Google űrlapba bekért személyes adatok

 ( horvatha | 2019. augusztus 25., vasárnap - 23:32 )

Kedves HUP-osok!

Nem vagyok agyon aggódó fajta a személyes adataimmal kapcsolatban, és ezért nem is vagyok tájékozott. Biztos van itt, aki szakmájánál fogva is ért ehhez és 1-2 bit információval tud szolgálni.

A konkrét probléma: egyik gyerekem iskolája korszerűsít és az ebédre való jelentkezést elektronikusan lehet megtenni idéntől. Ez szuper. Csakhogy az adatbekérő egy Google ürlap, és benne a gyerek neve, OM-azonosítója, az én nevem, e-mail címem, telefonszámom és személyi igazolványszámom is kötelezően kitöltendő mező.

Jól van ez így?

Hogy az iskola tárol ilyesmit rólam, az egy dolog (bár a szig.számhoz amúgy mi közük), de hogy egy sima Google űrlapon kérik be ezeket, attól kiráz a hideg. Az a minimum, hogy a Google így már simán összeköti az agyacskájában ezeket a dolgokat. De gyanítom, nem túl nagy a védelem egy rossz szándékú külső adatvadász ellen sem, hisz ha pl. hozzáférnek ahhoz a Google-fiókhoz, amiről ezt az űrlapot definiálták, akkor hirtelen sok szülő komoly személyes adataihoz férnek hozzá.

-- Mennyire nagy a kockázata, hogy így illetéktelenek jutnak hozzá ezekhez az adatokhoz?
-- Ha számottevő a kockázat, akkor mit lehet tenni, merre induljak el? Törvény egyáltalán enged ilyen bekérést?
(Nem akarok feltétlen konfrontálódni, de azért észszerű szintig védem az adataimat.)
-- Lehet, hogy az iskola valami külön szerződésben áll a Google-lel és az biztosít nekik valami védelmet? (Akkor ezt miért nem írják ki?)
-- Vagy túlaggódom a kérdést?

Előre is kösz!

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

A Forms adatait pontosan úgy tárolja a G, mint a Docs egyéb objektumait, tehát elvileg nem lát bele.

Amikor utoljára a drive privacy policyját olvastam, benne volt hogy minden oda feltöltött adatot elemeznek (?!) és tárolnak (nyilván). A forms/docs biztos hogy más? :)

--
arch,ubuntu,windows,android
zbook/elitebook/rpi3/nexus5_hammerhead

Igen, a docs-ban pontosan tudják az adatobjektum típusát.
Az elemeznek annyit tesz, hogy van preview a weben, vagy pl. képes egy táblázatot megnyitni neked. Sehol nem találtam (és a GDPR miatt lehetetlen is lenne) olyat anno, és most újra átfutottam, hogy az adattartalommal pl. AI-t etetnének…

"Jól van ez így?"

Nem, nincs jól! Szerintem mindenképp jelezd az iskolának, hogy érzékeny adatokat nem vagy hajlandó ilyen felületen megadni, főleg nem, hogy egy harmadik fél (Google) szerverein tárolják azokat.

"-- Lehet, hogy az iskola valami külön szerződésben áll a Google-lel és az biztosít nekik valami védelmet? (Akkor ezt miért nem írják ki?)"
Nyugodt lehetsz, semmilyen szerződésük nincs. Valószínűleg valaki ingyenes fiókján csináltak egy Forms-os és abba kérik be az adataidat. Az le van írva az oldalon, hogy ki fog hozzáférni és milyen esetben? Gondolom nincs. Ez így szerintem akár GDPR-t is sértheti, bár nem vagyok szakértő (mármint ha nincs szerződésük a google-el és az ő szerverein tárolnak személyes adatokat)
Én a személyi igazolványszámot semmiképp sem adnám ki, az OM azonosító is kérdéses. Egyébként is, minek kellenek ezek az azonosításhoz?

Az én gyerekem bölcsődei étkeztetése hasonlóan van megoldva, de nem google szervereken tárolják ezeket, hanem az önkormányzat saját szerverein, rendszerében. Az adatokat is ők töltötték fel, mi csak egy számokból álló azonosítót és egy kezdeti jelszót kaptunk... Az anyja neve, címe, telefonszáma, email címe ki ban töltve, egyéb érzékeny adat (pl. szig.szám., adószám, TAJ) nincs. A gyereknek is csak a neve és a születési ideje van fent, más nincs.

Én a helyedben mindenképp jelezném ezt az iskolának, mert aggályos. Szerintem ők bele sem gondolnak ezek security vonzatába, csak azt látják, milyen "modernek" lesznek így...

