improvements to support requirements of the GDPR/DSGVO

[M4LuZ]

Split of the discussions in #239:

What do we need to do in order to support administrators in covering GDPR/DSGVO requirements in LanSuite?

Initial thoughts:

• There are more than enough online generators for the data privacy statement, so that is not really an issue, is it? We cannot ship a default one, as content of the statement largely depends on what modules and services are used. Unless we add a whole new functionality that at least adds some blocks to a template based on module and function activation.
• We would need to extend the descriptive texts in some cases
• If a user requests data kept for him, a printout of the user details and the log data should be sufficient. Unless you gents can identify other locations of relevance? I do see the following details:
  • User details (everything filled in during registration) - covered by user details
  • Party attendances (checkin, paid) - covered by user details
  • Forum posts? - user details covers the last 20, maybe extend that to all for admins?
  • Cashmgr & accounting data?
  • or can we just search for any tables with references to the user_id and dump related content?
• regarding storage of user-related data: Some of the relevant features are already opt-in (newsletter, usermap). I do see though that we would need to change the following:
  • Reduce maximum age of user-related log data. (either separate cron-job, or change the current one)
  • Remove feature to overwrite user newsletter preference?

In general most of our user data is relevant to providing the functionality and thus covered.
I would suggest to create a wiki page (as we all need to contribute there) to go through the requirements bit-by-bit to see what needs to be checked/changed.

Also:

This feature would be the the most interesting one because I, as an operator of Lansuite, an organizer of a LAN-Party can NOT AT ALL export informations out of an mysql server.
Adjusting the Datenschutzerklärung was not such a big deal because for that there are role models and online generators.

[andygrunwald]

The latest TYPO3 release has some notes on GDPR. They seem to be quite valuable for us:

• GDPR Initiative
• TYPO3 9.2.1, 8.7.14 and 7.6.28 released

[daencore]

Also ich habe hierzu folgende 2 Dinge gemacht um unsere Seite DSGVO fähig zu machen. Ob es ausreicht weiß ich nicht aber es sollte laut diversen Tutorials ausreichend sein.

1. Haben wir im Modul Informationen eine neue Seite angelegt mit Datenschutzerklärung und haben dort eine Vorlage hergenommen die man mittlerweile überall bekommt und diese dann an Unsere Bedürfnisse angepasst.
2. Habe ich ein externes Script eingebaut für die Information der Seitenbesucher von https://website-tutor.com/cookie-plugin-script/
   Also einfach in den Head meines Design Templates den code eingebaut:
   <script type="text/javascript">
window.cookieconsent_options = {
message: 'Diese Website nutzt Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu.',
dismiss: 'Ok, verstanden',
learnMore: 'Datenschutzerklärung',
link: 'meinedomain.at/index.php?mod=info2&action=show_info2&id=8',
theme: 'dark-bottom'
};
</script>
<script type="text/javascript" src="//s3.amazonaws.com/valao-cloud/cookie-hinweis/script-v2.js"></script>

Funktioniert Tadellos uns sollte seinen Zweck erfüllen. Vlt. hilft es euch.

[M4LuZ]

Das ist der Teil, den wir selber auch nicht liefern werden, da dafür jeder Seitenbesitzer selbst zuständig ist.
Was fehlt (und in diesem Rahmen noch impelementiert werden muss) ist eine export-Funktion für alle einem Benutzer zugeordneten Daten. Darauf besteht - neben der Löschung dieser - ja auch Anspruch nach DVGSO und wenn man nicht weis, wo sich der Kram in der DB befindet, ist das nicht für einen Orga leistbar

[M4LuZ]

Hi all,

I've started documentation of a potential generic underlying functionality here:
https://github.com/lansuite/lansuite/wiki/GDPR-DSGVO-Handling
Feel free to add, edit and comment