GDPR, azaz General Data Protection Regulation. A kifejezés, amely az utóbbi hetekben jelentősen felkavarta az állóvizet a vállalkozók és a weboldal tulajdonosok körében. Nem másról van szó, mint az EU személyes adatok kezelésére vonatkozó törvényjavaslatáról, amely idén május 25-én lép életbe. A GDPR mindenkire vonatkozik, aki valamilyen személyes adatot kezel, függetlenül attól, hogy magánszemély vagy éppen vállalkozó és az EU-n kívüli tartózkodási hely vagy székhely sem ment meg senkit, ugyanis ha EU állampolgár adatait kezeli, akkor bizony neki is meg kell felelnie a szabályozásnak.

Személyes adatnak minősül minden olyan információ, amely alapján a látogató egyértelműen beazonosítható (tehát például név, email cím, IP cím, stb.). Ha ezen adatok bármelyikét rögzíted vagy bekéred a honlapodon, akkor bizony te is adatot kezelsz, azaz a GDPR rád is vonatkozik. Elég egy darab kapcsolati űrlap, ahol szükséges megadni a nevet vagy az email címet és máris adatkezelővé váltál. Lényegében csak akkor úsznád meg ezt a hercehurcát, ha egy egyszerű HTML honlapot működtetnél, amely nem használ semmilyen sütit és egyáltalán nem gyűjt be semmilyen személyes adatot. De lássuk be, manapság ez már szinte kivitelezhetetlen. Egy alap és tiszta WordPress telepítés esetén is használ az oldal sütiket, de szerencsére a 4.9.6 megjelenése hozott némi segítséget a GDPR megfelelés területén.

Sajnos a legtöbben még csak most hallottak erről a törvényről, azonban nem új keletű dologról van szó, hiszen a javaslatot már két évvel ezelőtt elfogadták, tehát elméletben bőven elegendő időnk lett volna felkészülni rá, a valóság viszont az, hogy még az utolsó hetekben is akkora fejetlenség uralkodott a téma körül, hogy nagyon nehezen lehetett bármiféle konkrét és hiteles információt találni a témában. Az óra azonban nagyon ketyeg és aki személyes adatot kezel annak bizony meg kell felelnie ennek az új szabályrendszernek. Ha ez nem sikerül, akkor a büntetés óriási mértékű, akár 20 millió euró vagy az éves forgalom 4%-a is lehet (természetesen ezek a számok nincsenek kőbe vésve és egyéni elbírálás alapján kerül majd kiszabásra a véggösszeg).

Hazánkban a NAIH lesz az a szerv, aki az ellenőrzésekért és a büntetések kiszabásáért felel majd, de még ők is csak az utolsó pillanatban kezdték el felvenni a GDPR-ért felelős munkaerőt, ráadásul még a ránk vonatkozó hazai törvényt sem fogadták el a parlamentben, tehát ebből is látszik, hogy minden az utolsó pillanatra marad. Ez azonban nem lehet kifogás, a weboldal tulajdonosoknak bizony neki kell állni és teljes mértékben GDPR kompatibilissé kell tenniük az oldalaikat, ha biztosak akarnak lenni benne, hogy nem éri őket kellemetlen meglepetés.

A probléma csak az, hogy nem is olyan egyszerű megfelelni az új rendszernek. Egy hétköznapi weboldal tulajdonos még a törvény értelmezése után sem fogja teljesen biztosan tudni, hogy ő milyen adatokat és milyen formában is kezel, ezt pedig még nehezíti a weboldal technikai módosítása is a megfelelés érdekében. Ráadásul nincs általános sablon vagy mindenkire globálisan érvényesíthető leírás, amit követve könnyedén kompatibilissé tehető egy weboldal. Mivel minden weblap egyedi, így sajnos minden esetben személyre szabott megoldásokra lesz szükség. Elmondható tehát, hogy vállalkozások esetében elengedhetetlen lesz egy szakjogász bevonása, aki elkészíti majd az egyéni GDPR kompatibilis adatvédelmi tájékoztatót és ha szükséges, akkor az általános szerződési feltételeket. Ezután jöhet a technikai kivitelezés, amelyhez pedig a weboldalt készítő programozó szakértelme lesz szükséges, hiszen új funkciókat kell beépíteni és meglévőeket kell majd módosítani minden esetben. Nincs mese, a jogászoknak és a programozóknak is alaposan bele kell ásniuk magukat a témába, ha szeretnének a víz felszínén maradni.

Mi is tehát a pánik oka? Milyen új általános elveknek kell megfelelnie egy adatkezelést végző honlapnak?

