|
Hej Alla!
Det började med att jag packade en beställning till en kund som bor någonstans i Sverige, jag visste att en kolega till mig hade blivit utsatt för många bedrägerier från denna ort. Folk som beställt varor av han mot faktura men inte betalat. 5 minuter innan jag ska till posten kommer min kolega online, o jag passar på och frågar honom ifall denne person som jag packat till är en av dom som inte betalat hans fakturor, och det visar sig vara så! (jag skickar givetvis inte iväg den beställningen). Det roliga är att vi troligtvis begått ett lagbrott, eller har vi det? Tänker på det här med bostadsförmedlingen i malmö, pul o hela grejen. Om vi säger nu som exempel, att jag och några till av mina kolegor, skulle gå ihop o skapa en central databas, där vi lägger in alla svinpälsar som inte betalt sina fakturor, så man kan checka av mot denna databas när man får beställningar, bryter vi mot lagen då? //Predrag |
Om det är lagligt så är jag gärna med på en databas! ;)
|
Jag med ^^ B)
|
Den form av register ni vill föra är olagligt.
Register som förs över folks slav med betalningar gäller bara sådant slarv som har gått så långt att de har hamnat hos kronfogden. |
enda sättet att kringgå det är att i nån form av kundavtal vid beställning så godkänner dom att ni får använda deras info för det registret..
i mina ögon skapar detta tre reaktioner - "och? jag betalar ju så mitt namn lär ju inte hamna där ändå" - "hmm.. jag brukar ju slarva så jag skiter nog i att beställa" - "vafa.. jag betalar alltid mina men såna krav kan dom inte ha! jag skiter i dom här och köper av OnOff istället!!!" |
Citat:
Det är väl just detta sådant är till för.. (bl.a. iaf) -Martin |
Citat:
//Predrag |
Jag har ett förslag på hur strukturen i denna databas skulle kunna se ut som eventuellt är laglig och användbar.
Hur är det om man skulle hasha alla namn så att man genom att titta på databasen inte kan få ut någonting av vilka personer som begått vilka dumheter? Genom att genomföra en sökning på ett visst namn omkrypterat till rätt hash kan man dock matcha personer om man vill göra en sökning, men man kan inte bläddra runt i databasen på måfå och se hur folk har skött sig utan att söka på dem specifikt. Jag vet inte om detta är lagligt men det känns mindre olagligt iaf :) |
Jag är helt på om nu detta är lagligt.
mvh/Tomas |
Citat:
Personens uppgifter finns likväl lagrad i en databas (elektroniskt), och har personen inte explicit godkänt detta så är det olagligt, oavsett om man inte direkt kan browsa fram hans/hennes uppgifter. Det enda jag kan tänka mig skulle kunna vara lagligt är att man genom ett köpavtal/villkor skriver in att genom att handla varor så godkänner personen att han hamnar i ett register som delas mellan flera näringsidkare eller något i den stilen. Sedan har ju privatpersonen alltid/oftare rätten på sin sida när det gäller handel mellan Företagare -> Konsument. -Martin |
Beror väl på, om du krypterar allting eller med egen hashning eller liknande så lär dom ju alldrig kunna bevisa/säga att det är person uppgifter. Sedan kör ni bara 2 separata system en som inehåller 1 nyckel och ena systemet med databasen. Om det sköts av 2 olika företag så kan ni knappast bli dömda då det inte finns något dom kan bevisa att företaget har en databas med uppgifter i . Alla fall om inte ens företaget har en "nyckel" för läsa det.
Ser det inte som mer olagligt än att skita i att betala, sedan lagra det i en utlänsk databas server där inte PUL lagen finns. Då bryter du inte lagen om du lagrar datan i det landet. Möjligtvis att hämta datan innom sverige. Kreditupplysningar kostar pengar, tycker inte att det ska vara nödvändigt med massa sånt jobb. Sedan lär inte personen som hammnar i listan ha pengar att driva en rättegång. Isåfall visar det sig att han har så mycket pengar kommer kronofogden hinna ta dom före. Jag tror faktiskt på ideen med en sådan lista som sköts ifrån annat land skulle minska antalet folk som skiter i att betala. |
Det hjälper inte att använda en databas i utlandet eftersom lagen gäller personuppgiftsansvariga som är etablerade i Sverige.
Var datan ligger eller servern står spelar bara roll om du inte är etablerad i Sverige. |
Men om man skippar databasen och:
1. Lägger allt i en lång lista med namn o.s.v. 2. Ansöker om en ansvarig utgivare. (vet ej hur lätt det är) Så borde det gå. |
Ni gör tappra försök att kringå lagen, men ni kan inte det. Glöm det register ni vill föra. Om ni sätter upp ett sådant register och det blir föremål för granskning, så kan ni nog räkna med att få fängelse för det.
