Tak, dobrze przeczytałeś – wczytywanie czcionek z zewnętrznych serwisów może naruszać RODO, czyli ogólne rozporządzenie o ochronie danych osobowych.
Co właściwie się dzieje, kiedy korzystasz z zewnętrznych fontów?
Kiedy użytkownik odwiedza Twoją stronę, która korzysta z czcionek z serwerów Google lub Adobe, jego przeglądarka wysyła do tych usług żądanie o pobranie odpowiedniego pliku z fontem. Takie żądanie zawiera adres IP użytkownika, czyli informację, która – zgodnie z RODO – jest uznawana za dane osobowe.
Innymi słowy, choć odwiedzający Twoją stronę nawet o tym nie wie, jego dane są przekazywane do zewnętrznego dostawcy, np. Google w USA. A Ty, jako właściciel strony, jesteś za to odpowiedzialny – nawet jeśli sam nie masz świadomości, że coś takiego ma miejsce.
Google Fonts przed sądem – i co z tego wynika
W 2022 roku sąd w Monachium wydał wyrok, który odbił się szerokim echem w branży webowej. Właściciel strony internetowej został uznany za winnego naruszenia przepisów RODO, ponieważ… jego strona ładowała fonty z Google bez zgody użytkownika. Sąd uznał, że przesyłanie adresu IP do Google odbyło się bez podstawy prawnej i nakazał wypłatę odszkodowania osobie skarżącej – co istotne, tej osobie nawet nic się nie stało. To był „tylko” wyciek IP.
To precedens, który jasno pokazuje: fonty nie są już tylko kwestią estetyki. To również kwestia ochrony danych osobowych. A takich spraw będzie tylko więcej, bo coraz więcej użytkowników ma świadomość swoich praw, a regulatorzy – narzędzia do ich egzekwowania.
Adobe Fonts – ten sam problem w innej paczce
Możesz pomyśleć: „No dobrze, nie będę korzystać z Google Fonts, ale może Adobe Fonts będzie bezpieczniejsze?” Niestety, nie. Mechanizm działania Adobe Fonts jest bardzo podobny – również dochodzi do kontaktu z zewnętrznym serwerem i przesłania adresu IP użytkownika. Adobe co prawda zapewnia, że nie śledzi użytkowników, ale… nie ma to większego znaczenia. Samo przekazanie danych wystarczy, by naruszyć przepisy, jeśli użytkownik nie został o tym poinformowany i nie wyraził zgody.
Jak zatem wdrażać fonty zgodnie z RODO?
Najlepszym i najprostszym sposobem jest hostowanie fontów lokalnie, czyli bezpośrednio na Twoim serwerze. Nie wymaga to wielkich nakładów – wystarczy pobrać wybrane czcionki z Google Fonts (np. za pomocą narzędzi typu Google Webfonts Helper), zapisać je na serwerze i załadować w kodzie CSS. Dzięki temu żadne dane użytkowników nie są przekazywane do podmiotów trzecich – wszystko zostaje w Twojej infrastrukturze, a Ty zyskujesz kontrolę i spokój ducha.
Jeśli z jakiegoś powodu musisz korzystać z zewnętrznego źródła (np. z Adobe Fonts z konta Creative Cloud), pamiętaj, że zgodnie z RODO musisz uzyskać świadomą i dobrowolną zgodę użytkownika przed wczytaniem takiego fontu. W praktyce oznacza to zastosowanie tzw. „cookie bannera” (lub raczej: consent bannera), który nie tylko informuje o tym, co się dzieje, ale też daje użytkownikowi realny wybór. I co równie ważne – fonty powinny być blokowane do momentu uzyskania zgody, co technicznie można osiągnąć np. przy pomocy Google Tag Managera lub dedykowanych wtyczek do WordPressa.
Czy lokalne fonty są wolniejsze?
To częsty mit, że fonty z CDN-ów (np. Google Fonts) ładują się szybciej, bo są cache’owane przez przeglądarki. Owszem, może się tak zdarzyć, ale tylko jeśli użytkownik już wcześniej odwiedził stronę korzystającą z tych samych fontów. W praktyce różnice w czasie ładowania są minimalne, a lokalne fonty mogą być równie szybkie, a nawet szybsze, zwłaszcza jeśli zoptymalizujesz ich format i nie załadujesz wszystkich dostępnych znaków.
Font to nie tylko styl, to również odpowiedzialność
W czasach, gdy ochrona prywatności użytkowników staje się coraz ważniejsza, nawet tak pozornie niewinna rzecz jak czcionka może wpakować Cię w kłopoty. Dobra wiadomość jest taka, że rozwiązanie jest proste – hostowanie lokalne nie tylko rozwiązuje problem RODO, ale też daje Ci większą niezależność i kontrolę nad stroną.
Jeśli projektujesz nową stronę, zrób to od razu dobrze. A jeśli masz już działającą witrynę – sprawdź, jak są ładowane fonty. Być może warto wprowadzić drobną techniczną zmianę, która uchroni Cię przed dużym problemem prawnym.