GDPR-tråden?
 

Hej! Är det någon här med erfarenhet i att hantera GDPR tekniskt? Vi kanske kan hjälpa varandra komma till slutsatser om vad som faktiskt ska göras. Har läst igenom datainspektionshemsida men det känns som det inte finns så många specifika exempel utan det är mycket för tolkning.

En del säger GDPR är som PUL osv. Men en del säger det är mycket mer än så. Inget vet exakt, alla "arbetar med det".

Frågor jag undrar över som någon kanske kan ge input på för er som kommit längre i dessa frågor.

- Dataportabilitet: hur långt ner i databasen ska man gräva och anse vara personuppgifter? Är det relationsdata med 1:or och 0:or eller kan man hålla sig mer på toppnivåerna av en datastruktur?

- När någon ber om uppgifterna är det något ni kommer ge åtkomst direkt via en länk i "Mitt konto" eller ska man begära uppgifterna och få dom levererade på fil?

- Mjukvaror som vBulletin t.ex, och detta forum. Jag ska kunna få ett utdrag av all data på mig, samt alla mina inlägg. Sträcker det sig även till alla som svarat mig också? Ska det gälla alla inlägg som det getts like på?

- I en export, vad händer om ett namn på en annan person omnämns. Skall då en logg göras på varje logg i hierarkier. Jag menar, hur långt ska man dra det här? En person som får ett utdrag på sig kan ju potentiellt få med identifierbara uppgifter på en annan person...

- Hur hanterar ni backuper? Där data finns i komprimerade filer som lagras av dagar, veckor och i särfall månader. Skall alla dessa backuper gås igenom manuellt och saker ska radera för hand?

Jag vill inte ha en diskussion om GDPR är bra eller inte. Utan hur har ni löst saker rörande specifikt dataportabilitet.

Övriga frågor:

- Personuppgiftsbiträden är ju alla som har åtkomst till systemet på något sätt eller hanterar personuppgifter från systemet. Kommer ni ha fysiska avtal eller lösa det "digital" med kryssruta för åtkomst till X fil eller Y system där personuppgifter kan finnas?
Finns det kanske redan mallar för att föra ansvar över till biträden?

- Hur kommer ni leverera en fil med personuppgifter till en extern / intern person där personuppgifter måste med för att utföra en viss uppgift. T.ex tryckerier behöver adresser på personer för ett utskick. Eller en person med uppdrag som ska utföra en kurs behöver en deltagarlista. Hur gör ni överlämnandet av uppgifterna? slussar dom via en portal där dom hämtar sina uppgifter och där man måste godkänna något avtal? Måste det godkännas med bank-ID? Räcker verkligen bara emaila och säga "du får med denna fil ansvar" (då har man ju redan släppt iväg personuppgifterna)...

En djungel är det och jag hittar inga tydliga svar någonstans varken på svenska eller på engelska.

Hej,

Tar gärna mer diskussioner inom det här ämnet också rent tekniskt. Ett bolag jag jobbar med kommer att djupdyka hårt i det här nu. Så jag återkommer gärna i kontakt.

Men gällande:
- Hur hanterar ni backuper? Där data finns i komprimerade filer som lagras av dagar, veckor och i särfall månader. Skall alla dessa backuper gås igenom manuellt och saker ska radera för hand?

Om du säkerställer att du rensar alla personuppgifter av en som vill bli borttagen i din databas. Och inte sparar backuper längre än 30 dagar (där personligdata finns) så blir det ett självrensande system inom "skälig tid". Även om du tar timbackuper, dagligabackuper etc.

Tack, du säger "skälig tid". Finns detta i skrift någonstans eller är det något man tolkat från något text? Finns länk på det så att säga?

Hej Johnny,
jag ska se om jag kan hitta referensen vid tillfälle igen. Vi är del av en stor koncern som har gjort stora del av jobben och fått informationen den vägen.