Jämför detta med det fall som pågår just nu om Malmös kommunala bostadsbolag MKB. |
Saken är att man behöver inte ha ansvarig utgivare för en databas i utlandet, köp en server köp egen transit och skaffa dig ett PI nät. Så är det smidigt skifta trafiken mellan olika ISP. Om du ska vara riktigt säkert åk till utlandet skriv systemet. Sedan låter man bara friviligt folk skriva in. Då har du inte brytit mot lagen på något vis. Enda som bryter mot lagen är då folket som fyller i infon, men i vilket fall lär inte sverige kunna kräva loggar för eget nät i utlandet . Behöver ju inte ens ha någon loggning.
Så går gör det, men frågan är det värt lägga ner sådan kostnad? Kul att diskutera alla fall. Men om man säger någon lägger ner tiden och gör det så skulle det visa rätt starkt att man inte accepterar folk som inte betalar. Men man måste nog hitta rimlig gräns all fall, tror en lista skulle vara bra med "känt" folk. Men tror att problemet kan bli att det kan komma in felaktiga uppgifter etc. Men om man då utväcklar ideen lite, menar finns ju svartlistade listor med IP som spammar, så varför inte en lista med persnr som är svartlistade? Bygga något öppet köp system som kontrollerar beställaren innan beställningen kan slutföras. Tänk slippa alla dyra kreditupplysninsar och köra ett system alla betalar för som vill använda det som endast kostar den faktiska kostnaden. Eller om man vänder på det, en vit lista över personer man inte behöver ha kontroll på. Alla som använder det öppna systemet har i sitt avtal att personen får lagras i en "vit" lista om han betalar i tid och det. Sedan alla personer som använder systemet kan snabbt se hur många gånger han har handlat av dom som använder det och se hur många gånger han betalat i tid och allt. |
Om man hashar det hela med en nyckellös envägskryptering, exempelvis MD5 så kan det väl knappast bryta mot någon personuppgiftslag? Då lagras där inga uppgifter, och det går inte heller att få fram några?
Om man sedan vill kolla en kund mot databasen så hashar man bara kundens personnummer och söker av databasen efter motsvarande hash. Ev. kan man ju koppla nån form av infofält mot varje hash där man kan ange ev. info. Dock kanske det kan bryta mot något eftersom man då kan få ut omdömen om ett personnummer? Eller så lagrar ni bara ett värde som talar om vilken butik som svartlistade personnummret. Får nån en träff så kan han enkelt kontakta den butiken som svartlistade och höra efter vad som hänt? Om ni är ett gäng som litar på varandra som går ihop och skriver systemet samt ser till att ingen obehörig har varken läs- eller skrivrättigheter så är ju risken minimal. Tycker det verkar vara ett riktigt intressant projekt! Inte för att jag själv är i behov av det, men jag ska nog ändå skissa lite på det under religionslektionerna imorrn :) |
Jag förstår inte resonemanget.
Har ni läst PUL innan ni försöker hitta vägar runt lagen? Det vore väl ett bra första steg annars :) |
Det är ju inte bara PUL som är aktuellt. Hur som helst så är det en fråga om tolkning av lagar och PUL är ännu inte så pass använd så att det finns tillräckligt med prejudikat.
Hur som helst, förslaget med en hash och ett butiks-id på en icke-publik site bör klara sig från PUL men Datainspektionen har ju andra lagar när det gäller elektroniska register. Dock är det ju så, som någon påpekade, att det inte är fråga om lagring av uppgifter som man kan bläddra runt i. Man måste skriva ett exakt namn för att kunna få en träff. En kontakt med DI kanske vore på sin plats? |
Kan ingen förklara för mig varför ett krypterat register som inte är blädderbart klarar sig från PUL?
Hänvisa gärna till lagrum. Här är lagtexten: http://www.notisum.se/rnp/sls/lag/19980204.HTM |
Som sagt så är lagtexten en sak och dess tillämpning en helt annan. Jag har via mitt förra jobb ganska god insyn i hur DI tänker och hur deras revisioner går till. T.ex. så är loggning (registrering) tillåten om man INTE använder uppgifterna för att läsa ut enskilda personers uppgifter utan istället t.ex. tittar på en avdelnings uppgifter. Då kan du lagra hur mycket då vill i stort sett. Enligt lagtexten så skulle även detta vara olagligt men DI tillåter detta. (Se revisionen av ABB och de rapporter m.m. som DI publicerat)
Q.E.D? Edit: Jag baserar min tolkning på det faktum att de uppgifter som lagras endast indikerar vart en person med ett visst namn har handlat. Uppgiften är inte unik i sig. T.ex. Anders Johansson finns det ju hur många som helst som heter. Vem är i så fall den som finns i registret? Kan man inte påvisa exakt person så är det inga personuppgifter utan endast namnuppgifter. |
Registret är väl ganska värdelöst om man bara lagrar ett namn och en butik i det?
