Potentiale probleme cu noile reguli GDPR, vs. SEO si nu numai, din Mai 2018

Versiune printabilă

Arata 40 post(uri) din acest thread pe o singura pagina

23rd April 2018, 18:30
Marius Cristian

Citat:

Postat în original de Rapsodia

deci daca nu vindem ci e un amarat de blog, site .. nu trebuie facut nimic! :) asa mai merge... mama lor .... Mersi!

Da, chiar si cei care vand au deja scris frumos "date facturare" si "date livrare" in partea de sus a formularelor, deci...
Acum ca sa fii catolic cam ca si patriarhul ar trebui sa pui in fata lor un checkbox si sa modifici textele in "va rugam sa ne furnizati acceptul pentru a trece aceste date pe factura" si "va rugam sa ne furnizati acceptul pentru a trece aceste date pe coletul pe care vi-l vom expedia". :)) Pentru ca omu' nu stia ca asta vei face daca isi trece acolo numele si adresa. :D
Desi la a doua parte ar cam trebui cerut acordul ca datele respective sa poata fi transferate firmei de curierat.

Citat:

Postat în original de Rapsodia

LE :Deci tot trebuie?

Partea cu cookie era de dinainte (daca ai blog pui un plugin pentru "accept cookie", chiar daca e obligatorie doar pentru anumite tipuri de cookie si pentru altele nu e).
23rd April 2018, 21:09
Rapsodia

@Marius Cristian :) pai de ce nu fac asta implicit la WordPress?? daca tot e obligatoriu, sa faca sa nu ne mai chinuie pe noi astia care nu vindem nimic. Asa face Blogger, pune el automat ( tu doar bifezi ) si gata, ai treaba cu cookie rezolvata. culmea ca nu am observat-o :) dar asta e alta discutie. o fi stiind IP-urile mele ca doar sunt blogurile mele...
23rd April 2018, 22:20
Bela

O sa dezbatem aici mult si bine pentru ca e o lege confuza si destul de intortocheata.

Citat:

Postat în original de Marius Cristian

1. Nu e obligatoriu pentru orice fel de cookie sa-ti dai acordul.
2. Sunt 2 lucruri/reglementari diferite.

Din cate am citit si inca mai citesc (din surse variate), sunt cookie-uri si cookie-uri.

Cookie Consent-ul este pentru cookie-urile folosite la functionalitatea unui site - nu sunt stocate date personale - nu are treaba cu GDPR.

Pentru restul cookie-urilor (adsense, analitycs, youtube, heatmap, google tags etc), (cica) trebuie sa dai optiunea vizitatorului sa poate accepta sau refuza tracking-ul printr-un formular in care sunt enumerate toate cookie-urile folosite de site.... si in caz ca accepta unele si se razgandeste (peste 5 minute) sa poata accesa aceleasi formular si sa refuze acele cookie-uri... sau cam asa inteleg eu... asta am vazut la cookiebot ca se poate...

Sau inca nu m-am lamurit eu 100% care e treaba cu GDPR.

La un moment dat o sa trebuiasca sa prezint unui client acest lucru... si da bine daca sunt documentat :)

Astept cu interes si alte interpretari.

https://eugdprcompliant.com/cookies-consent-gdpr/
23rd April 2018, 23:13
Marius Cristian

Citat:

Postat în original de Bela

O sa dezbatem aici mult si bine pentru ca e o lege confuza si destul de intortocheata.

Din cate am citit si inca mai citesc (din surse variate), sunt cookie-uri si cookie-uri.

Cookie Consent-ul este pentru cookie-urile folosite la functionalitatea unui site - nu sunt stocate date personale - nu are treaba cu GDPR.

Pentru restul cookie-urilor (adsense, analitycs, youtube, heatmap, google tags etc), (cica) trebuie sa dai optiunea vizitatorului sa poate accepta sau refuza tracking-ul printr-un formular in care sunt enumerate toate cookie-urile folosite de site.... si in caz ca accepta unele si se razgandeste (peste 5 minute) sa poata accesa aceleasi formular si sa refuze acele cookie-uri... sau cam asa inteleg eu... asta am vazut la cookiebot ca se poate...

Textul integral: https://eur-lex.europa.eu/legal-cont...X%3A32016R0679

Si aici sinteza facuta de unii

Citat:

Pentru respectarea cerințelor Regulamentului GDPR, organizațiile trebuie să poată asigura:
- confidențialitatea
- integritatea datelor și
- să poată dovedi că datele au fost obținute cu consimțământul explicit al persoanei vizate.

