Kom ihåg mig?

GDPR-tråden?

 
Ämnesverktyg Visningsalternativ
Gammal 2017-11-13, 15:37 #1
Johnny Viking Johnny Viking är inte uppkopplad
Medlem
 
Reg.datum: Aug 2011
Inlägg: 265
Johnny Viking Johnny Viking är inte uppkopplad
Medlem
 
Reg.datum: Aug 2011
Inlägg: 265
Standard GDPR-tråden?

Hej! Är det någon här med erfarenhet i att hantera GDPR tekniskt? Vi kanske kan hjälpa varandra komma till slutsatser om vad som faktiskt ska göras. Har läst igenom datainspektionshemsida men det känns som det inte finns så många specifika exempel utan det är mycket för tolkning.

En del säger GDPR är som PUL osv. Men en del säger det är mycket mer än så. Inget vet exakt, alla "arbetar med det".

Frågor jag undrar över som någon kanske kan ge input på för er som kommit längre i dessa frågor.

- Dataportabilitet: hur långt ner i databasen ska man gräva och anse vara personuppgifter? Är det relationsdata med 1r och 0r eller kan man hålla sig mer på toppnivåerna av en datastruktur?

- När någon ber om uppgifterna är det något ni kommer ge åtkomst direkt via en länk i "Mitt konto" eller ska man begära uppgifterna och få dom levererade på fil?

- Mjukvaror som vBulletin t.ex, och detta forum. Jag ska kunna få ett utdrag av all data på mig, samt alla mina inlägg. Sträcker det sig även till alla som svarat mig också? Ska det gälla alla inlägg som det getts like på?

- I en export, vad händer om ett namn på en annan person omnämns. Skall då en logg göras på varje logg i hierarkier. Jag menar, hur långt ska man dra det här? En person som får ett utdrag på sig kan ju potentiellt få med identifierbara uppgifter på en annan person...

- Hur hanterar ni backuper? Där data finns i komprimerade filer som lagras av dagar, veckor och i särfall månader. Skall alla dessa backuper gås igenom manuellt och saker ska radera för hand?

Jag vill inte ha en diskussion om GDPR är bra eller inte. Utan hur har ni löst saker rörande specifikt dataportabilitet.

Övriga frågor:

- Personuppgiftsbiträden är ju alla som har åtkomst till systemet på något sätt eller hanterar personuppgifter från systemet. Kommer ni ha fysiska avtal eller lösa det "digital" med kryssruta för åtkomst till X fil eller Y system där personuppgifter kan finnas?
Finns det kanske redan mallar för att föra ansvar över till biträden?

- Hur kommer ni leverera en fil med personuppgifter till en extern / intern person där personuppgifter måste med för att utföra en viss uppgift. T.ex tryckerier behöver adresser på personer för ett utskick. Eller en person med uppdrag som ska utföra en kurs behöver en deltagarlista. Hur gör ni överlämnandet av uppgifterna? slussar dom via en portal där dom hämtar sina uppgifter och där man måste godkänna något avtal? Måste det godkännas med bank-ID? Räcker verkligen bara emaila och säga "du får med denna fil ansvar" (då har man ju redan släppt iväg personuppgifterna)...

En djungel är det och jag hittar inga tydliga svar någonstans varken på svenska eller på engelska.
__________________
Vecklar ut webben - html5 / web-appar & hemsidor | angularjs / ionic framework | php med laravel / slim etc...
Johnny Viking är inte uppkopplad   Svara med citatSvara med citat
Gammal 2017-11-13, 21:08 #2
Stahla Stahla är inte uppkopplad
Medlem
 
Reg.datum: Sep 2006
Inlägg: 112
Stahla Stahla är inte uppkopplad
Medlem
 
Reg.datum: Sep 2006
Inlägg: 112
Hej,

Tar gärna mer diskussioner inom det här ämnet också rent tekniskt. Ett bolag jag jobbar med kommer att djupdyka hårt i det här nu. Så jag återkommer gärna i kontakt.