Helst hade man ju behövt personnummer, adress och hela köret så att man kan göra relevanta kontroller. |
Visst vore det trevligt om man kunde ha allt i registret men då blir det ju en sorts kreditupplysning och då blir det inte bara DI som blir inblandat.
En annan möjlig(?) lösning: Två helt separata register ett med enbart namn som tidigare nämnts och ett med enbart adresser där paket/försändelser inte hämtats ut (PF) eller där det inte betalts. Adresser kan naturligtvis falla under PUL men återigen så är det i gråzonen och kan det inte bevisas vem som avses med adressen så är det inte något som PUL reglerar i praktiken. Sen finns det en annan lösning och det är att man mailar till varandra när det dyker upp nya problemkunder. Så länge man inte sparar mailen så är de lagliga. Och alla är väl laglydiga till 100%. :D |
Citat:
Men om man inte sparar mailen... Hur skall man då veta när kunden kommer till "min" butik? Man har inte alltid fotografiskt minne... Naaah.. Läs istället igenom PUL och hitta fina kryphål och snacka med DI. Allting går att lösa. #EDIT: Stavfel. |
Det lämpligaste är väl att leta efter kryphål just för definitionen databas el. samling av persondata.
Jag gillar idén att bara ha ett företagsnamn hashat i en databas. Det enda man behöver göra är att ställa en fråga (dvs skicka in ett hashat företagsnamn) och få TRUE eller FALSE tillbaka. Anledningen till att man finns i registret är ju inte definerat och svaret man får (true eller false) är ju kryptiskt då gemene man inte känner till frågan. Det enda som finns är en tabell med 32 tecken långa hashar. Det blir därmed också MYCKET svårt att bevisa vad som eg finns i databasen. Man kan väl inte dömmas för brott om det inte går att bevisa att databasdatat existerar eller snarare bestämma vart det härrör ifrån? Det är väl inte intentionen man blir dömd för, snarare förfarandet om ni förstår tankegångarna. Man får ju faktiskt ha en "Samling av 32tecken långa konstiga strängar"? |
För att göra databasen ännu mer kryptisk och knepig så kan du även lägga in några tusen hopskrivna ord som är hashade. Ord som är ihopskrivna kan knappast vara detsamma som namn och skulle alltså inte resultera i något annat än att man döljer de viktiga hasharna i mängden av massa skräp som man ändå aldrig kommer söka på.
Man skulle t.o.m. kunna lägga in en hel ordlista och vips så består databasen till 99.9% av hashade ord från en ordlista och ett antal hashade namn som aldrig går att spåra i den mängden. |
Citat:
Sedan är det också bara till att tex göra följande med ett php script: Kod:
<? |
Om man är med i en förening eller franchiseföretagare kunde man ju ha ett gemensamt kundrgister.
I registret registrerar man ALLA kunder, inte bara de som inte sköter sina betalningar. Sedan flaggar man att en viss kund är dålig på att betala. Många företag delar ju på databasen (kund). Exempelvis: Visa bensinmackar Videoaffärer (Vidobutiken t. ex). Jag var lite sugen på att starta upp nåt liknande och snackade med en jurist, och det "borde" gå tyckte han. Självklart måste det finnas info till kund att denne kommer med i kundregistret. Jag hade lite tankar på att starta en branschförening för IT-företagare (småföretagare), eller ha nåt liknande men det rann ut i sanden som allt annat... |
Citat:
Fortsätt spåna, jag är lätt på å utvecklar en vit-databas :unsure: |
Det är många tappra försök att kringgå lagen.
