Оптимізація захисту даних на веб-сторінці: уникнення судових позовів та штрафів

Мандрівка багатьма проблемами захисту даних на вебсторінках можна уникнути. Популярні інструменти часто використовуються незаконно, хоча є гарні можливості цього уникнути. Цей матеріал демонструє найпоширеніші проблеми захисту даних та можливі рішення.

Якщо ви не знаєте, як із захистом даних на вашому веб-сайті, я рекомендую спочатку пройти онлайн-перевірку конфіденційності:

Ви знайдете нижче Лікування пропозиції для часто виникаючих проблем із захистом даних. Цей статтю періодично доповнюється новими пропозиціями. Якщо ви вважаєте, що відсутня певна пропозиція, просто напишіть мені з вказанням проблеми захисту даних.

Поширені проблеми з захистом даних та способи їх вирішення

Швидке оглядання

Cookies

Cookies часто використовуються як привід для запиту згоди користувача. Це помилкове або короткозорісне рішення. Cookies не виникають просто так, а встановлюються спеціальними інструментами, наприклад Google Analytics. Насправді слід запитувати згоду на використання інструментів, які в кінцевому підсумку відповідають за наявність кукі.

Для файлів cookie, які технічні необхідні, не потрібно запитувати згоду. Ці файли cookie можуть бути використовувані без жодних обмежень. Технічні необхідні та таким чином неприйнятливі є такі файли cookie наприклад:

• VG Wort: Пікселі збору даних для авторських відрахувань (інакше ні)
• Сесійне управління: Який користувач залогінений? Приклад: Сесійне управління WordPress
• Реін функціональна конфігурація вебсайту, наприклад, роль відвідувача інтернет-магазину (приватний особа проти підприємства)
• Cookies для розрахунку з партнерами (потрібне детальне дослідження)

Всі інші cookie, тобто ті, що не є технічно необхідними, можуть встановлюватися або читатися лише після згоди відвідувача веб-сторінки.

Наприклади послуг, які використовують критичні файли cookie:

• Google (Universal) Analytics (стандартна конфігурація): З цим поняттям мають на увазі варіант Google Analytics, який майже кожна вебсторінка сьогодні використовує
• Google reCAPTCHA
• Карта Google
• Відео YouTube (без розширених налаштувань захисту даних)
• Відео Vimeo

Рішення

• Технічно необхідні cookie можна використовувати просто так
• Інші cookie слід уникати якомога більше, уникаючи інструментів, які їх встановлюють. Див. нижче для альтернатив для критичних інструментів
• Заяви про згоду повинні відповідати багатьом правовим вимогам. Перелік перевірок

Інструменти без реальної користі

Перед введенням в дію ДЗП багато вебсайтів використовували інструменти, як Google Maps, бо

• кожен, хто її використовував
• їх вважали стильними
• ніхто не запитав про реальну користь.

З моменту набуття чинності GDPR слід чесно перевіряти корисність використовуваних інструментів. Приклади:

• Google Analytics: Я стверджую, що більшість з них не потребують цього інструменту. Ви теж до них належите? Альтернативи: Matomo, Trackboxx (німецький постачальник)
• Google Maps: Я стверджую, що на більшості вебсторінок стандартна карта не має сенсу:
  • Рутинне планування: Використовуйте кнопку Ваш шлях до нас з переходом на вебсайт Google Maps
  • Відображення місця розташування: Чи насправді стандартна карта, особливо з максимальною панорамною перспективою, добре відображає ваше місцезнаходження?
  • Альтернативно: Використовуйте дані про захист даних інтерактивну карту, яку я створив
• Google reCAPTCHA: Для деяких вебсайтів справді має сенс. Використовуєте ви Google reCAPTCHA, бо хто-небудь сказав, що вам потрібне? А раніше ви отримували багато спаму? У скорому часі буде моїй розробкою більш відповідальна версія
• Google Tag Manager: Багато інструментів завантажують просто прямо, для цього не потрібен жодний Tag Manager.
• YouTube та Vimeo відео: Я стверджую, що вбудовані відео на багатьох сайті не мають жодного сенсу, особливо коли вони відображаються у невеликій вікні. Альтернативи: Превью-картинка з посиланням на відеоплатформу; Відео зберігає місцево та грає із допомогою HTML-тегу video; Без відео

Використання інструментів згоди

Мандрівці багато вебсторінок використовують так звані інструменти згоди, щоб, згідно з їхніми словами, забезпечити те, що критичні інструменти, такі як Google Analytics, завантажуються лише після того, як користувач погодився.

Інші назви інструментів згоди:

• Блокувальник cookie
• Попап із файлами cookie
• Консенсус щодо файлів cookie
• Інструменти cookie
• Consent Management Platform (CMP)
• Запит про згоду

Незадовго багато хто з цих інструментів згоди використовують неправильно. Багато вважають, що інструмент cookie може чудесним чином забезпечити те, щоб інструменти були правильно заблоковані до отримання згоди від користувача. Це неправильно.

Переконайтеся, що код для завантаження інструментів, які вимагають згоди, буде доступний лише після отримання такої згоди. Не працюйте з активованим кодом, який потім має бути деактивований інструментом cookie якоюсь дивним чином.

Найкращий варіант залишити без використання так званих рішень щодо згоди, бо це не рішення. Дивіться мої розроблений у практицітест, який демонструє провал інструментів отримання згоди відомих постачальників.