Skulle nog vilja påstå att GDPR ger mindre utrymme för tolkning än PUL och att den är mer långtgående. Vi har själva också börjat titta på det men ännu inte implementerat något rent tekniskt. Det viktigaste att komma ihåg är att individen ges full kontroll över sin användardata och att lagen omfattar alla företag inom EU som sparar någon data alls som kan kopplas till specifika användare, oavsett om det görs internt eller externt. Denna data får inte heller lämna EU:s gränser.

Som svar på dina frågor:

Det har ingen betydelse var eller hur du sparar informationen utan allt som kan kopplas till en användare omfattas av GDPR.

Så vitt jag vet är det ingenting som finns specificerat utan det är väl upp till var och en att implementera på ett sätt som är lämpligt för just din verksamhet.

Rena inlägg borde vara kopplade till skribenten och ingen annan. Det blir svårt att tillämpa lagen praktiskt annars. Citat är jobbigare... Gränsfall och tveksamheter gör man nog bäst i att avvakta med innan det finns anledning att titta närmare på det. Till att börja med kommer säkerligen bara större företag och samhällsrelaterade tjänster att granskas i detalj.

Inte riktigt med på exakt vad du menar här men antar att det beror på vad det handlar om. Naturligtvis bör du inte skicka information om andra användare som inte redan är tillgänglig till någon men handlar det till exempel om att en person råkar nämnas av personen som efterfrågat sin data i ett foruminlägg så ser jag inget konstigt med att det kommer med. Kanske missuppfattat frågan?

Hur informationen lagras är irrelevant. Kan den fortfarande kopplas till användaren så är det upp till denne.

Jag lånar tråden lite också :)

Är det någon som har koll på vad detta innebär för alla företag som hanterar information kring transaktioner, köp och korthändelser? Kan jag kräva att all köphistorik från mina konton i nätbutiker raderas? Det kan ju ställa till problem för både mig och butiken...

Här kommer vi in på att om det finns krav enligt annan lagstiftning på att lagra uppgifterna gäller den. Här har du bokföringsregler som kräver att du sparar uppgifterna i sju år och då är det helt ok enligt dataskyddsförordningen (GDPR) också.

Jag har läst stora stycken av detta nu:
http://www.datainspektionen.se/datas...rdningstexten/

Mycket att läsa, men ger lite förtydligande. Det är dock väldigt mycket "bör" och "rimligt". Så det är ändå upp för tolkning efter vad man tycker man kan göra (man ska göra förstås så mycket man kan att skydda, minimera etc).

Vad jag väntar på är att man kanske kan hitta någon typ av standardmall för Samtyckesbiten där när någon registrerar sig så ger dom sitt godkännande att personuppgifter görs si och så med.

Sedan så stycken runt pseudoanonymisera personuppgifter. För jag vet att flera system inte alltid klarar av en "fysisk" radering. Man måste liksom mjukradera eller på annat sätt göra posten oanvänd och "borta".

Står så här:
"5. pseudonymisering: behandling av personuppgifter på ett sätt som innebär att personuppgifterna inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter används, under förutsättning att dessa kompletterande uppgifter förvaras separat och är föremål för tekniska och organisatoriska åtgärder som säkerställer att personuppgifterna inte tillskrivs en identifierad eller identifierbar fysisk person,"

Så det innebär väl att affärssystemet i sig kan behålla kundraden i databasen men att saker är anonymiserat (personnr, epost, adress etc). Men jag undrar lite hur man tänker att man ska ha ett separat system som gör att man kan uppgifter därifrån och återställa kunden i affärssystemet. Är det då ok att ha ett separat register ändå på personuppgifter? Luddigt och svårt att tolka till en praktisk tillämpning. Pratar de pärmar? Pratar de en annan databas ej tillgänglig via ett nätverk?

Jag skickade följande fråga till Datainspektionen:

Hur har det gått med svar Conny?

Jag har nämligen nu tekniskt i ett affärssystem implementerat Samtycken. Där man för olika sektioner av hur det samlas in personuppgifter kan ge sitt samtycke för det.

