Mnoho mých klientů se mě již ptalo na GDPR, a jaký to má dopad na web v Drupalu. Jde o největší podobný zákon v EU za posledních 20 let. A tak jsem se rozhodl vyhovět i vám ostatním, kteří se o tuto problematiku chcete zajímat. Jak se tedy GDPR týká drupalu? Je Drupal GDPR "friendly" chcete-li? Jsou zde moduly, které by vám s GDPR pomohly?
Nejste si jistí, co je GDPR?
EU GDPR říká ve 3. odůvodnění tohoto zákona: “Účelem směrnice Evropského parlamentu a Rady 95/46/ES (4) je harmonizovat právní předpisy o ochraně základních práv a svobod fyzických osob v souvislosti s činnostmi zpracování a zajistit volný pohyb osobních údajů mezi členskými státy.”
- Platnost a sankce za nedodržení GDPR
- Jak se GDPR týká webu v drupalu?
- Kroky k synchronizaci drupalu s GDPR
- Jsou zde drupal moduly, které by vám s GDPR pomohly?
- Závěr a outsourcing řešení
Platnost a sankce za nedodržení GDPR
Nová regulace vejde v platnost 25. května 2018 a aplikuje se na všechna uložená data o občanech EU všude na světě! Jako přímý důsledek, weby s návštěvníky z EU zemí tak musí splňovat tento zákon. Pokud si o tom chcete přečíst více, zde je odkaz na celý text GDPR v češtině. Za porušení těchto ustanovení může EU uložit správní pokuty až do výše 20 milionů EUR, nebo jedná-li se o podnik, až do výše 4 % celkového ročního obratu celosvětově za předchozí finanční rok.
Jak se GDPR týká webu v drupalu?
Jde o informace jako jméno, adresa, e-mail, samozřejmě rodné číslo nebo dokonce IP adresa, tedy každá infomace vedoucí k identifikaci živé bytosti nebo je klasifikována jako osobní data. Mnoho z těchto dat se vyplňují ve formulářích drupalu, ať už při sbírání kontaktů přes moduly contact, webform nebo commerce, tak při zakládání uživatelů (základním modulem user).
Kroky k synchronizaci drupalu s GDPR
- Ukládání a sběr: Než uživatel uloží formulář, musí si být vědom, že Drupal tyto informace ukládá se záměrem je uchovávat.
- Informování uživatelů: Uživatelé musí vědět, která data budou uložena a s jakým záměrem. Taková věc se dá vyřešit jednoduchým prohlášením pod formulářem.
- Udržování uživatelských dat organizovaně a přístupně: Podle GDPR má uživatel mít "právo být zapomenut". K tomu dopomohl spor Gonzalez vs Google. Uživatelé také musí mít tedy možnost nejen smazat data o nich uložená, ale také zastavit jejich budoucí sběr! Zároveň musí být uživatel schopen si nejen svá data uložit k sobě do počítače, ale také zažádat zdarma o výpis, kde všude se jeho uložená osobní data vyskytují. Na to pak bude mít subjekt 40 dní.
- Formulář se žádostí o data: Váš Drupal web bude muset mít jednoduchý formulář, ve kterém bude moci jakýkoliv uživatel o svá data zažádat jednodušše. E-mailová komunikace skrze formulář je tedy nejjednodušší řešení.
- Stránka "Ochrana osobních údajů": prokazatelný postoj k ochraně osobních údajů je možné poskytnout prostřednictvím strany "Ochrana osobních údajů", kterou vystavíte na váš web - většinou se toto řeší přidáním odkazu do patičky. Do této stránky je potřeba podle zákona nyní začlenit, jakým způsobem je GDPR na webu implementováno a jak postupovat, pokud by kdokoliv chtěl svá data regulovat a revidovat.
- Práva a ochrana osobnosti: Drupal a jeho řešení musí splňovat: Právo být onformovaný; Právo přístupu k datům; Právo omezit jejich sběr; Právo na přenesitelnost dat; Právo na podání námitky a Právo na vyloučení z automatizovaného profilování.
- Oznámení o porušení GDPR: Pokud váš drupal poruší jakoukoliv tuto hodnotu, musí provozovatel webu poskytnout informace o tomto porušení všem jejím uživatelům do 72 hodin od začátku zjištění tohoto porušení.
- Google Analytics: Podle zákona, pokud používáte (jako většina) Google Analytics, znamená to, že sbíráte data a rozhodujete tedy, která jsou pak odesílána do Google Analytics. Pokud ho chcete používat, musíte následovat následující seznam:
- Audit osobních dat uživatelů;
- Zapnutí identifikace IP adres;
- Audit sběru nicknamů uživatelů (maily, uživatelská jména)
- Přetextování stránky o poskytování a ochraně osobních údajů;
- Vybudování možnosti přihlásit se a odhlásit s poskytování osobních dat.
- Moduly: je zde zatím pouze jeden (viz níže). Nicméně, kromě toho lze při vývoji postupovat tak, aby nedošlo k porušování práv uživatelů na ochranu jejich osobních údajů.
Jsou zde drupal moduly, které by vám s GDPR pomohly?
Ve zkratce, drupal komunita zatím přišla pouze s jedním a to je General Data Protection Regulation modul. Ten dává uživatelům možnost vidět, kde jsou jejich data uložená. To je podle GDPR povinnost každého webu, který ho chce splňovat.
General Data Protection Regulation modul ve zktrace:
- Dává uživatelům možnost vidět kde jsou jejich data (user entity) uložená;
- Poskytuje uživatelům možnost "zapomenout mě", kterou doposud měli pouze administrátoři;
- Checklist pro administrátory;
- Možnost odstranění uživatelského účtu (lze řešit i bez tohoto modulu) - obsah vytvořený uživatelem ale zůstává;
- A hlavně, vytváří API, které umožňuje jiným modulům přistoupit k uloženým uživatelským datům.
Závěr
Tak. Nyní byste měli být schopni říci, zda váš drupal splňuje GDPR nebo ne. Pokud máte stále pocit, že váš web není na GDPR připravený, pošlete mail na drupalarts@gmail.com a nechte se o tyto starosti postarat naše drupal experty.