плагин.

Гугл Аналитика, без которой многие себе не мыслили жизнь сайтостроителя, сомнительная вещь с точки зрения защиты данных: монстр-Гугл, практически монополист, вставляющий куки везде, поскольку использует их еще и для рекламы, да к тому же американский (вот ужас! – оказывается американское правительство без суда и следствия может взять ваши данные и узнать, что вы просмотрели рекламу трусов!).

Для подключения Гугл Аналитики без куков придумали плагин (платный). Есть еще всякие хитрые способы включения всяких режимов, но, как всегда, в помощи Гугла все написано совершенно кошмарным непонятным языком.

Совершенно не адаптируема на сегодняшний момент аналитика от Jet Pack, хотя она удобна. Всем общественным сайтам лучше ее пока отключить.

На мой взгляд, проще подключить что-то другое. Предлагают, например, WP Statistic или Mamoto (бывший Piwik).

В WP Statistic достаточно проверить наличие галочек в разделе “Приватность” (анонимные IP-адреса, хэширование адресов) – плагин считается на 100-процентов приватно защищенным.

2. Шрифты Гугла

Рискнуть и оставить, сопроводив описанием в защите данных, или локализовать.

Это наиболее спорный на сегодняшний день момент с прямо противоположными точками зрения. Почти все темы используют шрифты Гугла, просто потому что они лучше смотрятся. Современные темы начали загружать шрифты локально, но старые темы подгружали их с сервера Гугла (ну тут начинается: монстр-Гугл…). Кроме тем, их используют и другие сервисы.

Можно нудным путем загрузить шрифты на свой сервер и подключить их. Некоторые проблемы может доставить отключение предустановленной загрузки шрифтов. Есть несколько плагинов, помогающих это сделать, но они не стопроцентно работают.

Однако многие блогеры, специализирующиеся на тематике, говорят о том, что это необходимые куки и что их отключение вредит интересам блогера (есть такое исключение из правил в законе), поэтому шрифты можно оставить.

Таким образом – решаем сами, оставить или убрать.

3. Плагины защиты

Заменить на “безопасные” плагины.

Проблема этих плагинов: чтобы защищать, они должны отслеживать базы тех адресов, которые уже отличились во вредоносной деятельности, а значит, сохранять IP-адреса.

Wordfence требует заключения ADV (американский), поэтому сильно сомнителен. Правда, говорят, что договор можно скачать в автоматическом режиме. Но, возможно, проще заменить. В качестве замены предлагают такие плагины, как Ninja Firewall (отметить “yes” в пункте анонимных IP), Blackhole (без проблем), Cerber Security (проверить по какому-нибудь блогу по поиску Cerber Security DSGVO einstellung), Antispam Bee и еще некоторые (каждый раз проверяем по блогам, есть ли особенности в настройках).

Подписаться на новые темы.

В ЖЖ можно подписаться из других соцсетей

4. Комментарии

Закрыть комментарии или поставить галочку согласия на куки.

Комментарии сохраняют адреса email и IP. Вопрос с сохранением IP такой же спорный, как и со шрифтами – это также и вопрос безопасности.

Плагины комментариев часто считаются противоречащими защите данных (например, Disqus рекомендуют снести).

Что делать? Если вас никто не комментирует, вы можете отменить комментарии в настройках WordPress. Остальные ставят галочку согласия на куки в тех же настройках. Есть также плагины, убирающие IP-адреса (например, Remove IP)

Попутно не забудьте отключить Gravatare (в настройках комментариев). Те, кто поставят правильный баннер, заблокируют через него также Emoji. Те, кто баннер ставить не хотят, могут воспользоваться плагином Disable Emoji.

5. Социальные сети, Ютьюб и аудио-сервисы

Не беспокоиться, убрать, поставить безопасные плагины или заблокировать до согласия – в зависимости от вида

Социальные сети могут присутствовать в трех вариантах:

  • как ссылка на профиль автора (в смысле “это моя страница, подпишитесь на нее”),
  • как рекомендация (поделитесь моей страницей в своих сетях)
  • и как вставка из социальных сетей (например, комментарии из Фейсбука в виде вставки или твиты).

Первый вариант безобиден – это просто ссылка. Куки начинают собираться только тогда, когда человек уходит с вашей страницы, а там соцсеть уже отвечает за согласие на куки.

