WordPress ja GDPR-työkalut

GDPR eli EU:n yleistä tietosuoja-asetusta aletaan soveltamaan 25.5.2018 ja tulee asettamaan vaatimuksia henkilötietoja kerääville ja käsitteleville tahoille. GDPR:n tarkoitus on vähentää turhien henkilötietojen keräämistä ja varmistaa, että organisaatiot huolehtivat hyvin kerätyistä tiedoista. Asetuksen mukaan henkilöillä on oikeus:

  • Saada tietää, mitä tietoja hänestä kerätään
  • Voida kieltää tietojen kerääminen ja käsittely, mukaan lukien vaatia kerättyjen tietojen poistamista
  • Saada itseään koskevat tiedot koneluettavassa muodossa, jotta tieto on siirettävissä toiseen järjestelmään
  • Oikeus saada tietää tietovuodosta, jossa omia tietoja on voinut vuotaa

Mitä GDPR tarkoittaa

Lisätietoja GDPR:stä löytyy blogistamme sekä ohjeistamme.
WordPressiin löytyy useita lisäosia, joilla sivustojen ylläpitäjät voivat helposti toimittaa käyttäjille heidän pyytämiään tietoja tai mahdollistaa itsepalveluperiaatteella esimerkiksi käyttäjän tietojen poiston näin haluttaessa. GDPR WP -projekti on kehittänyt näitä ominaisuuksia WordPressin ytimeen, joten yksityisten tietojen hallinta sekä saatavuus pyydettäessä ovat muuttumassa ylläpidon näkökulmasta vieläkin helpommiksi.
Projektin tavoitteena on tuottaa työkalut WordPressiin seuraavia käyttötapauksia varten:

  1. Tutkia käytössä olevien lisäosien GDPR-yhteensopivuus sekä hakea lisäosien tallentamat käyttäjiä koskevat tiedot.
  2. Kerätä lisäosien tietojen keräämistä koskevat tekstit yhteen nippuun ja koostaa niistä yhteinen tietojen keräämistä koskeva infosivu.
  3. Hakea kaikki tiettyä käyttäjää koskevat tiedot koneluettavassa muodossa siten, että ne voidaan tarvittaessa siirtää toiseen järjestelmään.
  4. Anonymisoida pyynnöstä kaikki käyttäjää koskevat tiedot siten, että käyttäjää ei voida enää yksilöidä aineiston perusteella.
  5. Tiedottaa käyttäjää sekä viranomaisia mahdollisesta tietomurrosta sekä ehdottaa toimenpiteitä ja antaa suosituksia, miten asiaan pitäisi tässä tilanteessa varautua.

WordPress ja GDPR

WordPressin versio 4.9.6 sisältää jo osan näistä ominaisuuksista, kuten työkalut käyttäjätietojen toimittamiselle ja poistamiselle käyttäjän pyynnöstä.
Käyttäjä voi pyytää ylläpitoa lähettämään hänelle tietonsa tai poistamaan ne käyttämällä erityiselle tietosuojalauseke-sivulle määritettävää lomaketta, tai pyytämällä sitä muuten ylläpidolta tai sivustosta vastaavan yrityksen asiakaspalvelusta. Pyyntö kirjataan, tai lomaketta käyttäen kirjautuu, Vie henkilötietoa (Export Personal Data) tai Poista henkilötiedot (Remove Personal Data) -sivulla – nämä näkyvät uusina ominaisuuksina Työkalut-valikossa (Tools). Ylläpitäjä näkee pyynnön työjonossa, josta pyynnön voi hyväksyä. Tästä lähtee vielä erillinen sähköpostiviesti käyttäjälle, jossa pyydetään vahvistamaan pyyntö – tällä varmistetaan, että pyytäjä on se, kenen käyttäjätietoja halutaan käsitellä. Kun käyttäjä vahvistaa pyynnön viestissä olevan hyväksymislinkin kautta, näkyy pyyntö vahvistettua ylläpitonäkymässä.

GPPR-toiminnot Työkalut-valikossa


Alla näkyy esimerkki käyttäjän tekemästä pyynnöstä toimittaa häntä koskevat henkilötiedot. Kun pyyntö on tarkastettu ja vahvistus on saatu käyttäjältä, ylläpitäjä voi lähettää tiedot Lähetä tiedot -painikkeella. Tällöin käyttäjälle toimitetaan sähköpostitse linkki pakattuun zip-tiedostoon, joka sisältää html-tiedoston, johon on sisällytetty käyttäjän henkilötiedot, käyttäjään liitetty metadata sekä sivuille lisätyt kommentit.


Käyttäjätiedoiksi ei lasketa käyttäjän tuottamaa varsinaista sisältöä kuten sivuja tai artikkeleja, vaan ainoastaan käyttäjään liitetyt henkilötiedot sekä sivuille lisätyt kommentit.

Ominaisuudet on mukana WordPressin versiossa 4.9.6, joka julkaistiin eilen illalla Suomen aikaa, ja on nyt päivitetty lähes kaikille Seravon WP-palvelun asiakkaille. Suomenkieliset käännökset työkaluihin ovat toteuttaneet Daniel Koskinen ja Tiia Rantanen Zeeland Familysta.

Lisätietoja kehityksestä löytyy GDPR WP -projektin blogista.