Ele trebuie, de asemenea, să respecte drepturile persoanelor vizate de datele pe care le dețin sau procesează:
- dreptul de acces la date,
- rectificarea sau ștergerea datelor
- dreptul de a se opune prelucrării.

Ceea ce spui tu (modificarea optiunilor) tine de dreptul persoanei de a-si putea modifica datele si de a se opune prelucrarii.
Este cam fortat, vom vedea daca se va ajunge pana acolo.

In principiu cookie-ul, daca nu contine date personale, nu poate fi considerat un identificator pentru o persoana.
Corelat/combinat cu alti parametri (inclusiv alte cookie-uri) ar putea fi insa considerat.

Exercitiu:
1. Un webmaster spune ca un anumit user (si ii publica adresa de email sau ID-ul de Facebook cu care s-a inregistrat) s-a uitat 3 ore incontinuu la filme cu 3 de X pe siteul sau.
2. Un webmaster spune ca un anumit user (si ii publica cookie-ul "dfg523472%&**623fgfa") s-a uitat 3 ore incontinuu la filme cu 3 de X pe siteul sau.
Vei putea sti sau nu daca este vorba sau nu de prietenul tau in cazul numarul 2?

Atentie la cei care aveti newsletter: trebuie sa puteti dovedi ca "datele au fost obținute cu consimțământul explicit al persoanei vizate".
23rd April 2018, 23:20
Marius Cristian

Citat:

Postat în original de Rapsodia

@Marius Cristian :) pai de ce nu fac asta implicit la WordPress?? daca tot e obligatoriu, sa faca sa nu ne mai chinuie pe noi astia care nu vindem nimic. Asa face Blogger, pune el automat ( tu doar bifezi ) si gata, ai treaba cu cookie rezolvata. culmea ca nu am observat-o :) dar asta e alta discutie. o fi stiind IP-urile mele ca doar sunt blogurile mele...

In mod implicit nu e nevoie daca ai doar wordpress.
Pentru cookie-urile care sunt utilizate pentru functionarea siteului nu trebuie cerut acordul utilizatorului.
E nevoie daca incluzi cod Adsense sau GA sau orice alt js sau plugin/tema care planteaza cookie. Sau cod propriu.
24th April 2018, 10:13
Rapsodia

Citat:

Postat în original de Marius Cristian

In mod implicit nu e nevoie daca ai doar wordpress.

E nevoie daca incluzi cod Adsense

:( Aici e buba! Asta e, o sa vedem ce va urma... ne adaptam din mers! ;) Tocmai cand a inceput 2018 cu dreptul de credeam ca am gasit solutiile la toate ...!
24th April 2018, 21:11
emm

Vad ca e cazul sa vin cu anumite actualizari si informatii utile:

- Va recomand cu mare caldura sa cititi Regulamentul GDPR. Sau, pe situl UE gasiti unul mai bine formatat (descarcati varianta in romana).

Eventual sa cautati si ceva cursuri / webinar despre acest subiect, daca intereseaza (si ar trebui sa intereseze). Problema e mult mai complicata decat ce s-a discutat aici. Dar se poate rezolva, in timp, pas cu pas. Nota, este o lege lunga si s-ar putea sa va dea dureri de cap. Cursurile, la fel.

- Orice persoana care stocheaza date personale despre clienti in scop comercial (firma, ong, pfa etc) este sub incidenta legii.

- Cookie-urile persistente sunt in principiu date personale, pentru ca pot fi utilizate pentru identificarea unei persoane, singure sau in combinatie cu alte date care exista despre utilizator, cum ar fi adresa de IP, care conform GDPR constituie PII. (nota: PII=Personally Identifiable Information)

Recomandarea generala la acest moment vehiculata in cercurile care se ocupa de GDPR (consultanti etc) este sa cereti acceptul pentru toate cookies persistente, la care subscriu. Acceptul trebuie cerut segmentat (pe categorii de utilizare in parte), INAINTE de setarea cookies. Acest lucru include si banalele trackers precum Google Analytics sau StatCounter. Da, se vor pierde referrer-i si precizie.

