GDPR és a Drupal

vikicica22 képe

Hello mindenkinek!
Olvastam, hogy 2018. május 25-től ez a GDPR életbe lép.
A kérdésem az lenne, hogy a drupal erre fel van készítve és ha igen hogyan?
Milyen modulokat kell használni, hogy a GDPR -nek megfeleljen egy regisztráció, űrlap és esetleg egy hírlevél küldésére alkalmas oldal?
pl.:
A regisztrációnál milyen modult kell használni (checkbox) ami elfogadja az adatkezelési tájékoztatót?
Minden egyes űrlapnál (pl.: kapcsolat) is kell használni valamilyen checkbox?
stb..

Taxonomy upgrade extras: 
Drupal verzió: 
Fórum: 
dongodani képe

EU Cookie Compliance+kötelező Logikai mezővel az űrlapokon elfogadtatod az adatvédelmi irányelveket. Az űrlapok biztonságához Captcha+Honeypot modulok. No és persze https beállítása a szerveren. Szerintem ennyi kb elég is. Továbbfejlesztve, bármely az oldalon történő kattintásra ugorjon fel egy ablak, hogy valóban jól meggondolta-e a dolgot delikvens és ha igen, akkor a jóváhagyásra biztos ami biztos, átirányítja a 30 oldalas adatvédelmi leírásra, majd csak annak az alján egy "Elfogadom" gombra kattintva irányítja át a kívánt címre. Volnának még ötleteim...
Jut eszembe..., ami még alapvető, hogy külsős informatikai biztonsági szakértőt kell majd felkérni, aki egy százasé' adatbiztonságra auditálja a Micike-Macika Kuckója kaliberű honlapokat...

0
-1
Pandelon képe

Javítsatok ki ha tévedek , de kéne egy olyan opció, hogyha nem fogadja el a cookie policyt, akkor nem használhatja (ne tudja használni) az oldalt. Ilyen modulról nem tudok.

0
0
dongodani képe

Rules-al szerintem megoldható, amíg nem kattint egy overlay-es ablakon az Elfogadom gombra, addig ledobja az oldalról.
Az egész nem szól másról, mint hogy a politikai erőtér törvényi fenyegetettségi viszonyok teremtésével megpróbál rátenyerelni a web/informatika részben még szabad aspektusaira. Ezt is a kicsik fogják megszívni, mivel a nagy szereplők mögött komoly erőforrások állnak a védekezéshez. A magánenber valójában le se xarja a saját adatait, sőt bármikor bármit megoszt a nyomorult kis életéből akárkivel, csak legyen elég úgymond "követője". Ha pedig be akarnák tarta(t)ni ezt a marhaságot, akkor be lehet majd zárni a netet, mivel a meglévő honlapok közel 100%-a nem felel meg az összes elvárásnak.

0
-3
nevergone képe

Szia!

Nem old meg minden problémát, de sokat segít: https://www.drupal.org/project/gdpr
Maga a GDPR összetettebb annál, mint hogy pár checkbox-szal el lehessen intézni.

3
0
Balu Ertl képe

Haladjunk sorjában:

„Olvastam, hogy 2018. május 25-től ez a GDPR életbe lép.”

Nem. A GDPR törvény két éve már életbe lépett. Idén májusban a bírságolás türelmi ideje jár le. Sajnos a többség most kezd el aggódni.

„A kérdésem az lenne, hogy a drupal erre fel van készítve és ha igen hogyan?”

Nincs és nem is várható el tőle. A GDPR szabályozás ugyanis nem kizárólag informatikai, hanem szervezeti-menedzsment problémakör. Pusztán a CMS megfelelősége önmagában még kevés, ha utána a webhely tulajdonosát megbírságolják mondjuk a belső Outlook levelezés szabálytalanságai miatt.

„Milyen modulokat kell használni, hogy a GDPR -nek megfeleljen egy regisztráció, űrlap és esetleg egy hírlevél küldésére alkalmas oldal?”

Éppen a fentiek miatt egyetlen modul sem ígér 100%-os megfelelést. Hiábavaló is lenne tőlük ilyet elvárni. Ennek ellenére vannak kezdeményezések, amik segíteni tudnak felmérni, milyen hiányosságai vannak az oldalanak GDPR szempontból.*

„Minden egyes űrlapnál (pl.: kapcsolat) is kell használni valamilyen checkbox?”