Az persze megint érdekes kérdés, hogy melyik biztonságosabb? A google infrája vagy az önkormányzat rendszere? Főleg ha az önkormányzat mondjuk egy hosting szolgáltatónál tartja a weboldalát, egy ki tudja mennyire frissített wordpressen, drupálon vagy joomlán...

--
Desktop: Windows10 | Server: CentOS

Én nem feltétlenül arról beszéltem, hogy fel lehet-e törni és ha igen, melyiket könnyebb. Nincsenek illúzióim, hogy ez a forms nem valami Random Gizike titkárnő google accountjával lett létrehozva, aki mindenhova ugyanazt a jelszót használja, amit ráadásul rajta kívül a fél iskola ismer... Mennyi ideig tarthat ezt "megtörni"?
Engem leginkább az zavar, hogy bedobják ezeket az adatokat a google nagy kalapjába, ami mindent elemez és tud rólunk, aztán ki tudja, kik férnek még hozzá ezekhez az adatokhoz. Az önkori rendszerén kicsi az esély arra, hogy elemezgetnék vagy továbbadnák a feltöltött adatokat.
Ráadásul továbbra sem értem, hogy miért kellenek szenzitív adatok egy ebédrendeléshez? Gyerek neve, anyja neve (esetleg melyik osztályba jár) bőven elég lenne, és megoldaná az azonos nevű gyerekek problémáját is.

Azért kérnek egy rahedli adatot, hogy ha kiderül, hogy minden nyolcadik ember rosszul/hiányosan/elgépelve tölti ki, még be tudja azonosítani, hogy kiről van szó :) Hogy ez így jó-e, az más kérdés. Ha elmész a Fundamenta weboldalára és a havi befizetést kártyás tranzakcióval teszed meg, akkor ki kell tölteni a szerződésszámot (innentől minden adat felesleges), de még: név, anyja neve, születési hely és idő, TAJ szám, email cím. Például mert véletlenül másvalaki szerződésszámát adod meg, akkor később ki tudják bogozni.

--
arch,ubuntu,windows,android
zbook/elitebook/rpi3/nexus5_hammerhead

"Engem leginkább az zavar, hogy bedobják ezeket az adatokat a google nagy kalapjába, ami mindent elemez és tud rólunk, aztán ki tudja, kik férnek még hozzá ezekhez az adatokhoz."
Ha ez így van, akkor ugye már felnyomtad az adatvédelmi hatóságnál a GDPR súlyos megszegése okán?

"Ráadásul továbbra sem értem, hogy miért kellenek szenzitív adatok egy ebédrendeléshez?"
Mert nem tudod, hogy valójában hogy működik. Mert ezt adminisztrálni kell az iskolában (gyerek neve, osztálya), a KLIK-nél (OM azonosító), az önkormányzatnál (lakcím, sz.ig.száma), az e-mail és a tel.szám pedig a probléma esetén szükséges kapcsolattartási adatok. Nehogy azt hidd, hogy ezt az iskola gazdaságisa jókedvében gyűjti csak be.

Semmiféleképpen sincs rendben.
Bosszankodó on:
A gugli az egy ámerikai cég, tessék itt az egész életünk. Töltsük fel mert ingyé van a hely jeeee
Nem is értem, Európának miért nincs saját guglija vagy bármilye. Amerika bármikor mutathatja középső ujját, nem kell messze menni időben „huawei”.
Főleg állami szervezet ennyire igénytelen pfujjj…
/OFF

A legtöbb intézménynek halvány lila fin…. sincs a digitális veszélyekről. Épp itt lenne az ideje bevezetni a dolgozókat ----- mit is jelent az ha megtörik a rendszerüket, vagy mi az hogy „social engineering” vagy… vagy…

Story:
Imádom, mikor valaki gépét hegesztem és hozzáteszi, ezt a jelszavat használom egyébként mindenhol. Ilyenkor csak nézek rá, mosolygok, és megkérem hogy ismételje meg azt amit mondatot, hogy érezze. 80% -nál nem szokott leesni a tantusz :)

Azért nincs európának saját google-ja, mert nincs (nem volt) európának Larry Page és Sergey Brin féle kettőse. Ráadásul a keresés így a leghatékonyabb, hogy egy nagy globális kereső bedarál mindent. Volt sok kereső régen, ha emlékszel erre, de azok szép lassan kihaltak. Nem azért mert szemét google, hanem mert Larry Page és Sergey Brin. Mert a legjobb volt.

(Tetszik az idealizmusod (a naivság sértő lenne, így az idealizmus szebb ide), hogy csak ez a 2 ember és a csapata miatt lett a Google ilyen nagy és világcég. Biztosan igazságosabbnak láthatod a világot mint én, és ez jó. Nem is akarlak ebből kizökkenteni. Nem is írtam semmit, vedd úgy.)

