Merge branch 'MDL-67696-master' of https://github.com/JayChurchward/moodle
[moodle.git] / admin / tool / dataprivacy / createdatarequest.php
1 <?php
2 // This file is part of Moodle - http://moodle.org/
3 //
4 // Moodle is free software: you can redistribute it and/or modify
5 // it under the terms of the GNU General Public License as published by
6 // the Free Software Foundation, either version 3 of the License, or
7 // (at your option) any later version.
8 //
9 // Moodle is distributed in the hope that it will be useful,
10 // but WITHOUT ANY WARRANTY; without even the implied warranty of
11 // MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
12 // GNU General Public License for more details.
13 //
14 // You should have received a copy of the GNU General Public License
15 // along with Moodle.  If not, see <http://www.gnu.org/licenses/>.
17 /**
18  * Prints the contact form to the site's Data Protection Officer
19  *
20  * @copyright 2018 onwards Jun Pataleta
21  * @license http://www.gnu.org/copyleft/gpl.html GNU Public License
22  * @package tool_dataprivacy
23  */
25 require_once('../../../config.php');
26 require_once('lib.php');
27 require_once('createdatarequest_form.php');
29 $manage = optional_param('manage', 0, PARAM_INT);
30 $requesttype = optional_param('type', \tool_dataprivacy\api::DATAREQUEST_TYPE_EXPORT, PARAM_INT);
32 $url = new moodle_url('/admin/tool/dataprivacy/createdatarequest.php', ['manage' => $manage, 'type' => $requesttype]);
34 $PAGE->set_url($url);
36 require_login();
37 if (isguestuser()) {
38     print_error('noguest');
39 }
41 // Return URL and context.
42 if ($manage) {
43     // For the case where DPO creates data requests on behalf of another user.
44     $returnurl = new moodle_url($CFG->wwwroot . '/admin/tool/dataprivacy/datarequests.php');
45     $context = context_system::instance();
46     // Make sure the user has the proper capability.
47     require_capability('tool/dataprivacy:managedatarequests', $context);
48 } else {
49     // For the case where a user makes request for themselves (or for their children if they are the parent).
50     $returnurl = new moodle_url($CFG->wwwroot . '/admin/tool/dataprivacy/mydatarequests.php');
51     $context = context_user::instance($USER->id);
52 }
53 $PAGE->set_context($context);
55 // If contactdataprotectionofficer is disabled, send the user back to the profile page, or the privacy policy page.
56 // That is, unless you have sufficient capabilities to perform this on behalf of a user.
57 if (!$manage && !\tool_dataprivacy\api::can_contact_dpo()) {
58     redirect($returnurl, get_string('contactdpoviaprivacypolicy', 'tool_dataprivacy'), 0, \core\output\notification::NOTIFY_ERROR);
59 }
61 $mform = new tool_dataprivacy_data_request_form($url->out(false), ['manage' => !empty($manage)]);
62 $mform->set_data(['type' => $requesttype]);
64 // Data request cancelled.
65 if ($mform->is_cancelled()) {
66     redirect($returnurl);
67 }
69 // Data request submitted.
70 if ($data = $mform->get_data()) {
71     if ($data->userid != $USER->id) {
72         if (!\tool_dataprivacy\api::can_manage_data_requests($USER->id)) {
73             // If not a DPO, only users with the capability to make data requests for the user should be allowed.
74             // (e.g. users with the Parent role, etc).
75             \tool_dataprivacy\api::require_can_create_data_request_for_user($data->userid);
76         }
77     }
79     if ($data->type == \tool_dataprivacy\api::DATAREQUEST_TYPE_DELETE) {
80         if ($data->userid == $USER->id) {
81             if (!\tool_dataprivacy\api::can_create_data_deletion_request_for_self()) {
82                 throw new moodle_exception('nopermissions', 'error', '',
83                     get_string('errorcannotrequestdeleteforself', 'tool_dataprivacy'));
84             }
85         } else if (!\tool_dataprivacy\api::can_create_data_deletion_request_for_other()
86             && !\tool_dataprivacy\api::can_create_data_deletion_request_for_children($data->userid)) {
87             throw new moodle_exception('nopermissions', 'error', '',
88                 get_string('errorcannotrequestdeleteforother', 'tool_dataprivacy'));
89         }
90     }
92     \tool_dataprivacy\api::create_data_request($data->userid, $data->type, $data->comments);
94     if ($manage) {
95         $foruser = core_user::get_user($data->userid);
96         $redirectmessage = get_string('datarequestcreatedforuser', 'tool_dataprivacy', fullname($foruser));
97     } else if (\tool_dataprivacy\api::is_automatic_request_approval_on($data->type)) {
98         // Let the user know that the request has been submitted and will be processed soon.
99         $redirectmessage = get_string('approvedrequestsubmitted', 'tool_dataprivacy');
100     } else {
101         // Let the user know that the request has been submitted to the privacy officer.
102         $redirectmessage = get_string('requestsubmitted', 'tool_dataprivacy');
103     }
104     redirect($returnurl, $redirectmessage);
107 $title = get_string('createnewdatarequest', 'tool_dataprivacy');
108 $PAGE->set_heading($SITE->fullname);
109 $PAGE->set_title($title);
110 echo $OUTPUT->header();
111 echo $OUTPUT->heading($title);
113 echo $OUTPUT->box_start('createrequestform');
114 $mform->display();
115 echo $OUTPUT->box_end();
117 echo $OUTPUT->footer();