Web Push és GDPR

Néhány nappal a GDPR hatálybalépése előtt ideje szót ejteni arról, hogy ez miként érinti a rendszerünket, az ügyfeleinket és a feliratkozóikat.

Mi a GDPR? Mire jó a GDPR? Miért van a GDPR? Kinek kell a GDPR? Hogy feleljek meg a GDPR-nek? …

És a mi megoldásunk az Ön számára

GDPR – az Európai Uniós állampolgárok személyes adatainak a biztonságát és a személyes adatok kezelésének a szabályozását foglalták egy  rendeletbe.

És itt jön az első jó hír: a WebPush.hu szolgáltatás nem dolgozik olyan adatokkal amelyek személyes adatnak minősülnének.

Ami a böngészőbe és az eszközre kerül:

• állapot cookiek
• egyedi feliratkozási azonosító: a feliratkozás során egy véletlenül generált hosszú karakterlánc (fiókban eszközök menüpont alatt – token néven – megtekinthető) kódolt formában
• alkalmazás az üzenetek vételéhez – service worker

Ami a feliratkozás során a listára (webpush.hu szerverére) kerül:

1. Feliratkozási token
2. ország
3. település
4. földrajzi koordináták
5. feliratkozás időpontja
6. választott szegmensek
7. eszköz típusa (böngésző típus jelenleg)

Az adatok tárolása kizárólag elektronikusan, adatbázisban történik.

Az adattárolás jogalapja: önkéntes hozzájárulás.

Az 1. ponthoz: a feliratkozási tokenről már szót ejtettünk, semmihez és senkihez sem köthető, véletlen módon generált string. (Ellentétben pl.: IP címmel, vagy MAC azonosítóval.)  Célja: ennek segítségével juttathatjuk el az üzeneteket a feliratkozott böngészőnek, és a leiratkozásban segít.

2-4 pontokhoz: Első ránézésre ezek olyan geo adatok – különösen a 4. – amik majdnem személyes adatoknak tekinthetőek. Amiért nem azok: nem a valós tartózkodási adatokat kérjük be GPS alapján, hanem a feliratkozáskori IP cím alapján az ip-api.com-tól kapjuk az adatokat. Eddigi tapasztalataink szerint a településadatok rendben vannak, a koordináta adatok +-5km pontosságúak, de ennél nagyobb eltérést is találtunk. (a mobilok adatai pedig szolgáltató függőek.)

Az IP cím nem kerül mentésre.

A 6. ponthoz: a szegmenseket (érdeklődési témaköröket) a feliratkozók önkéntesen választják ki. Automatikus elemzés nincs, profilalkotásra nem kerül sor.

Az összes adat listához kötött.

Attól függetlenül, hogy az adatok nem személyes adatok, fontosnak tartottuk, hogy a feliratkozók élhessenek a “felejtés jogával”.

A felejtés joga

Mindenkinek fontos, hogy egy feliratkozás után egy listáról egyszerűen le tudjon iratkozni és a továbbiakban már ne kapjon üzeneteket.

Azaz felejtsék el. (Right to be forgotten – GDPR)

Fontosnak tartottuk, hogy ez a WebPush.hu esetében egyszerű legyen.

Nem akartuk azt, hogy a feliratkozóknak a böngészőjük belsejét is meg kelljen ismerniük ahhoz, hogy a kapcsoatot megszüntethessék, mint pl.: itt, ahol a leírtak nem is időszerűek.

Ezért létrehoztunk egy alkalmazást, ami egszerűen kezelhető és ezen az oldalon ki is próbáható.

Feliratkozás menedzselő alkalmazás:

Hogy működik?

1. megvizsgálja a böngészőt, hogy típus és verzió alapján támogatja-e a szolgáltatást. Ha nem, akkor ezt kiírja. Ha igen, akkor továbblép.
2. Megvizsgálja a böngészőt, hogy tartalmazza-e a feliratkozás jellemző adatait. Ha igen, felajánlja a feliratkozás törlését. H az ügyfél akarja, az alkalmazás kapcsolatba lép a WebPush.hu serverrel és elküldi a törlési igényt. Az eredményről tájékoztatja a látogatót.
3. ha az 1. pont vizsgálata negatív volt – azaz a böngészőben nem találhatók adatok – felajánl egy komplex vizsgálatot. Ha a látogató szeretné ezt, akkor az alkalmazás megpróbálja megkeresni az eredetileg telepített alkalmazást.