Sakk-matt,
KaTT :)

Nos akkor mi másért? Volt két olyan ember európában, aki hasonló oldalt gyártott és meg volt bennük a tehetség, hogy felépítsenek ehhez egy ilyen céget? Én nem tudok ilyenről.

Igazad van.

Sakk-matt,
KaTT :)

Hogy most mit csinál a gugli és, hogy mitől teheti azt, amit most tesz, az nagyon két dolog.
Ők kivételesen tényleg azért darálták be a többi keresőt, mert (sokkal) jobbak voltak.
Az így megszerzett előny (értsd hatalom) használata nagyon más kérdés. Ide értve azt is, hogy az előnyt hogyan tartja meg.
Szerintem....

ha a facebooknak megadtad akkor megadhatod a guglinak is.

--
GPLv3-as hozzászólás.

Holy :D

Ha már egyszer fának mentél, akkor legközelebb is mehetsz...elég volt neki egyszer, nem kell azt tovább fokozni :D

Szerintem sincs rendben a dolog, de kötve hiszem, hogy a Google "Adat(megnem)védelmi irányelvei" lenne a fő gond.
A gond szerintem a tájékozatlan iskola, a felelősség meg a tájékozott, vagy épp felelőtlen felhasználó feje felett lebeg.

Más kérdés hogy ha az iskola a Google-lel karöltve azt mondja, már pedig ez gdpr patent, akkor nyugodt szívvel adják-e meg az emberek az adataikat?
Továbbá az iskola már elvileg eleve rendelkezik ezen adatok zömével, ha nem mindennel?

De hát ilyen a "tudomány". az első lépés mindig bukás...aztán már csak bukdácsolás...aztán lassan beindul, halad...és rohamtempóval száguld....
Ilyen ez a GDPR is...eddig többségében bukás, pár területen pedig kezd bukdácsolni....

Én google formson tuti nem adnék meg semmit...ha gdpr, ha nem....

Holy :D
Ha már egyszer fának mentél, akkor legközelebb is mehetsz...elég volt neki egyszer, nem kell azt tovább fokozni :D

Kicsit sánta a hasonlat, de sebaj. Úgy lenne jó, ha azt írtad volna, hogy egyszer nekiment az összes fának egyszerre ...

Gondolod, hogy az FB átadja a többi cégnek is, pl. Google? Szerintem többet keresnek azzal, ha csak következtetéseket adnak át, keresési eredményeket, nem magát a nyers adatot.

Amúgy ez olyan, mint a marihuana legalizálásra az egyik filozófus válasza: "Attól, hogy az alkoholnál elkövettük a legalizálás hibáját, nem kell még megismételni."

Az a filozófus biztos részedést kap valamelyik mexikói drogbárótól.

A FB-nek semmi szín alatt nem adom meg a *személyi igazolványom számát*, *lakcímemet* és a gyerekeim OM-azonosítóját!

A mobil számomba már beletörődtem, azt tudja a fél világ, de a fentieket nem szívesen adom ki egy bizonytalan biztonsági szintű on-line felületen.

nézd, akkor lenne jogos ez az óvatoskodás, hogyha nem lennétek fenn a facebookon.

Szóval nyugodtan megadhatod, rosszabb már nem lesz.

--
GPLv3-as hozzászólás.

A FB máshogy rossz, mint ez. Abba beletörődtem az előnyei miatt, de okmányszámomat, jelszavamat, azonosítószámot, stb. soha nem töltök fel FB-re.

Úgyhogy ha ellenőrizetlenül kerülne ki a személyi igazolvány számom az on-line világba, az igenis rosszabbá tenné a dolgokat.

Szerintem nem jó, de erős kérdés, hogy mit tudsz kezdeni. Itt ugyanis tipikusan valaki megcsinálta a form-ot, hogy ne papíron kelljen a szülőknek szívni. Az iskola, a fenntartó vagy tud róla és nincs jobb megoldása, vagy nem tud. A magyar állam olyan, hogy stadionra van pénz, de iskolára nem és hát a szülők is kínlódnak minden 1000 Ft-on.

Szóval óvatosan kérdeznék és javasolnék, mert nem tudhatod hány ember munkáját teszed pokollá egy esetleges papír alapú visszaállással. (Lefejleszteni nem nagyon szokták és még csak azt sem tudhatod, hogy azzal beljebb vagy e, 1000 éves gépen, kőkori PHP-vel, kocafejlesztői projekt.)
--
https://naszta.hu

+1

Igen, én is inkább az intézmény "helyzetében" látom a főbb problémát.
Lényeg hogy a szándék nemes volt.

Nem, semmiképp nem akarok "robbantani", csak finoman érdeklődni. És megtudni, milyen szintű a kockázat.