Problemet är ju att man även ska ha rätten att dra tillbaka sitt samtycke och enligt tolkningar så ska det innebära att det man gett samtycke för historiskt inom den delen av verksamheten ska därmed raderas.

Det är ju som du säger fullständigt orimligt att man ska kunna hatta fram o tillbaka med samtycken. Det är starkt systempåverkande.

Det är i detta fall t.ex bokningar för en kurs (eller resa) och man dagen efter tar bort sitt samtycke via Mitt konto så blir ju bokningsdatan ofullständig.

Någon med erfarenhet i hur man kan tolka och kanske friskriva sig från sånt här skit?

Principen att människor ska ha rättigheter över sina personuppgifter är ju bra, men en verklig implementation är det alldeles för få exempel av. Det är bara en massa "bör" i GDPR-lagen.

Jag har inte fått svar från Datainspektionen, fast jag skickade in denna fråga i November 2017.

Skickade förfrågan på nytt nu idag, får se vad det ger för något svar.

Mvh
Conny Westh

Tror att det är lite det som är tanken med formuleringarna i GDPR också, att det ska lämnas öppet för tolkningar från fall till fall så att man enklare kan komma åt de som missköter sig utan att de gömmer sig bakom eventuella kryphål. Många jurister lär få slita sina hår men tror inte att små aktörer som inte håller på med tveksam verksamhet har särskilt mycket att oroa sig för även om man inte följer allt till punkt och pricka, åtminstone inte det första året. Men det är många 'tror' :)

"Tror" du har mycket rätt i det du skriver, de konsekvenser jag läst om är helt orimliga för små aktörer, som att skadeståndet kan bli 20 MSEK, det skulle ju skuldsätta en liten företagare för resten av livet för att man råkar lagra känslig information..... Helt orimligt, enligt min mening. Men nackdelen med såna här "gummiparagrafer" är att en åklagare kan trakassera enskilda företagare, som denne inte gillar av vilket skäl det vara månde, utan att själv riskera några som helst repressalier.

Förmodligen hade lagstiftaren stora företag som Apple, Microsoft, Google, och Facebook i åtanke när de utformade reglerna. Men de glömde att skriva in storleksbegränsningen i lagen. Skit happens.....

My mistake, hade fått svar av Datainspektionen 29:e November 2017, här är deras svar:

Datum: 2017-11-29 15:26

Bra! Så i princip kan de flesta forum lämnas oförändrade då alla kan redigera sitt eget innehåll. Om det inte skulle gå kan en moderator hjälpa till.

Jag är dock fortfarande intresserad av att veta hur i ett t.ex bokningssystem att någon gett Samtycke ihop med bokningen, för att sedan dagen efter dra tillbaka Samtycket för att vara ett arsle (eller nått) men vill ändå delta på vad som bokats.

Notera att man tydligen ska kunna generellt dra tillbaka sitt samtycke för att ens uppgifter lagras. Gör man det, så ska ju då även persondatan som samlats in under det samtycket raderas. Korrekt?

Det finns ju bestämmelser i annan lagstiftning som gäller krav på arkiverings av bokföringsdata och avtals bevarande, jag tolkar att en bindande bokning får betraktas som ett ingånget avtal och då kan "användaren" inte ensidigt kräva att den informationen raderas, det är min personliga tolkning.

Det är så jag önskar tolka det också. Dock står det rätt tydligt att man ska kunna dra tillbaka sitt samtycke. Vad exakt det ska innebära... är ju dock inte ens angivet. Utan återigen tolkning.

Jag tror GDPR kommer bli precis som varningen om Cookies. Väldigt få kommer varna eller bry sig.

Vi som är aktiva här kanske kan påverka praxis i en vettig riktning... Genom det skrivna ordets makt, vi slänger fram förslag här i tråden och diskuterar vad som är acceptabla formuleringar....