• Ha nem találja az alkalmazást, tájékoztatást ad. Valószínűleg nem is történt feliratkozás, de üzenetet biztosan nem kaphatott erről a listáról.
• Ha megvan az alkalmazás megvizsgálja annak állapotát, amely vagy aktiv, vagy inaktív.
• Ha inaktív, akkor üzenet vételt nem tesz lehetővé, erről tájékoztat.
• Ha aktív, akkor innen kinyeri a feliratkozási azonosítót – token – és ezt egy leiratkozási kéréssel elküldi a WebPush.hu servernek. A szervertől választ kap, erről a látogatót tájékoztatja.
• Inaktívvá teszi az eredeti alkalmazást és a processz véget ér.

A próba

Az alkalmazás kódját beépítettük, Ön is kipróbálhatja.

Ha még nem iratkozott fel a webpush értesítésünkre, akkor tegye meg. Ha a korábbiakban elutasította a lehetőséget és most kipróbálná, akkor kattintson az alábbi gombra, ami törli az állapot cookiet és lehetővé válik a feliratkozás. (A próba során le is iratkozhat) A cookie törlés után frissítse az oldalt!!

A kód ide került beépítésre:

A kód beépítése lépésről lépésre

Bár eddig nem hangsúlyoztam, az alkalmazás csak az ügyfeleink listáin működik.

Itt sem lehet törölni olyan eszközt, ami nem erre a listára (webpush.hu) iratkozott fel.

Lépjen be a fiókjába: belépés

1. Listák/Listák kezelése
2. Válassza ki a listát és kattintson a “Szerkeszt” gombra
3. Az új képernyőn kattintson az “Integrációs kód” billentyűn.
4. Az eddigiekhez képest talál egy új mezőt: Whitelist hozzáférés
   Ide írja be azt a domaint (domaineket) melyek a későbbiekben adatokat küldhetnek a listához tartozó alkalmazásnak. A domaineket egyesével kell beírni. Egy sorba csak egy domain, http:// és www nélkül.

Jó példák:
webpush.hu
google.com
gow.hu
teoldalad.hu

Rossz példák:
www.webpush.hu
https://webpush.hu
https://www.teoldalad.hu gow.hu

5.Katt az adatok mentése gombra. Ez után térjen vissza a “Integrációs kód”- ra kattintva.

6.Megjelent egy új mező “Leíratkozás” felirattal.  Másolja ki a kódot és illessze be oda, ahol működnie kell. Ez lehet például az adatkezelési nyilatkozat vonatkozó pontja is.

FIGYELMEZTETÉS!

A kód HTML oldalakhoz lett tervezve.

Próbálja ki a kódot akkor is, ha CMS-t használ. Ha nem működik, akkor a CMS készítőjével kell konzultálnia.
Például a WordPress postokban és oldalakban csak külső forrásban elhelyezett javascript futtatható és a behíváson is változtatni kell.

Az eredeti beépítő kód ez volt:
<div id=”wppushsupportmessage”></div>
<script src=”https://webpush.hu/integration/manage/10xxxxx17″></script>

és a megfelelő működéshez ilyenre kellett alakítani:
<div id=”wppushsupportmessage”></div>
<script src=”https://webpush.hu/integration/manage/10xxxxx17″></script>
<script type=”text/javascript”>
</script>

Itt a második javascript tag az aktiválást végzi.

Záró gondolatok:

A megoldás a GDPR kapcsán született.

Ettől függetlenül az a véleményünk, hogy a rendszer használatával nem keletkeznek személyes adatok.

A tárolt adatok nem köthetőek személyekhez.

Az adatok elektronikusan megfelelő biztonságú  szerveren kerülnek tárolásra.

A feliratkozók bármikor élhetnek a felejtés jogával.

Ha kétségei lennének, akkor konzultáljon szakértőjével.

A rendszer üzemeltetője és ügyfelei viszonylatára természetesen nem a leírtak az irányadók.