[Conny Westh]

Jag har inte fått svar från Datainspektionen, fast jag skickade in denna fråga i November 2017.

Skickade förfrågan på nytt nu idag, får se vad det ger för något svar.

Mvh
Conny Westh

[tartareandesire]

Citat:

Ursprungligen postat av Johnny Viking

Principen att människor ska ha rättigheter över sina personuppgifter är ju bra, men en verklig implementation är det alldeles för få exempel av. Det är bara en massa "bör" i GDPR-lagen.

Tror att det är lite det som är tanken med formuleringarna i GDPR också, att det ska lämnas öppet för tolkningar från fall till fall så att man enklare kan komma åt de som missköter sig utan att de gömmer sig bakom eventuella kryphål. Många jurister lär få slita sina hår men tror inte att små aktörer som inte håller på med tveksam verksamhet har särskilt mycket att oroa sig för även om man inte följer allt till punkt och pricka, åtminstone inte det första året. Men det är många 'tror'

[Conny Westh]

Citat:

Ursprungligen postat av tartareandesire

Tror att det är lite det som är tanken med formuleringarna i GDPR också, att det ska lämnas öppet för tolkningar från fall till fall så att man enklare kan komma åt de som missköter sig utan att de gömmer sig bakom eventuella kryphål. Många jurister lär få slita sina hår men tror inte att små aktörer som inte håller på med tveksam verksamhet har särskilt mycket att oroa sig för även om man inte följer allt till punkt och pricka, åtminstone inte det första året. Men det är många 'tror'

"Tror" du har mycket rätt i det du skriver, de konsekvenser jag läst om är helt orimliga för små aktörer, som att skadeståndet kan bli 20 MSEK, det skulle ju skuldsätta en liten företagare för resten av livet för att man råkar lagra känslig information..... Helt orimligt, enligt min mening. Men nackdelen med såna här "gummiparagrafer" är att en åklagare kan trakassera enskilda företagare, som denne inte gillar av vilket skäl det vara månde, utan att själv riskera några som helst repressalier.

Förmodligen hade lagstiftaren stora företag som Apple, Microsoft, Google, och Facebook i åtanke när de utformade reglerna. Men de glömde att skriva in storleksbegränsningen i lagen. Skit happens.....

[Conny Westh]

My mistake, hade fått svar av Datainspektionen 29:e November 2017, här är deras svar:

Datum: 2017-11-29 15:26

Citat:

Hej Conny,

Tack för ditt mail.

GDPR kommer vara tillämpbar på sociala medier. En fråga som dyker upp vad avser sociala medier och diskussionsforum är vem som är personuppgiftsansvarig. Kan den enskilde själv redigera och ta bort sina inlägg är han eller hon själv personuppgiftsansvarig men är det någon annan med ansvar för forumet som kan göra detta är denna ansvarig. Detta innebär att den som är personuppgiftsansvarig är skyldig att radera uppgifter på begäran av den registrerade (art. 17 GDPR).

Datainspektionen har tagit fram en vägledning som gäller personuppgiftsbehandling och sociala medier. Denna följer reglerna i PUL så notera att missbruksregeln i PUL inte finns kvar i GDPR.

https://www.datainspektionen.se/laga...ociala-medier/


Vänliga hälsningar,
E**** P******
Jurist, Datainspektionen
www.datainspektionen.se

[Johnny Viking]

Bra! Så i princip kan de flesta forum lämnas oförändrade då alla kan redigera sitt eget innehåll. Om det inte skulle gå kan en moderator hjälpa till.

[Johnny Viking]

Jag är dock fortfarande intresserad av att veta hur i ett t.ex bokningssystem att någon gett Samtycke ihop med bokningen, för att sedan dagen efter dra tillbaka Samtycket för att vara ett arsle (eller nått) men vill ändå delta på vad som bokats.

Notera att man tydligen ska kunna generellt dra tillbaka sitt samtycke för att ens uppgifter lagras. Gör man det, så ska ju då även persondatan som samlats in under det samtycket raderas. Korrekt?

[Conny Westh]

Det finns ju bestämmelser i annan lagstiftning som gäller krav på arkiverings av bokföringsdata och avtals bevarande, jag tolkar att en bindande bokning får betraktas som ett ingånget avtal och då kan "användaren" inte ensidigt kräva att den informationen raderas, det är min personliga tolkning.

[Johnny Viking]

Det är så jag önskar tolka det också. Dock står det rätt tydligt att man ska kunna dra tillbaka sitt samtycke. Vad exakt det ska innebära... är ju dock inte ens angivet. Utan återigen tolkning.

Jag tror GDPR kommer bli precis som varningen om Cookies. Väldigt få kommer varna eller bry sig.

[Conny Westh]

Vi som är aktiva här kanske kan påverka praxis i en vettig riktning... Genom det skrivna ordets makt, vi slänger fram förslag här i tråden och diskuterar vad som är acceptabla formuleringar....

[Gigena]

Citat:

Ursprungligen postat av Johnny Viking

Jag är dock fortfarande intresserad av att veta hur i ett t.ex bokningssystem att någon gett Samtycke ihop med bokningen, för att sedan dagen efter dra tillbaka Samtycket för att vara ett arsle (eller nått) men vill ändå delta på vad som bokats.

Notera att man tydligen ska kunna generellt dra tillbaka sitt samtycke för att ens uppgifter lagras. Gör man det, så ska ju då även persondatan som samlats in under det samtycket raderas. Korrekt?

Datainspektionen har skrivit en del om dataskyddsförordningen och har länkar till relevanta artiklar och skäl till formuleringarna.

https://www.datainspektionen.se/data...till-radering/

Det står bland annat:
" Uppgifterna måste raderas i följande fall:

* Om uppgifterna inte längre behövs för de ändamål som de samlades in för."

Det är nog ganska enkelt att argumentera för att uppgifterna behövs i ditt exempel. Sedan finns det ju en laglig grund att behandla personuppgifter om man har en rättslig förpliktelse, till exempel enligt bokföringslagen.

Citat:

Ursprungligen postat av Conny Westh

"Tror" du har mycket rätt i det du skriver, de konsekvenser jag läst om är helt orimliga för små aktörer, som att skadeståndet kan bli 20 MSEK, det skulle ju skuldsätta en liten företagare för resten av livet för att man råkar lagra känslig information..... Helt orimligt, enligt min mening. Men nackdelen med såna här "gummiparagrafer" är att en åklagare kan trakassera enskilda företagare, som denne inte gillar av vilket skäl det vara månde, utan att själv riskera några som helst repressalier.

Förmodligen hade lagstiftaren stora företag som Apple, Microsoft, Google, och Facebook i åtanke när de utformade reglerna. Men de glömde att skriva in storleksbegränsningen i lagen. Skit happens.....

Jag tror inte att beloppen på skadestånd är reglerade i dataskyddsförordningen, men du kanske tänker på sanktionsavgifterna? De kan bli upp till €20 000 000 eller 4% av den globala omsättningen, men det kommer ju bara hända i extrema fall. Det handlar om grova överträdelser som är uppsåtliga där företaget eller myndigheten ignorerar förelägganden från tillsynsmyndigheten.

https://www.datainspektionen.se/data...ingstexten/#83