Men gällande:
- Hur hanterar ni backuper? Där data finns i komprimerade filer som lagras av dagar, veckor och i särfall månader. Skall alla dessa backuper gås igenom manuellt och saker ska radera för hand?

Om du säkerställer att du rensar alla personuppgifter av en som vill bli borttagen i din databas. Och inte sparar backuper längre än 30 dagar (där personligdata finns) så blir det ett självrensande system inom "skälig tid". Även om du tar timbackuper, dagligabackuper etc.
__________________
Driver webbyrån http://www.stahlit.se
Stahla är inte uppkopplad   Svara med citatSvara med citat
Gammal 2017-11-14, 09:33 #3
Johnny Viking Johnny Viking är inte uppkopplad
Medlem
 
Reg.datum: Aug 2011
Inlägg: 265
Johnny Viking Johnny Viking är inte uppkopplad
Medlem
 
Reg.datum: Aug 2011
Inlägg: 265
Tack, du säger "skälig tid". Finns detta i skrift någonstans eller är det något man tolkat från något text? Finns länk på det så att säga?
__________________
Vecklar ut webben - html5 / web-appar & hemsidor | angularjs / ionic framework | php med laravel / slim etc...
Johnny Viking är inte uppkopplad   Svara med citatSvara med citat
Gammal 2017-11-14, 15:39 #4
Stahla Stahla är inte uppkopplad
Medlem
 
Reg.datum: Sep 2006
Inlägg: 112
Stahla Stahla är inte uppkopplad
Medlem
 
Reg.datum: Sep 2006
Inlägg: 112
Citat:
Ursprungligen postat av Johnny Viking Visa inlägg
Tack, du säger "skälig tid". Finns detta i skrift någonstans eller är det något man tolkat från något text? Finns länk på det så att säga?
Hej Johnny,
jag ska se om jag kan hitta referensen vid tillfälle igen. Vi är del av en stor koncern som har gjort stora del av jobben och fått informationen den vägen.
__________________
Driver webbyrån http://www.stahlit.se
Stahla är inte uppkopplad   Svara med citatSvara med citat
Gammal 2017-11-14, 21:49 #5
tartareandesire tartareandesire är inte uppkopplad
Supermoderator
 
Reg.datum: Jan 2004
Inlägg: 11 536
tartareandesire tartareandesire är inte uppkopplad
Supermoderator
 
Reg.datum: Jan 2004
Inlägg: 11 536
Skulle nog vilja påstå att GDPR ger mindre utrymme för tolkning än PUL och att den är mer långtgående. Vi har själva också börjat titta på det men ännu inte implementerat något rent tekniskt. Det viktigaste att komma ihåg är att individen ges full kontroll över sin användardata och att lagen omfattar alla företag inom EU som sparar någon data alls som kan kopplas till specifika användare, oavsett om det görs internt eller externt. Denna data får inte heller lämna EU:s gränser.

Som svar på dina frågor:

Citat:
- Dataportabilitet: hur långt ner i databasen ska man gräva och anse vara personuppgifter? Är det relationsdata med 1r och 0r eller kan man hålla sig mer på toppnivåerna av en datastruktur?
Det har ingen betydelse var eller hur du sparar informationen utan allt som kan kopplas till en användare omfattas av GDPR.

Citat:
- När någon ber om uppgifterna är det något ni kommer ge åtkomst direkt via en länk i "Mitt konto" eller ska man begära uppgifterna och få dom levererade på fil?
Så vitt jag vet är det ingenting som finns specificerat utan det är väl upp till var och en att implementera på ett sätt som är lämpligt för just din verksamhet.

Citat:
- Mjukvaror som vBulletin t.ex, och detta forum. Jag ska kunna få ett utdrag av all data på mig, samt alla mina inlägg. Sträcker det sig även till alla som svarat mig också? Ska det gälla alla inlägg som det getts like på?
Rena inlägg borde vara kopplade till skribenten och ingen annan. Det blir svårt att tillämpa lagen praktiskt annars. Citat är jobbigare... Gränsfall och tveksamheter gör man nog bäst i att avvakta med innan det finns anledning att titta närmare på det. Till att börja med kommer säkerligen bara större företag och samhällsrelaterade tjänster att granskas i detalj.