– Az adatvédelmi tájékoztatóban egyértelműen közölni kell, hogy ki végzi az adatkezelést, milyen adatokat kezel, milyen formában, meddig és azt is, hogy ezeket az információkat kikkel osztja még meg
– Csak akkor kezelhető személyes adat, ha erre egyértelmű és önkéntes beleegyezést adott a látogató
– A látogatónak lehetőséget (felületet) kell biztosítani, hogy a róla tárolt adatokat kikérhesse/megváltoztathassa vagy ha szeretné, akkor véglegesen töröltethesse is
– A látogatónak lehetőséget kell biztosítani arra is, hogy a korábban megadott beleegyezéseit bármikor megváltoztathassa
– Csak akkor használhat az oldal sütiket, ha a látogató ebbe beleegyezik. Amennyiben ez nem történik meg, úgy a sütik használata nem megengedett, tehát az összes eddig használt süti figyelmeztetés és felugró sáv NEM GDPR kompatibilis többé és emiatt teljesen új megoldásokra lesz szükség
– Megoldást kell találni egy esetleges adatszivárgás kezelésére is, ilyen esetben a hatóságok mellett az összes érintett felhasználót tájékoztatni kell arról, hogy mi is történt, mikor és milyen adatok vannak veszélyben
– Törekedni kell az adatbiztonságra és a tárolt adatok titkosítására
– Törekedni kell az adattakarékosságra, azaz csak olyan adatokat szabad bekérni és kezelni, amelyek valóban szükségesek és tényleg felhasználásra kerülnek, minden egyéb felesleges mezőt törölnünk kell az űrlapjainkból

A fentiekből egyértelműen látszik, hogy WordPress esetén is igen sok új funkció integrálására lesz szükség. A nemrégiben megjelent 4.9.6-os verzió szerencsére nagyon sok GDPR-al kapcsolatos újítást tartalmaz, azonban ez még önmagában sajnos koránt sem elegendő a teljes megfeleléshez (kiindulópontnak viszont tökéletes).

Ahová az első utunk vezessen a frissítés után az a “Beállítások / Adatkezelés” almenüpont legyen. Itt lehetőségünk lesz megadni a már meglévő adatkezelési tájékoztatónkat (vagy létre is hozhatunk egyet, ha még nem lenne ilyen oldalunk). Nagyon nagy segítséget jelenthet az oldal létrehozásában a WordPress által beépített segítő sablon, amely itt érhető el: “http://oldalad.hu/wp-admin/tools.php?wp-privacy-policy-guide”

Az oldal kiválasztása után megjelenik a WordPress beépített hozzászólási űrlapjai végén egy új checkbox, így ezentúl csak akkor fogja eltárolni a vendég kommentelő adatait (név, email, honlap) a rendszer, ha erre engedélyt ad a látogató. Ide még érdemes lehet beilleszteni egy másik checkboxot is az adatkezelési tájékoztató elfogadására, de egyesek szerint elég csak egy erre vonatkozó felhívás is. A lényeg, hogy megemlítésre kerüljön, hogy a beküldéssel elfogadja ezt.

Beépítésre került még két új opció, az egyik a személyes adatok törlésére vonatkozó felület, a másik pedig ezek exportálására szolgál (tehát a felhasználó ki tudja majd kérni a róla tárolt adatokat). Sajnos ezekhez nem tartozik külön felület a látogatók számára, tehát nekünk kell majd gondoskodni arról, hogy említésre kerüljön az adatvédelmi tájékoztatóban ezeknek a módja. Jelen esetben a  legkézenfekvőbb megoldás az, ha megadunk egy email címet, amin keresztül kérhető az adatok törlése/módosítása vagy exportálása. Ha befut egy ilyen kérés, akkor azt az “Eszközök / Személyes adat exportálása” vagy az “Eszközök / Személyes adat törlése” opciókkal tudjuk végrehajtani. A folyamat egyszerű. Első lépésként megadjuk a felhasználó email címét vagy felhasználónevét, majd a rendszer kiküld egy megerősítő emailt a címzettnek. Amint jóváhagyja a kérelmet megváltozik a folyamat státusza is a vezérlőpulton és el tudjuk indítani az adatok kiküldését. Ekkor a kérelmező egy új üzenetet fog kapni, benne egy linkkel, amin keresztül letöltheti a róla tárolt összes adatot egy tömörített zip fájl formájában. Az adattörlési kérelem is esetén is ugyanez a folyamat (tehát megerősítés, majd engedélyezés).

Megoldást kell még találni a süti kérdésre is, itt nélkülözhetetlen, hogy tisztában legyünk azzal, hogy pontosan milyen sütiket is használ az oldalunk. Ezt kideríthetjük a böngészőnk fejlesztői konzolja segítségével vagy külső alkalmazás használatával is. Firefoxban az F12 megnyomása után a “Tároló” fülre kell kattintanunk, majd bal oldalt a “Sütik” opcióra. Chrome-ban szintén F12-t kell nyomnunk, majd “Application” fül és “Cookies” almenüpont. Ha külső szolgáltatást használnánk, akkor a Cookiebot képes elemzést készíteni az oldalunkról, majd ezt kiküldi emailben a sütik részletes leírásával együtt. Ha megvan, hogy milyen sütiket is használunk, akkor ezeket csoportosítanunk kell.