A reakciókból azt szűrtem le, hogy a hozzászólók többsége nem tartja igazán korrekt megoldásnak ezt, talán jogilag se stimmel (külföldi szerveren tárolják az adatokat), de nem kifejezetten kockázatos ez a művelet.

Nem a G a valódi kockázat, hanem az űrlap kezelője. Az űrlap alján ott a G Terms of service-a, az iskola hol tette közzé? Nagy összeggel mernék rá fogadni, hogy a G jobban odafigyel a GDPR-ra, mint az iskola(i ügyintéző). Jogilag pedig semmi nem tiltja, hogy külföldi szerveren legyenek az adatok.

Az eddig papíron beadott adatok esetében mit tudtál arról, hogy azokkal mi történik, nem egy personal G Sheetsbe gépelte-e át az ügyintéző?

Nem értem, ezzel mit akartál mondani.

Valamiért valami... A Google ad szolgáltatást, cserébe adatokat kér. Kérhetne akár pénzt is. Amíg nem akarsz robbantani, vagy nem szidod valamelyik kisebbséget, addig a kutyát nem fogják érdekelni az adataid.

-fs-
Az olyan tárgyakat, amik képesek az mc futtatására, munkaeszköznek nevezzük.

"a kutyát nem fogják érdekelni az adataid."

De, érdekelhetik. Pl. azokat, akik csak gyűjtögetik a személyes adatokat és mondjuk egy iskolai Google-fiók feltörésével pár száz szülő nevéhez, lakcíméhez, szig. számához hozzáférnek, és ezt kicsit kiegészítve (pl. egy arcképpel) mondjuk hitelt vesznek fel a nevemre. Ezek persze kisstílű dolgok, csak nekem (és a többi szülőnek) lehetnek kellemetlenek. Az ilyen kisstílűek nem is törnének be egy iskolába, hogy ott a papír alapú könyvelést ellopják és begépelgessék, de egy hekkerpistike is meg szociáélshekkelheti az iskolatitkár Google-fiókját és kevés munkával sok használható adathoz juthat.

hitelt nem kapsz személyes okmány nélkül "seholsenemse"...okirat hamisítás elég meredek dolog.

Angliában identity theft-nek híják, amikor valaki más személyes adatait megszerzi és azokkal visszaél.

Szoktak más nevében hitelt felvenni. És igen, a bankok megpróbálnak többféle igazolást is szerezni, hogy az ember az, akinek mondja magát, de egy olyan országban, ahol nincs személyi, az útlevél és a jogosítvány nem kötelező, és a legtöbb ügyintézést levélben lehet végezni, valószínűleg könnyen találnak az erre szakosodott szakemberek kihasználható lukakat.

Én persze nem néztem utána a témának, de első körben megnézném, hogy tudok-e levélben úgy jogosítványt igényelni, hogy különösebb ellenőrzés nélkül kapjak egy igazolványt. Azt tudom, hogy alapból adószámot szeretnének egy jogsi igényléskor, és ha az nincs, akkor bonyolultabb. De most így 1 perc gondolkodás után csak odáig jutottam, hogy akkor ha megszerzem valaki nevét, születési dátumát adószámát, talán tudnék igényelni egy jogsit valami random fényképpel (amire persze valaki ráírja hátul, hogy tanúsítom, hogy ez úgy néz ki, mint a fent nevezett akárki) és valami olyan címmel, ahol hozzáférek a levelekhez.
Ha ez igaz, lenne egy valós jogsim, hamis fényképpel valami random lakcímmel. Megpróbálhatnék hitelt igényelni vele. Valószínű egy jogsi messze nem lenne elég, de az igényelt 2-3-4 igazolás egyikeként felhasználható. Esetleg rögtön kettő, ID és lakcím. Bár lehet, hogy a cégek két külön igazolást kérnek a két dologra.

jó de itt most magyarországon vagyunk egyelőre!:D itthon esélyt nem látok rá hogy pusztán a személyes adataival, okmányok nélkül bárki is hitelt kaphat.

?

Gyenge a fantáziád, az a baj. :)

--
arch,ubuntu,windows,android
zbook/elitebook/rpi3/nexus5_hammerhead

Persze előfordulhat hogy egy innovatív dolgozó magánakciója, de az oktatási intézmények számára a gapps ingyen van. Ez ugyanaz a szerződött gapps mint amit a magyar kkv szektor komoly százaléka használ, csak a havi számlán 0 szerepel. És bár én is jobban örülnék egy EU host-olt cloud-nak, amíg az nincs, Google vagy Microsoft az elérhető árú megoldás. Saját szerver még megoldható adományból, de ki fogja üzemeltetni? Egy magára hagyott szerver meg rosszabb, mint ha random amerikai szolgáltatónál lenne.

Kelkáposztafőzelék vs. GDPR
--
God bless you, Captain Hindsight..