Csak ha személyes adatot bekérő mező szerepel az űrlapon. Ha pl. csak nyereményjátékhoz a csokipapíron nyomtatott nyerőkódot, vagy a frissen vásárolt műszaki cikket regisztráltatod a gyártó weboldalán, akkor nyilván nem kell, hiszen ezek nem személyes adatok.

„Szerintem ennyi kb elég is.”

A vélemény szabad. Sajnos a NAIH auditora is szabadon dönt majd egy esetleges bírság kiszabásáról :( Ami lényeges különbség itt, hogy ez esetben megszűnik a vélelmezett ártatlanság szabálya (nem vagyok jogász, de azt hiszem, ez a neve ennek az alapelvnek): neked kell tudnod bizonyítanod, hogy megtettél minden tőled telhetőt.*

„Javítsatok ki ha tévedek , de kéne egy olyan opció, hogyha nem fogadja el a cookie policyt, akkor nem használhatja (ne tudja használni) az oldalt. Ilyen modulról nem tudok.”

Nyilván nem érdeked erősködnöd a Látogatóval, mert pillanatok alatt ott fogja hagyni a weboldalad a fenébe és megy tovább a többi tucat megnyitott böngészőlapjának egyikére.

Ami még fontos: bármilyen más, nem-Drupal, hanem harmadik fél (3rd-party) integrációért (pl. Google Analytics, Tag manager, Add to any, Facebook login, Mailchimp subscribe, stb.) is felelősségre vonhatják a webhely tulajdonosát, üzemeltetőjét. Nem tudjuk, hogy fogják-e, de vérmérséklettől függően lehet optimistán és pesszimistán is hozzáállni.

Személyes benyomásom: nemzetközi szinten is túl sok a (jogos) kérdés és túl kevés a technikai szempontból megalapozott válasz. Mintha a jogászok kicsit előreszaladtak volna az elefántcsonttornyaikban...

A lényeg: ezt most nem szabad félvállról venni. Ahogy nevergone is mondja: ez most nem az a sztori, mint pár éve volt, hogy „felrakok egy modulkát, kiszámlázom és kész is vagyunk.” Sajnos beletanulós, utánaolvasós időszak vár most mindannyiunkra, míg kielégítő módon képbe nem kerülünk a témát illetően. Magyar nyelven ezt találtam mint megbízható, ügyvéd nevével fémjelzett, de ugyanakkor köznapi nyelven érthető írásnak: https://7blog.hu/gdpr/
_____

*Update 12:15: pár kollégám hasznos észrevételét még belefogalmaztam.
_____
Disclaimer: mi készítjük a https://www.drupal.org/project/gdpr modult a Brainsum-nál. Ennek ellenére semmilyen utalást, vagy reklámot nem sugallmazok a használatára. A visszajelzéseket természetesen mindig örömmel vesszük.

4
0
dongodani képe

A nagy erőlködésnek mindig bef**ás a vége és ahogy eddig oly soxor már megtörtént, ez is csak egy viharocska a biliben. Hogy én miket látok napi szinten, ahol az élet számos területén ennél ezerszer komolyabb ügyekben magasról tesznek bármiféle szabályra... Itt is lesz majd pár szerencsétlen, aki bebukja a dolgot, a többség meg azt se fogja tudni, hogy eszik-e vagy isszák a GDPR-t. A látogatók meg aztán végképp nem fognak Dr Holló Dórákat olvasni. Ennyit erről...

0
-6
asrob képe

Ha megkérhetlek akkor tartózkodj a trágár szavaktól, illetve próbálj odafigyelni a helyesírásra. Ha lehet akkor kerüljük a "soxor" és társait, elvégre ez egy szakmai fórum.

3
0

--
Borsa Péter
https://peterborsa.eu

nevergone képe

Pár jogi szakemberrel beszélgetve az erősödött meg bennem, hogy maga a GDPR jó dolog. Elnagyolt kicsit és több része menet közben fog csiszolódni, de nem ez az első ilyen jogszabály a történelemben.
Üzemeltetői oldalról nyilván okoz pluszmunkát, de rendesen betartva (és betartatva) védi a felhasználók adatait, hiszen nem mindig egyértelmű, hogy kinek és milyen adata hova kerül, lásd pl. itt: (csak a technikai része miatt mutatom, hagyjuk a politikai részét)
https://444.hu/2017/07/27/az-adatvedelmi-hatosag-szerint-az-alvallalkozo...
https://444.hu/2017/05/15/meg-a-fovarosi-fougyesz-szerint-se-rendjen-val...

