[Johnny Viking]

Hej! Är det någon här med erfarenhet i att hantera GDPR tekniskt? Vi kanske kan hjälpa varandra komma till slutsatser om vad som faktiskt ska göras. Har läst igenom datainspektionshemsida men det känns som det inte finns så många specifika exempel utan det är mycket för tolkning.

En del säger GDPR är som PUL osv. Men en del säger det är mycket mer än så. Inget vet exakt, alla "arbetar med det".

Frågor jag undrar över som någon kanske kan ge input på för er som kommit längre i dessa frågor.

- Dataportabilitet: hur långt ner i databasen ska man gräva och anse vara personuppgifter? Är det relationsdata med 1r och 0r eller kan man hålla sig mer på toppnivåerna av en datastruktur?

- När någon ber om uppgifterna är det något ni kommer ge åtkomst direkt via en länk i "Mitt konto" eller ska man begära uppgifterna och få dom levererade på fil?

- Mjukvaror som vBulletin t.ex, och detta forum. Jag ska kunna få ett utdrag av all data på mig, samt alla mina inlägg. Sträcker det sig även till alla som svarat mig också? Ska det gälla alla inlägg som det getts like på?

- I en export, vad händer om ett namn på en annan person omnämns. Skall då en logg göras på varje logg i hierarkier. Jag menar, hur långt ska man dra det här? En person som får ett utdrag på sig kan ju potentiellt få med identifierbara uppgifter på en annan person...

- Hur hanterar ni backuper? Där data finns i komprimerade filer som lagras av dagar, veckor och i särfall månader. Skall alla dessa backuper gås igenom manuellt och saker ska radera för hand?

Jag vill inte ha en diskussion om GDPR är bra eller inte. Utan hur har ni löst saker rörande specifikt dataportabilitet.

Övriga frågor:

- Personuppgiftsbiträden är ju alla som har åtkomst till systemet på något sätt eller hanterar personuppgifter från systemet. Kommer ni ha fysiska avtal eller lösa det "digital" med kryssruta för åtkomst till X fil eller Y system där personuppgifter kan finnas?
Finns det kanske redan mallar för att föra ansvar över till biträden?

- Hur kommer ni leverera en fil med personuppgifter till en extern / intern person där personuppgifter måste med för att utföra en viss uppgift. T.ex tryckerier behöver adresser på personer för ett utskick. Eller en person med uppdrag som ska utföra en kurs behöver en deltagarlista. Hur gör ni överlämnandet av uppgifterna? slussar dom via en portal där dom hämtar sina uppgifter och där man måste godkänna något avtal? Måste det godkännas med bank-ID? Räcker verkligen bara emaila och säga "du får med denna fil ansvar" (då har man ju redan släppt iväg personuppgifterna)...

En djungel är det och jag hittar inga tydliga svar någonstans varken på svenska eller på engelska.