Jak zachować zgodność z RODO używając Google Fonts?
RODO to europejskie rozporządzenie o ochronie danych osobowych, a jego celem jest ochrona prywatności obywateli Unii Europejskiej. Ochrona dotyczy wszystkich unijnych obywateli, którzy umyślnie lub nieumyślnie odwiedzają dowolne witryny internetowe. Oznacza to, że każda strona internetowa, która może zostać odwiedzona przez użytkowników z Unii Europejskiej, powinna być zgodna z RODO.
Wyrok niemieckiego sądu
20 stycznia 2022 r. sąd w Monachium w Niemczech orzekł, że właściciel witryny musi zapłacić 100 euro odszkodowania odwiedzającemu witrynę, z tytułu szkody polegającej na przesłaniu adresu IP odwiedzającego, do Google w wyniku żądania plików czcionek z serwera Google Fonts.
Dlaczego korzystanie z czcionek Google narusza RODO
Aby zrozumieć dlaczego korzystanie z czcionek Google narusza RODO przeanalizujmy proces wyświetlenia treści strony internetowej na ekranie użytkownika.
Oto (w dużym uproszczeniu), co się dzieje, gdy użytkownik zażąda dostępu do strony:
- Użytkownik w przeglądarce internetowej wprowadza adres strony www.
- Aby wyświetlić treść, którą użytkownik chce zobaczyć, przeglądarka musi pobrać plik HTML strony.
- W pliku znajdują się odwołania do czcionek znajdujących się na serwerze Google.
- Czcionki muszą zostać pobrane z serwera Google.
- W tym celu do serwera Google wysyłane jest żądanie, które zawiera adres IP użytkownika.
- Serwer Google Fonts rejestruje adres IP użytkownika i przesyła mu plik czcionek.
- Witryna wyświetla się w oknie przeglądarki z dostarczonymi z serwera Google czcionkami.
Oznacza to, że strona internetowa bez zgody użytkownika, przekazała jego adres IP, co stanowi naruszenie RODO.
Czy można używać Google Fonts i zachować zgodność z RODO?
Tak, można używać czcionek Google i zachować zgodność z rozporządzeniem o ochronie danych osobowych. Użycie czcionek Google Fonts naruszają warunki RODO tylko wtedy, gdy są pobierane z serwerów Google, a użytkownik wcześniej nie wyraził zgody na przesyłanie do Google swojego adresu IP.
W jaki sposób używać Google Fonts zgodnie z RODO?
Jest kilka sposobów na używanie czcionek Google Fonts zgodnie z rozporządzeniem o ochronie danych osobowych. Każdy z nich sprowadza się do wyeliminowania konieczności pobierania czcionek z serwerów Google.
Rozwiązaniem będzie więc zapisanie czcionek lokalnie na serwerze hostującym stronę internetową, a następnie przesyłanie ich do użytkowników już bez pośrednictwa serwerów Google. Można to zrobić, pobierając wykorzystywane w witrynie pliki czcionek Google Fonts i umieszczając je na serwerze. Następnie należy dodać odpowiednie reguł dotyczące kroju czcionek do plików CSS.
Przydatna w tym zakresie może okazać się narzędzie on‐line: google‐webfonts‐helper, które umożliwia pobranie czcionek oraz wygenerowanie kodu CSS.
Oczywiście należy również pamiętać o usunięciu kodu HTML odpowiedzialnego za wcześniejsze pobieranie czcionek z Google Fonts.
Przykładowa zawartość pliku strony, która odpowiada za pobranie czcionki z serwera Google:
<link rel=“preconnect” href=“https://fonts.googleapis.com”>
<link rel=“preconnect” href=“https://fonts.gstatic.com” crossorigin>
<link rel=“preload” as=“style” href=“https://fonts.googleapis.com/css2?family=Poppins:wght@300;400;700&amp;display=swap”>
<link rel=“stylesheet” href=“https://fonts.googleapis.com/css2?family=Poppins:wght@300;400;700&amp;display=swap”>
Innym sposobem jest użycie domyślnych czcionek systemowych. W tym przypadku wystarczy usunąć z kodu strony odwołanie do serwerów z czcionkami Google Fonts. Wadą tego rozwiązania będzie jednak zmiana wyglądu witryny z uwagi na zmianę kroju czcionki.
Niektóre z systemów CMS udostępniają wtyczki, które automatycznie pobierają czcionki z serwerów Google Fonts i tworzą dla nich odpowiednie pliki CSS. Nie zawsze jednak to rozwiązanie będzie działało poprawnie.
Podsumowanie
Przechowując lokalnie czcionki Google (dotyczy to również innych zasoby) eliminujemy potrzebę przesyłania adresu IP odwiedzających, a tym samym nie naruszamy w tym zakresie rozporządzenia o ochronie danych osobowych.
UWAGA: Treści tego artykułu nie należy traktować jako porady prawnej.