Első körben természetesen bármilyen adatot kér_het_ az iskola vagy bárki ilyen módon, de akár nyílt levelezőlapon is, ezzel nincs gond.
Ismerve a magyar rögvalóságot, én az ilyen "szülő rögzíti, megy xls-be, onnan meg betöltik az ebédrendelős rendszerbe" megoldást még az adatkezelési aggályok ellenére jobbnak tartom, mint a papíron beküldött adatok bepötyögését - és a papíroknak az ide-oda dobálását, majd pedig sima kukázását.
Nekem sokkal durvább felismerés volt, hogy az egyik ilyen rendszerben az ügyintéző(!) adott jelszót, és azt nem lehetett megváltoztatni(!) - ha elfelejtetted, akkor goto ügyintéző...

Tudok jobbat:
Amikor új személyit csináltattam, meg kellett adnom egy PIN kódot, amivel a digitális aláírást használhatom majd. Bementem az okmányirodába, odaadtam a személyit. Erre az ügyintéző:
-Akkor mondja a PIN kódot, és én beállítom.

Én ebben a pillanatban köszöntem volna meg a segítségét... Mondjuk én azzal indítottam az átvételnél, hogy tudom, mit kell csinálni aktiváláshoz, van kártyaolvasóm, úgyhogy majd otthon megcsinálom. És meg is csináltam...

Ezért kell saját olvasó. Úgy csak +10 percig ismeri a jelszót. :)
--
https://naszta.hu

Én csak azt nem értem, egy ebéd rendeléshez minek ezek az adatok?

--
Soli Deo Gloria

Ez jogos kérdés

Bizonytalan felvetés, de elképzelhető hogy bizonyos esetekben kedvezménnyel vagy ingyen kap a gyerek ebédet, és ennek az ellenőrzésére szolgálnak az adatok.

--
arch,ubuntu,windows,android
zbook/elitebook/rpi3/nexus5_hammerhead

"Mennyire nagy a kockázata, hogy így illetéktelenek jutnak hozzá ezekhez az adatokhoz?"

Valószínűleg sokkalta alacsonyabb, mintha csináltak volna rá egy cél-weboldalt, amit alapból egy évek óta nem frissített szerverre tennének és egyik használt szoftvert vagy keretrendszert se frissítik soha többé. Ugyanez igaz a központi megoldásokra, sok intézményt például azért nem érintett anno a heartbleed, mert még olyan régi libssl-t használtak, amiben még nem volt benne a sebezhetőség.

"Ha számottevő a kockázat, akkor mit lehet tenni, merre induljak el? Törvény egyáltalán enged ilyen bekérést?"

Szerintem szarjál rá. Persze, ha egyéb dolgok miatt nem vered az asztalt a közoktatásban és csak azzal van már bajod, hogy milyen módon oldják meg az ebédre való jelentkezést, egyébként meg eljutottak a nirvánába, akkor persze, verd ki a balhét ez miatt.

"Lehet, hogy az iskola valami külön szerződésben áll a Google-lel és az biztosít nekik valami védelmet? (Akkor ezt miért nem írják ki?)"

Ingyen kapják a GSuite-ot szerintem. Milyen külön védelemre kell gondolni?

"Vagy túlaggódom a kérdést?"

Szerintem kurvára.

--
https://iotguru.live

Meglepődnék ha fizetős google szolgáltatást kapna az államtól ingyen az iskola - maximum microsoft -ost.

--
arch,ubuntu,windows,android
zbook/elitebook/rpi3/nexus5_hammerhead

"G Suite for Education is a suite of free Google apps tailored specifically for schools. Deliver value with built-in, multi-layer security, and 24/7 support at no additional cost."

--
https://iotguru.live

Így már érthető :)

--
arch,ubuntu,windows,android
zbook/elitebook/rpi3/nexus5_hammerhead

Nagyon nincs ez így jól! Hasonló cipőben járok, és különcnek számítok (még), amiért szembe mentem az árral, és nem, nem adtam meg a gyermekeim és saját adataimat egy olyan idegen külföldi felületen, amiről nem tudom, hogy valójában hova kerülnek a személyes adataim, és hogyan használják fel. És most ne menjünk bele abba a parttalan vitába, hogy a szerződésben, ha van, mi van leírva, mi változhat, stb. Nem akarok szerződéseket megérteni, elhinni, foglalkozni velük, stb. Ez a hozzáállásom kényelmetlenséget okoz az életünkben, de nyugodtabb vagyok. Felelősséget érzek a gyermekeim és saját adataim iránt! Majd ha nagyok lesznek, akkor egy adott pillanatban, egy kritikus helyzet után meg fogják ezt köszönni. Egyébként meg ha ebédbefizetés, akkor azt Manci néni kezeli. Ha pedig modernizálunk, akkor kapjon accot egy agilis diák a suli szerverére, készítsen egy online ebédbefizetést kezelő alkalmazást, és akkor már csak tiszteletből is megadom gond nélkül a gyermekem nevét, osztályát, mikor és mennyit fizettem be, A vagy B menü, repeták lehetséges száma, uzsonna kakaó vagy teljes kiőrlésű, stb.