Szóval annyira azért nem kell rettegni a GDPR-től, de tény, hogy át kell gondolni az eddigi adatkezelést.

Ha valaki Debrecen közelében él, annak hasznos lehet ez az ingyenes rendezvény: https://www.facebook.com/events/1709671565790804/

4
0
dongodani képe

A jogi ""szagemberek" nyilván üdvözölni fogják azt ami melót és pénzt hoz nekik. Ez pedig hoz majd, azaz jó dolog. Mármint nekik. Hogy kinek milyen adata hová kerül, arra a webmestereknek nem sok ráhatása van/lesz. Mivel a személyes adat ma az egyik legkeresettebb árucikk, a fél világ, a kormányoktól az IT multikon át a rájuk repülő magán adathalász cégekig(lásd. Cambridge Analytica) a Dark Web specialistáiig mindenki gereblyéz amit csak tud. Persze lehet hinni a Télapóban és a Jóságos EU-ban, ami majd jól megvéd mindenkit. Szép álmokat...

0
-3
nevergone képe

Ez már túlmutat a Drupal és ezen fórum keretein.
Ha kérhetem, akkor maradjunk a tárgyon belül.
Köszönöm! :)

4
0
dongodani képe

Azért passzol ide, mert Drupallal (is) foglalkozóként nem vagyok hajlandó olyasmiért tartani a hátam, ami nem, vagy nem kizárólag az én hatásköröm és nincs teljeskörűen az ellenőrzésem alatt. Teszem azt, nyomatékosan felhívom az oldal üzemeltetőjének a figyelmét az infotörvény rá vonatkozó előírásaira, de a füle botját se mozdítja. Miért is érdekelné, hiszen épp' azzal indította a reggelt, hogy friss családi fotókat osztott meg a világgal a Facebook-on, az Instán, meg még vagy száz helyen. Ezért is írtam, hogy sem a honlapok üzemeltetőit, sem pedig a látogatókat nem fogja érdekelni ez a téma. Mivel a fordítós kolléga már írta, hogy nem tisztán webes szakmai kérdés az egész GDPR, ergo ha már bármit is írsz róla, az mindenképpen túl fog mutatni az itteni kereteken:-).

Kicsit benn ragadtatok a szakmai burokban. A való világ nem így működik.
Csak hogy egy kiváló írót idézzek, "Minden pofon mellé nem lehet csendőrt állítani." És az élet is ehhez igazodik. Vezess egy kört a városban és számold meg hányan tartanak be minden kresz előírást:-).

Majd pár év múlva meglátjuk hogy sikerült-e valamit átültetni a törvényből gyakorlatba. Lehet hogy a nagyobb szervezetek megoldják, de a web dandárját kitevő kismillió honlapocska tuti hogy nem, vagy nem hiánytalanul.

0
-1
asrob képe

Azért passzol ide, mert Drupallal (is) foglalkozóként nem vagyok hajlandó olyasmiért tartani a hátam, ami nem, vagy nem kizárólag az én hatásköröm és nincs teljeskörűen az ellenőrzésem alatt.

Ezt meg lehet szerintem oldani egy szerződéssel, amelyben részletesen le van írva, hogy te mint (al)vállalkozó miért vagy felelős.

Ezért is írtam, hogy sem a honlapok üzemeltetőit, sem pedig a látogatókat nem fogja érdekelni ez a téma.

A látogatót lehet nem fogja érdekelni, de az üzemeltetést biztosan, ebben biztos vagyok. Elég ha 1 ember ír, hogy ő már pedig szeretné minden adatát törölni és bizonyítsd be, hogy megtetted. Akkor nem mutogathatod az éles adatokkal teli adatbázist, hogy lám-lám, Kiss Jóska nincsen benne.

Az, hogy a főnök vagy bárki más mivel indítja a reggelét és mit oszt meg magáról az legyen az ő baja. Ettől függetlenül itt van egy kötelező EU-s törvény amelynek meg kell felelni és pont. Szerintem senki nem állította, hogy a GDPR mindent meg fog oldani, de mint tudod a törvény nem ismerete senkit nem ment fel alóla.

