[Johnny Viking]

Hur har det gått med svar Conny?

Jag har nämligen nu tekniskt i ett affärssystem implementerat Samtycken. Där man för olika sektioner av hur det samlas in personuppgifter kan ge sitt samtycke för det.

Problemet är ju att man även ska ha rätten att dra tillbaka sitt samtycke och enligt tolkningar så ska det innebära att det man gett samtycke för historiskt inom den delen av verksamheten ska därmed raderas.

Det är ju som du säger fullständigt orimligt att man ska kunna hatta fram o tillbaka med samtycken. Det är starkt systempåverkande.

Det är i detta fall t.ex bokningar för en kurs (eller resa) och man dagen efter tar bort sitt samtycke via Mitt konto så blir ju bokningsdatan ofullständig.

Någon med erfarenhet i hur man kan tolka och kanske friskriva sig från sånt här skit?

Principen att människor ska ha rättigheter över sina personuppgifter är ju bra, men en verklig implementation är det alldeles för få exempel av. Det är bara en massa "bör" i GDPR-lagen.

[tartareandesire]

Citat:

Ursprungligen postat av Johnny Viking

Principen att människor ska ha rättigheter över sina personuppgifter är ju bra, men en verklig implementation är det alldeles för få exempel av. Det är bara en massa "bör" i GDPR-lagen.

Tror att det är lite det som är tanken med formuleringarna i GDPR också, att det ska lämnas öppet för tolkningar från fall till fall så att man enklare kan komma åt de som missköter sig utan att de gömmer sig bakom eventuella kryphål. Många jurister lär få slita sina hår men tror inte att små aktörer som inte håller på med tveksam verksamhet har särskilt mycket att oroa sig för även om man inte följer allt till punkt och pricka, åtminstone inte det första året. Men det är många 'tror'

[Conny Westh]

Citat:

Ursprungligen postat av tartareandesire

Tror att det är lite det som är tanken med formuleringarna i GDPR också, att det ska lämnas öppet för tolkningar från fall till fall så att man enklare kan komma åt de som missköter sig utan att de gömmer sig bakom eventuella kryphål. Många jurister lär få slita sina hår men tror inte att små aktörer som inte håller på med tveksam verksamhet har särskilt mycket att oroa sig för även om man inte följer allt till punkt och pricka, åtminstone inte det första året. Men det är många 'tror'

"Tror" du har mycket rätt i det du skriver, de konsekvenser jag läst om är helt orimliga för små aktörer, som att skadeståndet kan bli 20 MSEK, det skulle ju skuldsätta en liten företagare för resten av livet för att man råkar lagra känslig information..... Helt orimligt, enligt min mening. Men nackdelen med såna här "gummiparagrafer" är att en åklagare kan trakassera enskilda företagare, som denne inte gillar av vilket skäl det vara månde, utan att själv riskera några som helst repressalier.

Förmodligen hade lagstiftaren stora företag som Apple, Microsoft, Google, och Facebook i åtanke när de utformade reglerna. Men de glömde att skriva in storleksbegränsningen i lagen. Skit happens.....

[Gigena]

Citat:

Ursprungligen postat av Johnny Viking

Jag är dock fortfarande intresserad av att veta hur i ett t.ex bokningssystem att någon gett Samtycke ihop med bokningen, för att sedan dagen efter dra tillbaka Samtycket för att vara ett arsle (eller nått) men vill ändå delta på vad som bokats.

Notera att man tydligen ska kunna generellt dra tillbaka sitt samtycke för att ens uppgifter lagras. Gör man det, så ska ju då även persondatan som samlats in under det samtycket raderas. Korrekt?

Datainspektionen har skrivit en del om dataskyddsförordningen och har länkar till relevanta artiklar och skäl till formuleringarna.

https://www.datainspektionen.se/data...till-radering/

Det står bland annat:
" Uppgifterna måste raderas i följande fall:

* Om uppgifterna inte längre behövs för de ändamål som de samlades in för."

Det är nog ganska enkelt att argumentera för att uppgifterna behövs i ditt exempel. Sedan finns det ju en laglig grund att behandla personuppgifter om man har en rättslig förpliktelse, till exempel enligt bokföringslagen.

Citat:

Ursprungligen postat av Conny Westh

"Tror" du har mycket rätt i det du skriver, de konsekvenser jag läst om är helt orimliga för små aktörer, som att skadeståndet kan bli 20 MSEK, det skulle ju skuldsätta en liten företagare för resten av livet för att man råkar lagra känslig information..... Helt orimligt, enligt min mening. Men nackdelen med såna här "gummiparagrafer" är att en åklagare kan trakassera enskilda företagare, som denne inte gillar av vilket skäl det vara månde, utan att själv riskera några som helst repressalier.

Förmodligen hade lagstiftaren stora företag som Apple, Microsoft, Google, och Facebook i åtanke när de utformade reglerna. Men de glömde att skriva in storleksbegränsningen i lagen. Skit happens.....

Jag tror inte att beloppen på skadestånd är reglerade i dataskyddsförordningen, men du kanske tänker på sanktionsavgifterna? De kan bli upp till €20 000 000 eller 4% av den globala omsättningen, men det kommer ju bara hända i extrema fall. Det handlar om grova överträdelser som är uppsåtliga där företaget eller myndigheten ignorerar förelägganden från tillsynsmyndigheten.

https://www.datainspektionen.se/data...ingstexten/#83

[Johnny Viking]

Citat:

Ursprungligen postat av Gigena

* Om uppgifterna inte längre behövs för de ändamål som de samlades in för."

Så, återigen precis som de står "bör" i GDPR-förodningen så är allt upp till tolkning i princip.

GDPR kommer falla helt i med det inte finns exakt specificerat hur något ska tolkas. Det måste i slutändan troligen tolkas juridiskt i rätten fall till fall. Och det kommer ta år.

[tartareandesire]

Citat:

Ursprungligen postat av Johnny Viking

Så, återigen precis som de står "bör" i GDPR-förodningen så är allt upp till tolkning i princip.

GDPR kommer falla helt i med det inte finns exakt specificerat hur något ska tolkas. Det måste i slutändan troligen tolkas juridiskt i rätten fall till fall. Och det kommer ta år.

De flesta stora företag i branschen är vana vid segdragna rättstvister så det är inget nytt Det är väl också lite det som både är styrkan och svagheten i GDPR som jag ser det. Viss verksamhet kräver ju lagring av personuppgifter medan många andra inte gör det. Det hade tvärtom blivit väldigt konstigt om man skulle lista exakt vilka typer av verksamheter som får göra vad i lagen.

[Gigena]

Citat:

Ursprungligen postat av Johnny Viking

Så, återigen precis som de står "bör" i GDPR-förodningen så är allt upp till tolkning i princip.

GDPR kommer falla helt i med det inte finns exakt specificerat hur något ska tolkas. Det måste i slutändan troligen tolkas juridiskt i rätten fall till fall. Och det kommer ta år.

Det är oerhört svårt rent lagtekniskt att vara mer specifik, eftersom GDPR:s tillämpning är så omfattande. Det kommer utvecklas en praxis samtidigt som artikel 29-gruppen har tagit fram guidelines om en del bestämmelser.

http://ec.europa.eu/newsroom/article...item_type=1360