"Felelősséget érzek a gyermekeim és saját adataim iránt!"

majd

"akkor kapjon accot egy agilis diák a suli szerverére, készítsen egy online ebédbefizetést kezelő alkalmazást"

Na, ez az igazán biztonságos megoldás, gondolom azonnal foltozzák a 0day sebezhetőségeket... ja, nem, lófaszt, nem is tudnak róla, hogy van olyan, azt se veszik észre, ha a fél világ lopja a személyes adatokat. Jók ezek az adatszivárgással kapcsolatos mély szakmai alapokon nyugvó kockázatelemzések.

--
https://iotguru.live

+1 vicc ez az egesz

eleve minek szigszam ebedrendeleshez, de ha mar bekerjuk, akkor legyszi ne ilyen tekolt megoldassal, hogy a szamtech szakkoros tizenketeves egyszer implementalja, aztan hozza se szagolnak tobbet

Mert "hozzászoktak", hogy...

A kérdezővel együttérzek de ezek kikerülhetetlen dolgok. Nekem az egyetemen többször is kellett google form -os szart kitöltenem, például a záróvizsgára jelentkezéskor. Neptun kód, név, meg a rák tudja még milyen adatokat _kellett_ feltölteni. Ha nem töltöd fel, nincs záróvizsga. Megjegyzem szégyenletes hogy valakinek (gondolom tanszéki mindenes) a (gondolom) személyes google fiókjával összerántott űrlapon volt kötelező ezeket közlekedtetni - egy műszaki egyetemen, informatika tanszéken.

--
arch,ubuntu,windows,android
zbook/elitebook/rpi3/nexus5_hammerhead

Mivel a gyermeket csak neve alapján nem minden esetben lehet beazonosítani (senki ne mondja, hogy egy iskolában csak 1 Kis Nikolett lehet tanuló(sőt, egy osztályban is lehet 2 Nagy Sándor, nekünk is volt) ), ezért a tanuló OM azonosítója, mint egyedi azonosító, még érthető, hogy bekérik.
A többi adat, amit felsoroltál, már szintén az iskola birtokában van...hogy mit kezdenek vele, más kérdés. Sajna pár éve megkerestek iskolából rendszergazdának, egyszerűen nevetséges összegért. Ebből következően nem hiszem, hogy túl sok iskolában lenne, aki teljes mértékben figyel az adatbiztonságra.
A mai világban egyébként (és ez csak az én véleményem) a kockázat mértéke kiszámíthatatlan. Bárki, bárhol, bármikor dönthet úgy, hogy na akkor most ezt a sulit megtörtjük. Törhetetlen rendszer nem létezik.

Ezért aztán hogy ki, hova, milyen adatokat ad meg, egyéni habitustól függ, a mai világban tökéletes biztonságban sehol, soha nincsenek az adataid.

...szerintem...

"Bizonyos embereket megnyugvással tölthet el a tény, miszerint a medúzák nagyon régóta élnek a földön agy nélkül."

Nyilván tökéletes biztonságban sosem leszel, de törekedni azért lehet. Például a google-ös fosok helyett lehet helyben üzemeltetni infrastruktúrát, és máris ismert lesz az adatok tárolásának helye és eljárása. De ehhez meg pénz kell, és itt kell eldönteni, hogy a vélt vagy valós kockázat indokolja-e.

--
arch,ubuntu,windows,android
zbook/elitebook/rpi3/nexus5_hammerhead

Én tényleg csak kapkodom a fejem, hogy szakmabeliek is képesek úgy gondolni, hogy egy erősen erőforrás hiányos területen egy szívességből megírt és szívességből üzemeltetett alkalmazás egy arra alkalmatlan infrastruktúrán biztonságosabb és védettebb, mint egy erre kifejlesztett millió helyen használt faék egyszerűségű form.

Értem én, hogy vannak, akik elvi okokból nem adják oda a Google-Amazon-Facebook-Microsoft-... cégeknek a felhőbe az adataikat, de akkor ezt kell mondani és ennyivel zárni a mondatod. De arról elkezdeni ábrándozni, hogy nem biztonságos és egy helyben üzemeltetett infrastruktúrán majd sokkal biztonságosabb helyen lesznek az adatok... azt nem tudom hova tenni.