Az egyik logikus lebontás a következő:

– Az oldal működéséhez elengedhetetlen sütik
– Analitikai/statisztikai sütik (például Google Analytics)
– Marketing sütik (Facebook pixel, Google hirdetések, stb.)
– Az oldal beállításaira vonatkozó sütik

Érdemes a sütiket a fenti csoportokba rendezni, majd keresni egy ingyenes vagy éppen fizetős bővítményt, amelynek segítségével a látogatók kiválaszthatják, hogy a fenti csoportok közül melyeket kívánják engedélyezni vagy éppen tiltani. Értelemszerűen, ha például a marketing sütiket nem szeretnék elfogadni, akkor az ide tartozó sütik nem fognak aktiválódni és nem kerülnek a látogató számítógépére. Legalább is a GDPR szerint ennek így kellene működnie a jövőben.

Az egyik legjobbnak tartott ingyenes alternatíva a fentiek kivitelezésére a “GDPR Cookie Compliance” plugin, a fizetős opciók közül pedig a már említett Cookiebot lehet egy jó választás (100 aloldalig ingyenes a használata).

Fontos tudni, hogy nem elég csak telepíteni és aktiválni ezeket a bővítményeket, hanem minden esetben az oldal sütijeihez igazítva kell végrehajtani a beállításokat, tehát a plugin beállításain belül a megfelelő kategóriába kell rendezni a sütiket ahhoz, hogy blokkolni vagy éppen engedélyezni tudja őket a bővítmény.

A legtöbb weboldal rendelkezik kapcsolati űrlappal is, így a már említett módon ezeket is ki kell egészíteni egy új checkboxal, amely egyértelműen közli, hogy bepipálása esetén a látogató elfogadja az oldal adatkezelési tájékoztatóját. A checkbox semmilyen esetben sem lehet előre bepipált, ezt a látogatónak mindig önkéntesen kell megtennie. Fontos még azt is beállítani, hogy bepipálás nélkül az űrlap ne legyen beküldhető. Contact form 7 esetében ez nagyon egyszerűen kivitelezhető, erről ITT írtam részletesebben.

A hírlevélre feliratkozó űrlaphoz (legyen az akár Mailchimp, akár bármilyen egyéb külső vagy éppen belső szolgáltatás) szintén szükséges a fenti módon egy adatkezelési tájékoztató elfogadó checkbox, ám itt ezen felül egy másik opcióra is szükségünk lesz, mégpedig egy újabb checkbox formájában. Ennél azt engedélyezi a látogató, hogy az oldal hírlevelet vagy éppen egyéb ajánlatot küldhessen a részére. Tehát itt mindkettőt ki kell pipálnia ahhoz, hogy a feliratkozása teljesen GDPR kompatibilis módon történhessen. Erre a főoldalunkon található jobb oldalsávban lévő Mailchimp feliratkozó boxban is található egy példa.

A webshopot üzemeltető WooCommerce használóknak sincs könnyű dolga, szerencsére hamarosan érkezik az új verzió, amely szintén a GDPR megfeleléshez szükséges új funkciókat tartalmazza majd.

Aki pedig szeretné, ha az összes GDPR-hoz szükséges funkciót egy plugin kezelje, annak érdemes egy pillantást vetni az “Ultimate GDPR Compliance Toolkit” nevű bővítményre a Codecanyon-on. Ezért ugyan fizetnünk kell egy kisebb összeget, de véleményem szerint ez teljesen vállalható azért a tudásért cserébe, amit kínál. Valóban egy “all-in-one” megoldás a GDPR problémára, hiszen megoldja a süti kérdést, az adatok módosítására/törlésére és kikérésére vonatkozó funkciót (beépített felülettel, ahol a látogató könnyedén tudja kérelmezni ezeket!), képes titkosítani a tárolt adatokat, képes csoportos üzenetet küldeni a felhasználóknak adatszivárgás vagy feltört oldal esetén, kötelezővé tehetjük az adatkezelési tájékoztató vagy felhasználási feltételek oldal elfogadását az oldal használata előtt (akár vendégeknek, akár bejelentkezett felhasználóknak), ráadásul együtt működik a Contact form 7-el és a Mailchimp-el is, mindezeken felül pedig rendelkezik egy egész korrekt magyar fordítással is.

Ha idáig eljutottál az olvasásban, akkor már biztosan te is érted, hogy miért is okoz ekkora fejfájást a GDPR a vállalkozóknak és weboldal tulajdonosoknak, azonban bízom benne, hogy a fenti kis tippcsokor segíteni fog abban, hogy könnyebben meg tudj felelni az új szabályozásnak. Mindazonáltal erősen javaslom, hogy keress fel egy szakjogászt, ha még kérdéseid lennének a témában és ha nem vagy biztos abban, hogy milyen adatokat is kezelsz és milyen lépéseket is kellene tenned a megfelelés érdekében. Sok sikert, türelmet és kitartást kívánok!