- Este de asteptat ca peste 90% din utilizatori sa NU ofere consimtamantul catre terti (din pacate). Intr-un fel, e cam ca si cu AdBlock - de ce nu ar bloca reclamele? Alt domeniu desigur, dar utilizatorul va reactiona similar, in mod natural. Acest lucru va crea probleme celor care se bazeaza pe consent si se asteapta la aceleasi rezultate, ca pana acum. Nu se poate.

- Pentru Google Analytics, ca sa pastrati compatibilitatea trebuie sa treceti de la cookie-based la session-based tracking. Aveti aici un ghid util pentru configurare GA . Din pacate, statisticile nu vor fi la fel de precise si nu prea exista remediu.

- Pentru StatCounter (cine foloseste), intrati la Settings si folositi Opt-out cookie. Va trebui sa reinstalati codul nou pe site.

- Va recomand sa instalati extensia Cookie Inspector in Google Chrome si sa intrati pe propriul site, vedeti ce cookies persistente aveti. Acele cookies trebuie fie sa 1=dispara, 2=aveti acceptul pentru ele. Nu puteti folosi un accept general, trebuie butoane de accept pe fiecare categorie in parte (exemplu: tracker; marketing; cos de cumparaturi; etc). In plus nu este permis ca aceste butoane sa fie pre-bifate, si nici vreun buton de "Accept all and Continue". Utilizatorul trebuie sa le bifeze pe fiecare din proprie initiativa.

Nota, s-ar putea sa va surprinda ce cookies aveti despre care nu stiati.

- Aceasta lege va crea probleme mari in Internet, de adaptare la reglementari. Serviciul whois este deja afectat si va cam disparea (stiu, pare incredibil...). Exista o dezbatere intreaga in firmele de securitate pentru ca blocarea accesului la whois impiedica identificarea atacatorilor. Deci hacking, phishing vor creste, in timp ce firmele for fi afectate grav de o bresa.

- Marketing-ul este afectat, iar anumite categorii de marketing devin aproape imposibil de facut cu rezultate eficiente (exemplu: remarketing-ul, care va trebui acum sa obtina consent). Voi ati accepta sa setati o cookie care sa va urmareasca peste tot prin internet cu aceleasi reclame repetitiv? Probabil ca nu. Aveti aici un articol pe care il recomand cu caldura pe acest subiect. Ajuta si la intelegerea felului in care trebuie luat consent-ul, respectiv segmentat, granular, si cu informatii complete.

- Datele utilizatorilor trebuie stocate criptat, fie prin criptare filesystem sau prin criptarea bazei de date. Asta e o discutie lunga si poate fi greu de implementat. Nu exista o solutie banala pentru criptare si pentru pastrarea securizata a cheii (cel mai sigur sistem fiind probabil serverul in-house si cheia USB in buzunar).

- Shared hosting, din pacate, este cam incompatibil cu GDPR. Discutia e lunga dar intreg environment-ul din serverele shared, inclusiv cPanel /WHM nu sunt compatibile GDPR si nici nu prea pot fi facute, plus ca nici nu se streseaza sa incerce. Recomand shared hosting doar pentru bloguri personale care NU creeaza conturi ale utilizatorilor si nu au venit, situri simple fara implicatii de business.

- Pentru cloud hosting sau VPS, va recomand utilizarea unui provider VPS care este GDPR-compliant. Deocamdata OVH declara ca s-ar cam pregati in directia asta (e un provider major), dar ce spun ei acolo nu este 100% compliance. In acest moment este greu sa gasesti un host compliant. Am mai vazut ceva intentii pe la ArubaCloud sau EuroVPS. Restul... tacere. Amazon AWS, desigur, va fi compliant, pentru cine isi permite preturile ceva mai mari.

- O solutie buna dpdv GDPR ramane serverul in-house (cu dezavantajele de rigoare). Varianta simpla, un linux cu filesystem criptat si introducerea cheii la boot. Desigur ca atunci cand trebuie restartat, trebuie trezit admin-ul din somn si trimis sa bage cheia. N-am zis ca o sa fie usor, dar na, e sigur.

- Pe situri si grupuri se discuta de cookies si uneori de criptarea bazei de date. In realitate asta reprezinta poate doar 10% din partea de munca pentru compliance GDPR doar in zona de IT (si poate 2% din total).

- Nu prea exista recomandari specifice tech in prezent de la UE. Eu sunt o buna parte din an in UK si sunt foarte utile deocamdata recomandarile (sumare) oferite de ICO.ORG.UK firmelor din UK, pana apar recomandari specifice de la UE.