Till att börja med så gäller PUL i hela EU. Sedan har alla länder olika former av personuppgiftslagar och behandling av dessa. Det finns sedan lagar som reglerar överföring av uppgifter mellan olika länder. Om ni t.ex. lägger ert register i USA så gäller deras lagar på registret. Begär ni en hämtning från registret i USA kommer först och främst USAs lagar att gälla för hämtningen och sedan lagar för överföring av uppgiften till land utanför USA och sedan lagar för införandet i Sverige och sist lag för behandling av uppgiften i Sverige. Så fort ni lagrar uppgifter om en enskild person måste ni meddela personen det och personen ska godkänna det innan ni får lagra uppgiften. Detta godkännande kan ske på olika sätt. Blir någon medlem på t.ex. ett forum som WN så är det underförstått att WN lagrar uppgifter och godkännandet sker i princip när ni skriver in uppgifterna på ert konto. Om ni betalar in pengar till en förening via postgiro, t.ex., så måste föreningen på något sätt tala om för er att de tänker lagra uppgifterna på data. Det kan ske i efterhand med möjlighet för medlemmen att säga nej. Men då kan medlemmen i princip inte vara medlem. Således kan ni med godkännande av kunden behandla uppgifter. Men vem vill bli kund om det i ett avtal står i princip följande. Som kund hos oss förbinder ni er att uppgifter om er betalningsförmåga kan lämnas ut till tredje part. Nu läser väl inte så många människor avtalstexterna. Men i alla fall. Sedan så har det ingen betydelse hur uppgifterna lagras, dvs. om de kan läsas i klartext eller inte. Det handlar om vad som lagras och vad som går att få fram. Som allmän upplysning kan jag berätta att de flesta biluthyrare i Sverige är anslutna till en branschorganisation vid namn BURF. De för ett dataregister över slarviga kunder. Om ni hyr en bil och lämnar igen den nerskräpad utöver normal nerskräpning, så hamnar ni i deras register. Lämnar ni igen bilen för sent, hamnar ni i deras register osv. Varje gång ni ska hyra bil kontrolleras ni mot detta register. Finns ni med i registret så kan ni bli nekad att hyra en bil. Går ni då till en annan biluthyrare några kvarter längre bort, så kommer de att veta att ni försökte hyra en bil för 10 minuter sedan och blev nekade. Detta register är helt lagligt och det är för att ni godkänner att detta lagras när ni hyr bil. |
Intressant ämne! Hur är det med butiken MyCom som finns i Stockholm. Varje gång jag handlar måste jag uppge mitt namn, nu minns jag inte om det bara var namnet som registrerades vid "registreringen"...
|
Alla kunder som betalar i tid är inte svinpälsar, det är mänskligt att faktiskt glömma av. Bara de betalar så är de okej.
Vi sänder faktura på mindre belopp om kunden så önskar. Och vi har betalt för alla fakturor under det året vi har haft butiken igång. Ca 4-5 kunder har vi varit tvungna att skicka påminnelsemail till, och då har det mer varit av slaget: "Hej X, vi saknar dina pengar.. Du beställde varor från oss xx-xx-xx och fick en faktura på xx kronor som skulle ha varit betald xx-xx-xx. Vi kan inte finna att du har betalt detta. Här får du uppgifterna igen om du saknar dem: Postgiro: Belopp: Hör av dig om du har betalt, eller har några frågor. Med vänliga hälsningar" Det funkar, folk blir vänligt bemötta och säger "Oj, det glömde jag. Jag betalar direkt." Går man på dem hårt från början så blir de negativt inställda till företaget. Ett företag lever ju på sina kunder, och det gäller ju att ha en god relation med dem. Men givetvis skall man ta i lite hårdare i nästa steg om de inte betalar. Även en kund som inte betalade i tid får en ny chans. Märker man att de är konsekvent sena med sina betalningar, så kan man antingen välja att ta upp det på ett snyggt sätt med kunden eller att begära att kunden betalar i förskott. |
Citat:
Smart smart. :rolleyes: |
Citat:
Jag tror mer på metoden att gå varligt fram i början, vara vänlig helt enkelt. Då tycker kunderna "Schysst företag, jag missade att betala fakturan men gör det nu 3 dagar senare och får ingen påminnelsekostnad/ränta. Bra, de är måna som sina kunder,dem handlar jag hos igen." Jag vet själv när man handlar nånstans och de skickar ut påminnelse på förfallodagen. Man har lagt det till betalning på absolut sista dagen, och dagen efter förfallodagen har man fått ett påminnelsebrev med avgift fastän man har betalt i tid. Det ger inget bra intryck tycker jag... Ett tillägg som vi har gjort i något utskick var i stil med: "För att kunna erbjuda dig bästa möjliga pris, är det viktigt att vi erhåller betalning i tid." Men det föll bort lite, då det lät lite "för mycket"... Kunden kanske inte tycker att det var bästa priset ;) |
| Alla tider är GMT +2. Klockan är nu 16:06. |
Programvara från: vBulletin® Version 3.8.2
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
Svensk översättning av: Anders Pettersson