Datainspektionen har skrivit en del om dataskyddsförordningen och har länkar till relevanta artiklar och skäl till formuleringarna.

https://www.datainspektionen.se/data...till-radering/

Det står bland annat:
" Uppgifterna måste raderas i följande fall:

* Om uppgifterna inte längre behövs för de ändamål som de samlades in för."

Det är nog ganska enkelt att argumentera för att uppgifterna behövs i ditt exempel. Sedan finns det ju en laglig grund att behandla personuppgifter om man har en rättslig förpliktelse, till exempel enligt bokföringslagen.




Jag tror inte att beloppen på skadestånd är reglerade i dataskyddsförordningen, men du kanske tänker på sanktionsavgifterna? De kan bli upp till €20 000 000 eller 4% av den globala omsättningen, men det kommer ju bara hända i extrema fall. Det handlar om grova överträdelser som är uppsåtliga där företaget eller myndigheten ignorerar förelägganden från tillsynsmyndigheten.

https://www.datainspektionen.se/data...ingstexten/#83

Så, återigen precis som de står "bör" i GDPR-förodningen så är allt upp till tolkning i princip.

GDPR kommer falla helt i med det inte finns exakt specificerat hur något ska tolkas. Det måste i slutändan troligen tolkas juridiskt i rätten fall till fall. Och det kommer ta år.

De flesta stora företag i branschen är vana vid segdragna rättstvister så det är inget nytt :) Det är väl också lite det som både är styrkan och svagheten i GDPR som jag ser det. Viss verksamhet kräver ju lagring av personuppgifter medan många andra inte gör det. Det hade tvärtom blivit väldigt konstigt om man skulle lista exakt vilka typer av verksamheter som får göra vad i lagen.

Det är oerhört svårt rent lagtekniskt att vara mer specifik, eftersom GDPR:s tillämpning är så omfattande. Det kommer utvecklas en praxis samtidigt som artikel 29-gruppen har tagit fram guidelines om en del bestämmelser.

http://ec.europa.eu/newsroom/article...item_type=1360

2-3 månader före GDPR börjar gälla kommer guidelines och många stora företag har ju redan gjort sitt GDPR jobb och anser sig klara.

Ett exempel jag hittade:

Example
A data broker collects data from different public and private sources, either on behalf of its clients or
for its own purposes. The data broker compiles the data to develop profiles on the individuals and
places them into segments. It sells this information to companies who wish to improve the targeting of
their goods and services. The data broker carries out profiling by placing a person into a certain
category according to their interests.
Whether or not there is automated decision-making as defined in Article 22(1) will depend upon the
circumstances.

Det känns som att GDPR i sig är efter stora aktörer / annonsörsnätverk som bearbetar volymer av personlig data. Vi snackar Facebook, Google, DFP, osv.

Det nämns även i ett senare exempel om försäkringsbolag som ger premier eller förmåner baserat på t.ex kördata från GPS:er monterade i bilar.
Så även att sälja ekonomiska för / nackdelar baserat på insamlad data.

I grunden är ju förstås allt det bra och inget mig emot. Mer checkrutor som säger vad exakt data används till är bara bra.

Men många mindre företag som t.ex medlemskap till gym, föreningar, köp av tjänst / mindre webbshop etc "behandlar" ju också data men i eget syfte att sälja en produkt och leverera etc. Jag tror många av dessa blivit skrämda av GDPR och vet inte vart man ska börja så man gör nog inte ens försök... tror jag.

Kommer nog finna en ofantlig mängd företag som antingen missat GDPR, skiter i det eller inte uppfyller det öht.

Precis som med att alla hemsidor ska varna för att cookies används.

Vad gäller för kommentarer på bloggar/hemsidor som gjorts före GDPR?
Behöver man gå igenom och anonymisera eller?

Min tanke är att sedan lägga in någon typ av "medgivande-information" kopplat till kommentatorsfunktionen, eventuellt med en länk till en annan sida med mer utförlig information om hur dataskyddet tillämpas på sajten.

Har ni tänkt anpassa och hur tänker ni då?