Для второго варианта надо поставить безопасный плагин. Сообщество считает, что безопасен только Shariff Wrapper. Если вы хотите оставить свой старый плагин, то придется блокировать его до согласия пользователя (выглядит ужасно).

Третий вариант – вставка из соцсетей – самый неприятный. Он должен быть заблокирован до согласия пользователей, а некоторые сайты блокируют его дополнительно – чтобы увидеть, надо нажать согласие еще раз уже на вставке.

Кроме социальных сетей, у вас может быть вставка из Ютьюб или аудиосервисов. Методы лечения те же – блокировать до согласия.

6. Newsletters и Формы

Выбрать безопасного поставщика и прописать в Datenschutzerklärung

Разные сервисы по доставке рассылки оцениваются по-разному. Например, MailChimp предлагают обязательно послать лесом (Goodbye Америка…), а MailPoet даже ADV не требует. Однако в Datenschutzerklärung надо прописать и галочку на согласие на куки в форме поставить.

Другие формы также требуют галочки согласия на куки.

7. Jet Pack

У этого монстрообразного плагина много функций, но нужны ли вам они? Большинство из них можно продублировать другими, небольшими плагинами, которые не нужно описывать в баннере и блокировать.

Аналитику и безопасность уже обсуждали. Для постов той же тематики можно поставить плагин Contextual Related Posts (стоит у меня, можете оценить). Для каруселей фотографий и ускорения работы сайта также есть свои плагины.

8. Облачные хранилища

Подписать ADV, заблокировать до согласия или удалить.

Фликр, Гугл, Яндекс… У них у всех есть счетчики, поэтому неизбежно блокируем и прописываем в баннере и Datenschutzerklärung либо локализуем фотографии. Особенно стоит побеспокоиться тем, кто хранит в облачных хранилищах данные пользователя, а не только IP-адреса. Например, расшаривает с пользователем фотографии членов ферайна или какие-то документы.

9. Платежные плагины

Проверить

Тут все зависит от того, куда надо платить и как вы это оформляете – в виде ссылки, плагина, формы. Чем больше данных собирается, тем суровее оформление. Плагины надо обязательно проверить. Весь процесс описать в Datenschutzerklärung, а при использовании платежных платформ, скорее всего, надо будет заключать ADV, а формы блокировать.

10. Технические плагины

Проверить – удалить сомнительные плагины и учитывать “подводные камни”

Технические плагины обычно не собирают никакой информации от пользователя и поэтому безобидны. Например, такой плагин как Brocken Links. Некоторые требуют галочки в пункте IP-адреса, например Redirection.

Могут быть и неочевидные ловушки: например, если вы делаете с помощью Updraft резервную копию, а потом посылаете ее в облачное хранилище, то вы должны либо шифровать базу, либо заключать договор ADV с облачным хранилищем. Либо никуда не посылать, а копировать на свой компьютер. Поэтому плагин использовать можно, но осторожно.

Каждый плагин желательно коротко проверить хотя бы по списку здесь.

Datenschutzerklärung (Privacy Policy) и Impressum

Datenschutzerklärung должно быть на любом сайте, Impressum – на всех неприватных блогах.

Impressum – это золотая жила для сборщиков штрафов за “недостойную конкуренцию”. По поводу отсутствия Impressum на сайтах только судов проходит в Германии около тысячи в год, а сколько еще решает вопросы вне суда. Это короткая информация о вас как об ответственном лице / фирме / обществе, созданная по определенной форме. Обратите внимание, что если вы действуете как частный предприниматель в Интернете даже без сайта (например, на Ebay) и на других сайтах в Интернете, то у вас тоже должен быть Impressum. Могут добавиться и другие требования, если вы продавец или мастер.

Datenschutzerklärung объясняет пользователю, как именно вы защищаете его приватные данные. Чем больше сервисов подключено и чем больше данных собирается, тем толще становится это объяснение. К каждому сервису вы прикладываете ссылку на его Datenschutzerklärung (Privacy Policy). Обычно в объяснении появляются: сервис рассылки, поставщики рекламы, облачные хранилища, замечания по поводу комментариев, форм, социальных сетей, статистики, шрифтов.

Для создания базового Datenschutzerklärung лучше использовать генераторы. Например, можно найти такие на немецком языке:

Если ваш сервис в генераторе отсутствует или входит в платные услуги, вы всегда можете найти сайт, где объяснение о защите данных забыли спрятать от индексации. Набираем в гугле “название сервиса Datenschutzerklärung”.