Citat:
- I en export, vad händer om ett namn på en annan person omnämns. Skall då en logg göras på varje logg i hierarkier. Jag menar, hur långt ska man dra det här? En person som får ett utdrag på sig kan ju potentiellt få med identifierbara uppgifter på en annan person...
Inte riktigt med på exakt vad du menar här men antar att det beror på vad det handlar om. Naturligtvis bör du inte skicka information om andra användare som inte redan är tillgänglig till någon men handlar det till exempel om att en person råkar nämnas av personen som efterfrågat sin data i ett foruminlägg så ser jag inget konstigt med att det kommer med. Kanske missuppfattat frågan?

Citat:
- Hur hanterar ni backuper? Där data finns i komprimerade filer som lagras av dagar, veckor och i särfall månader. Skall alla dessa backuper gås igenom manuellt och saker ska radera för hand?
Hur informationen lagras är irrelevant. Kan den fortfarande kopplas till användaren så är det upp till denne.
__________________
Ej tillgänglig för uppdrag men eventuellt öppen för intressanta samarbeten.
tartareandesire är inte uppkopplad   Svara med citatSvara med citat
Gammal 2017-11-15, 15:24 #6
tartareandesire tartareandesire är inte uppkopplad
Supermoderator
 
Reg.datum: Jan 2004
Inlägg: 11 536
tartareandesire tartareandesire är inte uppkopplad
Supermoderator
 
Reg.datum: Jan 2004
Inlägg: 11 536
Jag lånar tråden lite också

Är det någon som har koll på vad detta innebär för alla företag som hanterar information kring transaktioner, köp och korthändelser? Kan jag kräva att all köphistorik från mina konton i nätbutiker raderas? Det kan ju ställa till problem för både mig och butiken...
__________________
Ej tillgänglig för uppdrag men eventuellt öppen för intressanta samarbeten.
tartareandesire är inte uppkopplad   Svara med citatSvara med citat
Gammal 2017-11-16, 15:22 #7
jonny jonny är inte uppkopplad
Supermoderator
 
Reg.datum: Sep 2003
Inlägg: 6 935
Skicka ett meddelande via ICQ till jonny
jonny jonny är inte uppkopplad
Supermoderator
 
Reg.datum: Sep 2003
Inlägg: 6 935
Skicka ett meddelande via ICQ till jonny
Citat:
Ursprungligen postat av tartareandesire Visa inlägg
Jag lånar tråden lite också

Är det någon som har koll på vad detta innebär för alla företag som hanterar information kring transaktioner, köp och korthändelser? Kan jag kräva att all köphistorik från mina konton i nätbutiker raderas? Det kan ju ställa till problem för både mig och butiken...
Här kommer vi in på att om det finns krav enligt annan lagstiftning på att lagra uppgifterna gäller den. Här har du bokföringsregler som kräver att du sparar uppgifterna i sju år och då är det helt ok enligt dataskyddsförordningen (GDPR) också.
jonny är inte uppkopplad   Svara med citatSvara med citat
Gammal 2017-11-16, 15:33 #8
Johnny Viking Johnny Viking är inte uppkopplad
Medlem
 
Reg.datum: Aug 2011
Inlägg: 265
Johnny Viking Johnny Viking är inte uppkopplad
Medlem
 
Reg.datum: Aug 2011
Inlägg: 265
Jag har läst stora stycken av detta nu:
http://www.datainspektionen.se/datas...rdningstexten/

Mycket att läsa, men ger lite förtydligande. Det är dock väldigt mycket "bör" och "rimligt". Så det är ändå upp för tolkning efter vad man tycker man kan göra (man ska göra förstås så mycket man kan att skydda, minimera etc).

Vad jag väntar på är att man kanske kan hitta någon typ av standardmall för Samtyckesbiten där när någon registrerar sig så ger dom sitt godkännande att personuppgifter görs si och så med.