Spre exemplu, daca utilizatorul cere "uitarea", veti sterge datele personale; dar puteti pasta un registru cu date skeleton (numele) al celor care au cerut stergerea si data. Aceasta recomandare am primit-o de la ICO in UK.

- Sunt cam 3 directii de acoperit in compliance: 1. Consultanta / identificare initiala, 2 .Procese interne si documentatie (incluzand DPO unde e cazul) , si 3.Implementare tehnica /IT . Din nou, depinde de marimea firmei. Pentru consultanta GDPR recomand un avocat sau jurist cu experienta in GDPR (oricum cineva care a facut dreptul). Pentru 2, servicii externalizate in cele mai multe cazuri. Utilizatorii Seopedia se vor pricepe mai bine la 3), dar nu strica sa apelati la cineva pentru o consultanta de securitate daca e nevoie, firma e marisoara, date sensibile etc.

- Recomandarea mea finala este sa nu va impacientati. Respiram adanc si trecem usor-usor la treaba.

Observatie importanta. Masurile si adancimea compliance difera de la business la business, in functie de marime si senzitivitatea datelor. Recomand sa le luati pas cu pas si sa le implementati pe rand. In principiu, daca se vede intentia pozitiva si un proces continuu inspre compliance, riscul unei amenzi mari este foarte redus, chiar si dupa 25 Mai. In plus, firmele mici nu vor primi amenzi de milioane de euro daca incalca legea. Totul se va face proportional cu marimea firmei si gravitatea faptelor.

Nota secundara: In prezent lucrez la un site care va oferi un checklist /test/ quiz gratuit de auto-evaluare a propriului site dpdv. GDPR. Cand este gata voi posta un link pe forum (nu mai dureaza mult). Am observat ca se discuta cum spuneam de cele 2 probleme de mai sus, dar am gasit cateva zeci de probleme care fac situl incompatibil GDPR, nu cookies si criptarea bazei de date. Situl o sa genereze un raport cu care puteti lucra pe urma la compliance si documente + link-uri utile. Va fi actualizat periodic conform noilor recomandari care apar.

Il fac pentru ca e nevoie. 99% din business owners habar nu au ce au de facut. Iar avocatul specializat GDPR nu are toate raspunsurile tehnice, ofera doar recomandari generale pentru partea de IT. Daca va treziti cu un data breach, avocatul va ridica din umeri, si nu el primeste amenda. Este normal - nu e treaba lor, nu sunt specialisti IT.

Daca sunt intrebari la care am raspunsul potrivit, voi raspunde. Am raspunsuri limitate totusi, multe lucruri sunt in aer pana apar recomandari specifice de implementare.
26th April 2018, 13:36
Rapsodia

deci am primit de la Google asta, cica raspunde la toate interbarile legate de implementarea GDPR.
26th April 2018, 13:46
emm

Citat:

Postat în original de Rapsodia

deci am primit de la Google asta, cica raspunde la toate interbarile legate de implementarea GDPR.

Mi se pare mie sau va fi un impact serios pe Adsense? Informatiile sunt shared cu o gramada de publishers, inclusiv adresa de IP, in scop de marketing.

Posibil sa trebuiasca consent pentru asa ceva, in care caz veniturile din Adsense dupa 25 Mai vor tinde catre zero.
26th April 2018, 13:56
Rapsodia

Citat:

Postat în original de emm

Mi se pare mie sau va fi un impact serios pe Adsense? Informatiile sunt shared cu o gramada de publishers, inclusiv adresa de IP, in scop de marketing.

Posibil sa trebuiasca consent pentru asa ceva, in care caz veniturile din Adsense dupa 25 Mai vor tinde catre zero.

Vedem.. eu nu fac nimic! :) Deja o sa ajung ca ala de a iesit la pensie in Austria si s-a mutat la tara in HU - cica nu mai ai dreptul nici sa te pi(s)i de buna voie .. de ce nu implementeaza astia automat in AdSense sa alegi forma simpla cu reclama sau aia la care pun cookies. Pui pe care vrei, dar sa ai sansa sa folosesti fara sa tot modifici. Ca sa citesti ceva o sa trebuiasca sa dai 1000 de YES/NO - presimt ca ajungem la chestii gen retea privata de site-uri... , da omul odata Yes si gata .. da NO, s-a exclus de la citit!

Arata 40 post(uri) din acest thread pe o singura pagina