Поскольку это объяснение не только нельзя прятать от глаз пользователя, а напротив, оно должно быть доступно с любой страницы сайта и баннера, то и образцы найти несложно. Ферайнам стоит посмотреть на сайтах богатых ферайнов с аналогичными функциями, торговцам – на сайтах других торговцев и т.д.

Cookies-баннер: нет / видимость / платный

Для частного блога без сомнительных плагинов баннер не нужен. Чтобы еще меньше волноваться, вы можете поставить декоративный бесплатный баннер, который ничего не блокирует.
Для общества тоже достаточно формального баннера, если оно не подключило каких-то сомнительных сервисов, которые нужно блокировать.
Для всех, кто должен блокировать (группа 3), нужен полноценный баннер.

Найти полностью соответствующий закону куки-баннер не так просто как кажется, особенно если вы живете в Германии.

Настоящий куки-баннер должен:

  • давать подробное описание всех кук
  • давать возможность отказаться от них оптом или в розницу
  • предлагать возможность передумать
  • и самое главное – блокировать куки до того момента, когда пользователь на них согласится

Самое противное – это последний пункт. Большинство бесплатных плагинов ничего не делают с cookies после того, как пользователь отказался от них.

Если у вас нет “опасных” плагинов, то вам достаточно такой декорации. Например, неплохой вариант Cookie Notice and Compliance.

Если же вы относитесь к пункту 3 и особенно если вы живете в Германии, то придется раскошелиться на платный вариант. Для Германии адекватными и соответствующими считаются Borlab Cookies и Real Cookie Banner. Второй есть в бесплатном варианте, но он не для чайников, только для специалистов, поскольку именно блокировку придется делать собственными ручками.

У этих плагинов немного разные добавочные функции и разные ценовые варианты, но считается, что они лучше всего прикрывают все закидоны закона и отслеживают последние судебные решения. Закидонов очень много, и только судебная практика может оценить каждый. Например, кнопки “согласиться” и “отказаться” должны быть одинакового размера и вида. Отказаться должно быть легко. Если есть американские сервисы, лучше об этом лишний раз написать. Ну и так далее.

Несмотря на платность, времени на оформление убивается очень много. Если вы используете Polylang, есть одна хитрость с переводом (спрашивайте).

Ставить такой плагин желательно уже после всей предыдущей возни с плагинами и Datenschutzerklärung, поскольку если вы поставите баннер с блокировкой плагинов или сервисами, а потом замените их на безопасные, то вам снова придется опрашивать тех же пользователей. Чтобы пользователя лишний раз не злить, лучше сразу включать “чистовик”.

Другие плагины не для Германии тоже подойдут. Тут действует принцип оценки риска: чем больше у вас недоброжелателей или потенциально недовольных клиентов, тем осторожнее вы должны быть. Однако нельзя использовать облачные плагины.

Договора ADV

Для меня это самый темный лес пока, я тут вообще не претендую на какие-то знания. Насколько я понимаю, эти договора нужны для того, чтобы обезопасить себя, если сервис, который вы используете, что-то сделает нехорошее с данными. Например, с вашего хостинга утекут емейлы ваших клиентов. Заключение договоров с третьими лицами (сервисами), которые обрабатывают данные ваших клиентов, в Германии и Австрии обязательно (в других европейских странах не знаю).

Хорошая новость – этих сервисов не так много и вы можете их сократить, поставив другие плагины. Типовые договора есть на английском и немецком в сети. Кроме того, многие фирмы начинают делать это автоматически (например, аналитика Гугла – там достаточно отметиться в аккаунте) или договор входит в основной договор с пользователем. Плохая новость – придется повозиться и изучить вопрос.

Список многих сервисов, с которыми надо (или не надо) заключать договор, и информация о том, как это можно сделать, есть здесь.

В сервисы, с которыми вы должны заключать договора, обычно входят: хостинг, сервисы рассылки и почтовые сервисы, облачные хранилища.

Вы предпочитаете смотреть сайты без рекламы и куки? Это прекрасно, но означает, что я работаю для вас за свой счет.
Быть может, вы хотите поддержать мои труды с помощью Пейпал.
Или изменить свои настройки куки на согласие.

Я не использую индивидуализированную рекламу и не собираю чувствительную информацию.

Click to rate this post! 5* - good, 1* - bad
[Total: 1 Average: 5]

Оставьте комментарий

Адрес email не является обязательным!

GDPR Cookie Consent with Real Cookie Banner