Project

General

Profile

Bug #3659

GDPR og persondataforordningen: Default kontaktformularen skal overholde GDPR (Sti: /contact)

Added by Rolf Madsen over 1 year ago. Updated 12 days ago.

Status:
Need more info
Priority:
Urgent
Assignee:
Target version:
Estimated time:
URL med eksempel:
Kategorier:
Driftsvedligehold - Sikkerhedsopdateringer

Description

Problemstilling

Default kontaktformularen under /contact overholder ikke GDPR og Persondataforordningen.

Mål

Når brugerne kontakter biblioteket via default kontaktformularen under /contact så skal de vide hvordan deres persondata behandles.

Løsningsforslag

Indsæt et link til beskrivelse af hvordan biblioteket håndterer persondata i defaultkontaktformularen under /contact.


Related issues

Related to DDB CMS - Bug #3532: SAMLESAG - GDPR og persondataforordning - GDPR analyse af DDB CMSNeeds analysis
Related to DDB CMS - Bug #4290: Kontaktformular /contact sender ikke brugernes mailadresse medReviewed

History

#2 Updated by Rolf Madsen 10 months ago

  • Status changed from Needs prioritization to Ready for development
  • Assignee changed from Rolf Madsen to Christel Krabbenhøft

@Christel, vi skal have undersøgt:

  1. hvilke oplysninger der skal vises for brugerne af /contact formularen.
  2. om og hvordan oplysningerne kan tilføjes /contact formularen.

#3 Updated by Rolf Madsen 10 months ago

  • Target version changed from Release 33 - Bugfixes to Release 32 - Ballerup projekter

#4 Updated by Rolf Madsen 9 months ago

Svar fra juristen:

 

Spørgsmål 1

- hvilke oplysninger der skal vises for brugerne i GDPR sammenhæng?

Overordnet skal det kunne dokumenteres, at den data, der indhentes eller efterspørges i kontaktformularen, er nødvendig. Man skal kunne oplyse brugeren om, hvad indsamlede data bruges til, eksempelvis er e-mailadressen nødvendig for at kunne sende besvarelse eller kommentar til brugeren, telefonnummer benyttes til at kunne kontakte brugeren i særlige tilfælde – hvorfor det også er valgfrit om brugeren udfylder telefonnummer osv osv. Det er tilstrækkeligt, at det står beskrevet på underside om bibliotekernes behandling af persondata.

 

Spørgsmål 2

- hvordan føromtalte GDPR oplysninger kan tilføjes kontaktformularen.

Jeg har i den sammenhæng bemærket at mange kontaktformularer fra andre hjemmesider er efterfulgt af en samtykkeboks, eksempelvis Jeg erklærer ved afkrydsning, at have læst persondatapolitik vedrørende afgivelse af mit samtykke til den nævnte behandling af personoplysninger(Det understregede vil være et link, der fører til en underside med information herom. Ofte et link til bibliotekets persondataside, hvor det står specificeret, hvorfor der indsamles de forskellige informationer herunder navn, e-mail og telefonnummer). Brugeren skal således afkrydse for samtykke før de kan sende kontaktformularen afsted til biblioteket.

#5 Updated by Christel Krabbenhøft 9 months ago

  • Assignee changed from Christel Krabbenhøft to Simon Holt

Hej Simon. Det er først til rel. 32, men vil du kigge på sagen ved lejlighed? //Christel

#6 Updated by Simon Holt 9 months ago

Hej Christel. Det kan du tro, jeg kigger på den :)

#7 Updated by Simon Holt 7 months ago

Indsæt et link til beskrivelse af hvordan biblioteket håndterer persondata i defaultkontaktformularen under /contact.

Jeg ville til at kigge på denne, men har muligvis misforstået løsningsforslaget i ovenstående.

Som jeg læser det, troede jeg vi havde en eller anden generel tekst om håndtering af persondata, som vi kunne linke til diverse steder f.eks. fra brugeroprettelse og kontaktformular. Havde kigget på arbejdet i #3590 og troede man havde lavet det der, men det ser ud til at være lavet specifikt til brugeroprettelses-flowet og bliver kun vist der (og er desuden flettet ind i gatewayf modulet).

Jeg bider også mærke i følgende fra svaret til Spørgsmål 1 fra juristen:

Det er tilstrækkeligt, at det står beskrevet på underside om bibliotekernes behandling af persondata.

Har vi sådan en siden et sted? Hvis det skal være en generel side, der skal refereres til fra flere steder, mener jeg ikke det er korrekt at have den flettet ind i gatewayf modulet og brugeroprettelses-flowet på den måde som det er nu.

Eller jeg kan også bare selv prøve at formulere noget til kontaktformularen? Ikke sikkert det bliver særligt godt ;)

#8 Updated by Simon Holt 7 months ago

  • Status changed from Ready for development to Need more info
  • Assignee changed from Simon Holt to Rolf Madsen

#9 Updated by Rolf Madsen 7 months ago

  • Assignee changed from Rolf Madsen to Simon Holt

@Simon, det har du da helt ret i ...

Når jeg graver tilbage finder jeg #3590 hvor teksten om om behandling af persondata i forbindelse med GDPR skulle placeres under https://upgrade-fbs.ddbcms.dk/gatewayf/registration/information

Det vil sige at teksten er indsat som en del af brugeroprettelse via Nem ID flowet, hvilket gør at det ikke som sådan er en side der er egnet til refernce fra andre sider.

#10 Updated by Rolf Madsen 7 months ago

Har du en løsning på hvordan den samme tekst kan benyttes i begge sammenhænge?

#11 Updated by Rolf Madsen 7 months ago

I øvrigt har vi også https://upgrade-fbs.ddbcms.dk/cookies, men det er ikke rigtig relevant i denne sammehæng.

#12 Updated by Simon Holt 7 months ago

@Rolf jeg tænker vi kan lave det på samme måde som cookie siden. Så vi for eksempel har den under https://upgrade-fbs.ddbcms.dk/persondata

Skal jeg prøve at gå videre med det?

#13 Updated by Rolf Madsen 7 months ago

@Simon, jeg har lige bedt Gitte give sit besyv med.

Jeg vil helst undgå at vi har den samme tekst liggende to steder.

#14 Updated by Rolf Madsen 6 months ago

  • Related to Bug #3532: SAMLESAG - GDPR og persondataforordning - GDPR analyse af DDB CMS added

#15 Updated by Rolf Madsen 5 months ago

  • Related to Bug #4290: Kontaktformular /contact sender ikke brugernes mailadresse med added

#16 Updated by Tue Gaston 12 days ago

  • Target version changed from Release 32 - Ballerup projekter to Release 32 - Bugfixes

Also available in: Atom PDF