--
https://iotguru.live

Az a baj hogy átfutod amit mások írnak és elkezdesz valami légvár ellen harcolni, amiről szó sincs :) Azt mondtam, hogy lehet úgy is dönteni, hogy saját hardverek, szoftverek vásárlásával és szakértelem bevonásával el lehet kerülni a google "ingyen" jóvilágát. Persze, ez mondjuk magyar iskolákról lévén szó, 10 esetben 9szer megoldhatatlan, hiszen se pénz, se szakértelem, ezt tudjuk. De ha mégsem erről van szó, akkor van egy csomó alternatíva (helyben üzemeltetett Microsoft szerver oldali cuccok, vagy egy rendes intézményi synology - elég komoly alternatívákat tudnak lerakni az asztalra, onprem üzemeltetett google docs helyettesítőtől kezdve mindenfélével).

A hozzáértő végzős Pistike által összetákolt "infra" és csodaszoftver nyilván fel sem merül alternatívaként, akinél meg igen, az nem gondolta végig.

--
arch,ubuntu,windows,android
zbook/elitebook/rpi3/nexus5_hammerhead

"smert lesz az adatok tárolásának helye és eljárása" - mármint az, hogy tervek szerint hol, hogyan fogják tárolni. Az, hogy ki és milyen jogosítás alapján, hogyan fér hozzá, milyen visszakereshető naplózás mellett, meg hogy ki és hogyan vizsgálja az adatok gyűjtésére és tárolásra szolgáló rendszer biztonságát - na az pont nem, mert ezeket szokás nagyívben lekakkantani.

Elmondom, hogy egy ilyen horderejű dolognak milyen az adminisztrációja mifelénk:

Évnyitó szülői értekezleten az osztályfőnök kioszt egy tájékoztatót, kb 10 sor és egy "kérdőívet" 3-4 kérdéssel, kb ilyenekkel:

- kell napközi igen/nem
- kell tízórai igen/nem
- kell ebéd igen/nem
- kell uzsonna igen/nem
- hazamehet-e a gyerek egydül igen/nem

bocs, ez 5 kérdés. Másnap a gyerek visszahozza a papírt és a standard létszámot leadják a konyhán (az iskolatitkár összesít).

Nagy valószínűséggel itt túlbuzgó személyzet áll a háttérben.

> Sol omnibus lucet.

Másnap a gyerek visszahozza a papírt és a standard létszámot leadják a konyhán

Ezt ugye valaki végignyálazza. Ezt a munkát spórolja meg/automatizálja épp a helyi munkaérő, hogy hasznosabban teljen az ideje. Nem tudom elítélni érte.
--
https://naszta.hu

A munka nincs megspórolva, csak más végzi el.

Az osztályfőnök leadja a titkárságra így, hogy: 3. osztály 18 napközi 25 tízórai, 22 ebéd 20 uzsonna. Rohadt nagy munka és tényleg automatizálni kell.

> Sol omnibus lucet.

Minthogy a kajáért fizetni kell, rögtön név szerint kell a rendelést leadni, az sem mindegy, hogy kedvezményre jogosult-e az adott gyerek vagy sem, ráadásul úgy hogy a "Kis Béla 3.a osztály" nem biztos, hogy egyedi azonosítást tesz lehetővé - szóval nem ennyire egyszerű a dolog...
Mivel fizetni kell, így a fizetési mód is befolyásolja, hogy milyen egyéb adatokra van szükség (kp. esetén név, cím a számlára, átutalásos számla esetén például egy e-mail cím, ahova a számlát lehet küldeni, satöbbi).

Tényleg, ezeket a felvetett kérdéseket google táblázattal kell megoldani és nem a gyerek oktatási azonosítóját kell használni, hanem az apja-anyja személyiszámát.

Szinte csoda, hogy vannak iskolák, akik boldogulnak google-form nélkül.

> Sol omnibus lucet.

Nem apja-anyja személyi számát. Kell az étkeztetést igénybe vevőt azonosítani (gyerek neve, osztálya, OM-azonsoítója), kell a térítési díjat fizető megrendelőt azonosítani (szülő/gondviselő neve, számlázási adatai, mert a gyermek ilyen téren nem jogképes!), illetve kell a megrendelő elérhetősége, a megrendeléssel kapcsolatos kapcsolattartáshoz.
Vannak iskolák, igen, ahol "ebédbefizetés reggel fél kilenc és fél egy között", tessék befáradni, papíron leadni az aláírt megrendelést, amiben nagyjából ugyanezek az adatok szerepelnek, amit az iskolatitkár szépen be fog pötyögni a megfelelő helyre (pl. Multischool3), hogy a befizetést megfelelően tudja bizonylatolni - merem remélni, hogy olyan azért már nincs, ahol bevételi pénztárbizonylat plusz kézi számla párossal dolgoznak.

meg hogy mondjam, régen az átkosban én emléxem a tej-kakaóra. ált isk 5.-től felfele mindig egy jobb képességű gyerek volt a tej-kakaó felelős. Összeírta, begyűjtötte a pénzt aztán leadta. Járt érte egy 5-ös neki. Szevasz, nem pedig ez sírás-rívás tologatás ment...