Якщо ви обов'язково маєте встановити запит про згоду: Використовуйте власну рішення або чекайте, поки я не надасть безкоштовне рішення (за допомогою Новинного листа дізнаєтеся, коли це станеться).

Інструменти, які завантажуються без згоди

Сервіс може бути завантажений лише після згоди, якщо хоча б один з наведених нижче пунктів є актуальним:

1. Сервіс використовує технічні необов'язкові файли cookie (чи перші, чи треті партійні файли cookie). Перегляньте §15 Abs. 3 TMG + BGH-Urteil zu Planet 49 + Art. 5 Abs. 3 ePrivacy-Richtlinie
2. Служба завантажує файли з ненадійного третього країни (приклад: США). Візьміть до уваги Стаття 44 ДЗКП
3. Служба здійснює ненадійні передачі даних. Візьміть до уваги Стаття 5, п. 1 c GDPR (мінималізація даних)

Наступні послуги можуть бути завантажені лише після отримання згоди (уривок з вказівкою підстави):

• Google Analytics (стандартна конфігурація, тобто з cookie): Основний 1, ймовірно також основний 2
• Зовнішні Google Фонти: Основний 3, ймовірно також основний 2
• Відео YouTube без розширених налаштувань захисту даних (тобто з cookie): причини 1-3
• Відео YouTube з розширеними налаштуваннями захисту даних (тобто без файлів cookie): причини 2 та 3
• Відео Vimeo: Причини 1-3
• Звуковий гравець SoundCloud: Причини 1-3
• Google reCAPTCHA: Причини 1-3 ([1])
• Відкритий шлях картографії: потенційно підстава 2
• Google Maps: Причини 1-3 ([1])
• CloudFlare: Основний 2, можливо також Основний 1 (залежно від конкретного випадку використання)
• Google Tag Manager: Основний 2

Детальніші пояснення ви знайдете в статтях на цій веб-сторінці.

Всі загалом вважають: інструменти від Google та провайдерів соціальних мереж (Facebook, Twitter, Instagram, TikTok тощо) є не дуже відповідними щодо захисту даних. Прикладом цього є Google: вказівки щодо захисту даних компанії такі туманні, що майже неможливо виконувати обов'язок повідомляти відвідувачам вашої вебсторінки про збір даних через використання інструментів Google на своїй сторінці. У цьому випадку відповідальність лежить на вас як власнику сторінки, а не на Google (за винятком випадків коли існує спеціально укладений контракт, який створює спільну відповідальність).

Рішення

• Видаліть послуги без компенсації, якщо їх користь не встановлена (наприклад: чи зростає ваш прибуток або ще краще чистий прибуток, якщо ви інтегруєте певну послугу?)
• Замініть послугу альтернативою: дивіться інформацію в цьому пості
• Завантажити послугу лише після згоди: зазвичай можливо лише з юридичним ризиком
• Видалити Google Tag Manager безповоротно або завантажити його лише після згоди користувача або завантажити за допомогою невеликого JavaScript-коду

Зовнішні шрифти Google

Google Schriften не можуть бути завантажені без згоди з сервера Google: Обґрунтування. Хто потребує офіційного обґрунтування, знайде його в Уголовному рішенні суду Мюнхена від 20.01.2022 (Az.: 3 O 17493/20).

Вбудовуйте шрифтові файли локально. Це дозволено з точки зору авторського права та повністю не порушує правила захисту даних. Це дозволить вам навіть уникнути ймовірно неправильних текстів про захист даних.

Рішення

• Використовувати допоміжний інструмент Google Webfonts для встановлення шрифтів місцево на сторінці ([1])
• WordPress: Апелювати до темових налаштувань для зміни, щоб Google Fonts не завантажувалися зовнішньо (це працює не для всіх тем); використовувати тему, яка відповідає вимогам щодо захисту даних
• Ручне встановлення: Дивіться Що таке рішення у моїй статтях про Google Шрифти

Необхідні виклики файлів третіх сторін

Багато веб-сторінок завантажують файли з серверів третіх сторін, хоча ці файли можна було б просто зберігати локально.

Рішення

• Завантажити та локально вбудувати зображення
• Встановлювати та локалізувати JavaScript-бібліотеки, такі як jQuery
• Завантажити та локально вбудувати файли макету (файли CSS). Увага: враховувати також посилання на ресурси в самих файлах

Висновок

Зокрема, невеликі веб-сайти або веб-сайти з невеликою кількістю відвідувачів часто можуть обійтися без критичних інструментів і таким чином уникнути необхідності завантажувати документи з згодою для себе та відвідувачів веб-сайту.

Перевіряйте точну користь використаних інструментів та не покладайтеся на думку інших.

Чи є ваша вебсторінка ДЗП-конформною? Почніть тут: Онлайн перевірка вебсторінки

Ключові тези цього посту

Багато проблем з захистом даних на веб-сайтах можна уникнути, використовуючи замість сумнівних інструментів альтернативні рішення.

Веб-сайти повинні використовувати лише абсолютно необхідні cookie, а інші встановлювати лише після згоди користувача.

Багато поширених інструментів для роботи з cookie не працюють належним чином і не надають достатнього захисту вашим відвідувачам. Краще взагалі не використовувати їх або розробити власне рішення.

Використовуйте якомога менше зовнішніх послуг та інструментів на своєму веб-сайті, щоб уникнути неприємних запитів на згоду та покращити захист даних.