4
0

--
Borsa Péter
https://peterborsa.eu

nevergone képe

HF leon képe

Igazából a helyi hatóság kezébe olyan hatalmat ad, amely alapján mondhatni szinte azt büntetnek meg, akit akarnak.

Több olyan pont is akad, amely nem elég konkrét, vagy nem veszi figyelembe a rendszerek működését, összetettségét, megosztottságát.

Az egyik kérdés a sütik használata. Ha jól értelmezem, akkor, míg tevőlegesen nem engedélyezi a sütiket a látogató -vagyis nem kattint az engedélyező gombra, vagy pilpálja ki a négyzetet -addig az oldal nem is használhat sütiket. Igen ám, de sok beépülő modul, mint egy facebook, vagy google szolgáltatások azonnal használnak sütiket. Ugyanakkor, ha jól értelmezem a szöveget, akkor az oldal látogathatósága nem tagadható meg a süti használatot nem engedélyezők számára sem.

Véleményem szerint ezt a funkciót inkább a böngészőkbe kellene applikálni, mint az oldalakba.

Aztán mindenki kötelessége ezek után a hatóság értesítése, ha az oldalát feltörik, vagy, ha a szolgáltató rendszerét feltörve férhetnek hozzá az oldalához. Láttunk erre példát korábban az egyik szolgáltatónál.

Egy átlag magán ember részére minden jogi csűrcsavar követése nem is olyan egyszerű.

Ami biztos, hogy minden személyes adatot bekérő űrlapra ki kell tenni egy beleegyező rubrikát és elérhetővé kell mellette tenni az oldal adott részére vonatkozó adatvédelmi szabályozásról szóló tájékoztatót.

Ez a minimum. Jelzem a drupal.hu sem felel meg a GDPR elvárásainak!

Sem hírlevélre, sem más hasonló dologra nem lehet automatikusan feliratkozni, sőt közvetlenül ilyen ajánlattal sem kereshető meg a felhasználó. Mindig üres négyzetekre van szükség nem lehet előre bejelölni!

Külön beleegyező négyzet kell az ÁSZF-nek és az adatvédelmi szabályok elfogadásának.

Mindig csak a minimálisan szükséges adatot kell bekérni és azt is fel kell tüntetni, hogy mikor kerülnek törlésre, ha, már nincs rájuk szükség. Például egy vásárlásnál meg lehet határozni, hogy a bekért adatok csak a garanciaidő lejárta után törlődnek, de akkor törlődniük kell! Vagy mégsem?! Nos azoknak az adatoknak, amelyeknek megőrzését törvény írja elő, akkor jelezni kell, hogy az xy törvény miatt a nav 5-6 év tárolási időt ír elő, de ebben az esetben az adatok titkosított tárolását is biztosítani kell...

Szóval sok-sok szabályozás és kevés konkrétum a pontos kivitelezésre.

Első körben azt javaslom tanulmányozzátok a nagyobb webáruházak ezen opcióit. Sok helyen, már előálltak különféle megoldásokkal. Támpontnak jó lehet ezek tanulmányozása.

Mindenképpen el kell kezdeni az oldalak legalább minimális átalakítását, mert az új szabályozás szerint a kiszabható büntetés felső határa 20 millió euró is lehet, sőt az is megeshet, hogy ennél is több (az előző év világpiaci termelésének 4%-a -mindig a magasabb érték az irányadó).

Picit aggódom az első időszak miatt, de remélem a hivatalok igazságosan kezelik a dolgokat és emberségesen döntenek az esetleges problémás ügyekben. Remélhetőleg nem lesznek túl szigorúak, ha az oldalak a tőlük telhető legtöbbet megteszik a legjobb megfelelés érdekében, de valahol valamit elrontanak.

A GDPR is folyamatosan formálódik ezért is nehéz a tökéletes megfelelés. Biztos kell pár év mire minden területen kialakulnak a végleges szabályok és megvalósítási megoldások.

A tengerentúli szolgáltatások európai oldalakba történő integrálása is egy érdekes terület. Gondolom a nagyobb szolgáltatásoknál kevésbé lesz probléma.

Még egy nagyon fontos dolog!!!

Nem szabad hírlevélben, vagy bármilyen más formában direkt marketinget küldeni!!!

Ehhez egy plusz jelöletlen jelölőnégyzet kell! Tehát előfordulhat, hogy egy négyzet az ÁSZF, egy az adatkezelési hozzájárulás és egy a marketing!!!

1
0