--
GPLv3-as hozzászólás.

Volt akkor áfás számla?
Érdekeltek bárkit a diétás étkezést igénylők? Vagy az állam kért bizonyítékot?
NYILATKOZAT a Gyvt. 21/B. § (1) bekezdés b)-d) pontja és a Gyvt. 21/B. § (2) bekezdése szerinti ingyenes vagy kedvezményes intézményi gyermekétkeztetés igénybevételéhez (8. melléklet)
328/2011. (XII. 29.) Korm. rendelet
a személyes gondoskodást nyújtó gyermekjóléti alapellátások és gyermekvédelmi szakellátások térítési díjáról és az igénylésükhöz felhasználható bizonyítékokról

Bocs de ezeket az állam kényszeríti rád.
Vidd magániskolába, pl SEK Budapest International School.

Miért ne lenne rendben? Ameddig van egy jól megírt adatvédelmi nyilatkozata az iskolának, amiben leírják hogy a Google tárolja az adatokat, meg a többi dolgot, hogy ki fér hozzá, miért kérik, mikor törlik stb. addig teljesen rendben van. Persze ha nem fogadod el az adatvédelmi nyilatkozatot, akkor nem vagy köteles megadni így az adatokat.
ha nincs ilyen adatvédelmi nyilatkozatuk, az baj.
Ha illetéktelen hozzáférnek az adatokhoz, akkor az az adatkezelő (iskola) felelőssége, nekik kell ilyenkor kártérítést fizetniük.

Kedves HUP-osok!

Kösz a sok választ. A következőket szűrtem le a többség véleménye alapján:

1) Nem kifejezetten kockázatos az ügy. Maga a Google űrlap jól védett, ha az, aki definiálta (nem tudom ki), vigyáz a jelszavára.
2) Formailag itt-ott szabálytalan, törvénnyel ellentétes lehet (külföldi szerveren való tárolás, nincs adatvédelmi nyilatkozat), de ez engem nem érdekel, nem akarok kötözködni és nehezíteni az iskola túlterhelt dolgozóinak munkáját.

Ez nagyjából az átlagos vélemény, amit el tudok fogadni. Eltérések mindkét irányban vannak a véleméynekben, de ez természetes.

Még egyszer kösz.

Milyen törvénnyel ellenkezik, hogy külföldi szerveren tárolják az adatokat?

Nem tudom. Azért kértem segítséget és az egyik válaszban valaki azt írta, hogy az olyan személyes dolgot, mint a személyi igazolványszámom, nem kellene külön engedély nélkül külföldi szerveren tárolni. Én elhittem annak, aki ezt írta, mert nem jártam utána, hisz engem igaziból nem zavar.

Ezek szerint aki azt írta, hogy a szig.szám-név-lakcím kombó tárolása külön bonyodalom nélkül nem szabályos külföldi szerveren, az tévedett? (Bármi is a válasz, engem nem nagyon hat meg.)

Az a valaki, aki ezt írta (és ebben tévedett), az egészen konkrétan te voltál. :D
https://hup.hu/node/165530?comments_per_page=9999#comment-2380388

szia

A gyerekek iskolájában bevezették a menzakártyát (igen egy bankkártya méretű kártya amit lehúz a gyerek az étkezőben)
Van egy weboldaluk, oda kellett regisztrálni mint szülő (tehát nem kell 2 profil ha 2 gyereked van mint a Krétánál meg a mozaNaplónál volt)
Mindegy gyereknek van egy azonosítója ezt odaadták és így lehet a gyereket a profilhoz rendelni. Utána itt lehet rendelni reggelit, ebédet és uzsonnát napra bontva (1 kattintással az egész hónapot egyből ki lehet választani). A rendszer szól előre hogy a köv hónapra nem rendelték még. A megrendeléseket azonnal kártyával lehet fizetni. Lemondani is lehet, a rendszer számolja az egyenleget és legközelebb annyival kevesebbet kell fizetni. Lemondani CSAK ebédet nem lehet, tehát nincs olyan hogy csak reggeli és uzsonna, és ez elég logikus.

Javaslom az iskolának említsd meg ezt a rendszert, bár valószínűleg már tudnak róla, csak nem biztos hogy triviális a bevezetése (kártyaolvasó, központi engedélyek stb)

üdv

--
ESET és Synology hivatalos viszonteladó

Ez egy értelmes megközelítése a dolgoknak. Nagyobb iskolánál, külső kaja-beszállítónal ez a korrekt megoldás.

> Sol omnibus lucet.