[patrikweb]

Beror väl på, om du krypterar allting eller med egen hashning eller liknande så lär dom ju alldrig kunna bevisa/säga att det är person uppgifter. Sedan kör ni bara 2 separata system en som inehåller 1 nyckel och ena systemet med databasen. Om det sköts av 2 olika företag så kan ni knappast bli dömda då det inte finns något dom kan bevisa att företaget har en databas med uppgifter i . Alla fall om inte ens företaget har en "nyckel" för läsa det.

Ser det inte som mer olagligt än att skita i att betala, sedan lagra det i en utlänsk databas server där inte PUL lagen finns. Då bryter du inte lagen om du lagrar datan i det landet. Möjligtvis att hämta datan innom sverige.

Kreditupplysningar kostar pengar, tycker inte att det ska vara nödvändigt med massa sånt jobb. Sedan lär inte personen som hammnar i listan ha pengar att driva en rättegång. Isåfall visar det sig att han har så mycket pengar kommer kronofogden hinna ta dom före.

Jag tror faktiskt på ideen med en sådan lista som sköts ifrån annat land skulle minska antalet folk som skiter i att betala.

[ztream]

Det hjälper inte att använda en databas i utlandet eftersom lagen gäller personuppgiftsansvariga som är etablerade i Sverige.

Var datan ligger eller servern står spelar bara roll om du inte är etablerad i Sverige.

[Lundmark]

Men om man skippar databasen och:

1. Lägger allt i en lång lista med namn o.s.v.
2. Ansöker om en ansvarig utgivare. (vet ej hur lätt det är)

Så borde det gå.

[guran]

Ni gör tappra försök att kringå lagen, men ni kan inte det. Glöm det register ni vill föra. Om ni sätter upp ett sådant register och det blir föremål för granskning, så kan ni nog räkna med att få fängelse för det.

Jämför detta med det fall som pågår just nu om Malmös kommunala bostadsbolag MKB.

[patrikweb]

Saken är att man behöver inte ha ansvarig utgivare för en databas i utlandet, köp en server köp egen transit och skaffa dig ett PI nät. Så är det smidigt skifta trafiken mellan olika ISP. Om du ska vara riktigt säkert åk till utlandet skriv systemet. Sedan låter man bara friviligt folk skriva in. Då har du inte brytit mot lagen på något vis. Enda som bryter mot lagen är då folket som fyller i infon, men i vilket fall lär inte sverige kunna kräva loggar för eget nät i utlandet . Behöver ju inte ens ha någon loggning.

Så går gör det, men frågan är det värt lägga ner sådan kostnad? Kul att diskutera alla fall. Men om man säger någon lägger ner tiden och gör det så skulle det visa rätt starkt att man inte accepterar folk som inte betalar. Men man måste nog hitta rimlig gräns all fall, tror en lista skulle vara bra med "känt" folk. Men tror att problemet kan bli att det kan komma in felaktiga uppgifter etc.

Men om man då utväcklar ideen lite, menar finns ju svartlistade listor med IP som spammar, så varför inte en lista med persnr som är svartlistade? Bygga något öppet köp system som kontrollerar beställaren innan beställningen kan slutföras. Tänk slippa alla dyra kreditupplysninsar och köra ett system alla betalar för som vill använda det som endast kostar den faktiska kostnaden.

Eller om man vänder på det, en vit lista över personer man inte behöver ha kontroll på. Alla som använder det öppna systemet har i sitt avtal att personen får lagras i en "vit" lista om han betalar i tid och det. Sedan alla personer som använder systemet kan snabbt se hur många gånger han har handlat av dom som använder det och se hur många gånger han betalat i tid och allt.

[Schneaker]

Om man hashar det hela med en nyckellös envägskryptering, exempelvis MD5 så kan det väl knappast bryta mot någon personuppgiftslag? Då lagras där inga uppgifter, och det går inte heller att få fram några?

Om man sedan vill kolla en kund mot databasen så hashar man bara kundens personnummer och söker av databasen efter motsvarande hash.
Ev. kan man ju koppla nån form av infofält mot varje hash där man kan ange ev. info. Dock kanske det kan bryta mot något eftersom man då kan få ut omdömen om ett personnummer?
Eller så lagrar ni bara ett värde som talar om vilken butik som svartlistade personnummret. Får nån en träff så kan han enkelt kontakta den butiken som svartlistade och höra efter vad som hänt?

Om ni är ett gäng som litar på varandra som går ihop och skriver systemet samt ser till att ingen obehörig har varken läs- eller skrivrättigheter så är ju risken minimal.


Tycker det verkar vara ett riktigt intressant projekt! Inte för att jag själv är i behov av det, men jag ska nog ändå skissa lite på det under religionslektionerna imorrn

[ztream]

Jag förstår inte resonemanget.

Har ni läst PUL innan ni försöker hitta vägar runt lagen? Det vore väl ett bra första steg annars

[Westman]

Det är ju inte bara PUL som är aktuellt. Hur som helst så är det en fråga om tolkning av lagar och PUL är ännu inte så pass använd så att det finns tillräckligt med prejudikat.

Hur som helst, förslaget med en hash och ett butiks-id på en icke-publik site bör klara sig från PUL men Datainspektionen har ju andra lagar när det gäller elektroniska register. Dock är det ju så, som någon påpekade, att det inte är fråga om lagring av uppgifter som man kan bläddra runt i. Man måste skriva ett exakt namn för att kunna få en träff.

En kontakt med DI kanske vore på sin plats?

[ztream]

Kan ingen förklara för mig varför ett krypterat register som inte är blädderbart klarar sig från PUL?

Hänvisa gärna till lagrum.

Här är lagtexten: http://www.notisum.se/rnp/sls/lag/19980204.HTM

[Westman]

Som sagt så är lagtexten en sak och dess tillämpning en helt annan. Jag har via mitt förra jobb ganska god insyn i hur DI tänker och hur deras revisioner går till. T.ex. så är loggning (registrering) tillåten om man INTE använder uppgifterna för att läsa ut enskilda personers uppgifter utan istället t.ex. tittar på en avdelnings uppgifter. Då kan du lagra hur mycket då vill i stort sett. Enligt lagtexten så skulle även detta vara olagligt men DI tillåter detta. (Se revisionen av ABB och de rapporter m.m. som DI publicerat)

Q.E.D?

Edit: Jag baserar min tolkning på det faktum att de uppgifter som lagras endast indikerar vart en person med ett visst namn har handlat. Uppgiften är inte unik i sig. T.ex. Anders Johansson finns det ju hur många som helst som heter. Vem är i så fall den som finns i registret? Kan man inte påvisa exakt person så är det inga personuppgifter utan endast namnuppgifter.