Sedan så stycken runt pseudoanonymisera personuppgifter. För jag vet att flera system inte alltid klarar av en "fysisk" radering. Man måste liksom mjukradera eller på annat sätt göra posten oanvänd och "borta".

Står så här:
"5. pseudonymisering: behandling av personuppgifter på ett sätt som innebär att personuppgifterna inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter används, under förutsättning att dessa kompletterande uppgifter förvaras separat och är föremål för tekniska och organisatoriska åtgärder som säkerställer att personuppgifterna inte tillskrivs en identifierad eller identifierbar fysisk person,"

Så det innebär väl att affärssystemet i sig kan behålla kundraden i databasen men att saker är anonymiserat (personnr, epost, adress etc). Men jag undrar lite hur man tänker att man ska ha ett separat system som gör att man kan uppgifter därifrån och återställa kunden i affärssystemet. Är det då ok att ha ett separat register ändå på personuppgifter? Luddigt och svårt att tolka till en praktisk tillämpning. Pratar de pärmar? Pratar de en annan databas ej tillgänglig via ett nätverk?
__________________
Vecklar ut webben - html5 / web-appar & hemsidor | angularjs / ionic framework | php med laravel / slim etc...
Johnny Viking är inte uppkopplad   Svara med citatSvara med citat
Gammal 2017-11-17, 19:40 #9
Conny Wesths avatar
Conny Westh Conny Westh är inte uppkopplad
Klarade millennium-buggen
 
Reg.datum: Aug 2005
Inlägg: 5 152
Skicka ett meddelande via MSN till Conny Westh
Conny Westh Conny Westh är inte uppkopplad
Klarade millennium-buggen
Conny Wesths avatar
 
Reg.datum: Aug 2005
Inlägg: 5 152
Skicka ett meddelande via MSN till Conny Westh
Jag skickade följande fråga till Datainspektionen:

Citat:
Fråga om tillämpning av GDPR på sociala medier/forum med offentliga inlägg av medlemmar


Hejsan,

Jag undrar hur GDPR ska eller inte ska tillämpas på sociala medier?

Det ter sig fullkomligt orimligt att en enskild person kan kräva att dennes personuppgifter som Namn eller medlemsnummer ska raderas i offentliga eller privata medlemsforum, där varje inlägg ingår i en lång diskussion mellan flera medlemmar.

Existensen av varje persons identitet som Namn eller ett antaget Alias är en integrerad och odelbar del av hela diskussionen.

Det ter sig fullkomligt orimligt ur den offentliga diskussionens synvinkel att en enskild person först kan delta i en diskussion, där andra medlemmar går i svaromål och kommenterar inläggen, för att senare kunna ångra sitt deltagande i diskussionen och kräva att dennes identitet döljs eller raderas så alla tekniska referenser till personens identitet förstörs.

Detta strider fullkomligt mot den öppenhet som präglat Internet och sociala medier sedan 30 år tillbaks i tiden.

Finns det lagrum för undantag i GDPR som kan tillämpas eller ”friskrivningar” som man kan addera tiill användaravtalet av olika sociala tjänster?

Jag deltar själv i många olika sociala forum där det skulle te sig fullkomligt orimligt om någon enstaka person skulle kunna begära att all historik som kan identifiera denne person skulle raderas. Alla personer som deltagit i diskussionen har gjort med med vetskapen om att alla inlägg publiceras offentligt och det har ju oftast varit meningen från start av dessa tjänster.

Mvh
Conny Westh
__________________
Senior Backend Systemutvecklare med inriktning mot Visual Studio, Microsoft .NET (C#, VB.NET) , databasmodellering i SQL-server, även C#/Mono på Raspberry Pi med OS Raspian/Weezy. Medgrundare av http://postagile.blog.com/ .
Conny Westh är inte uppkopplad   Svara med citatSvara med citat
Svara


Aktiva användare som för närvarande tittar på det här ämnet: 1 (0 medlemmar och 1 gäster)
 
Ämnesverktyg
Visningsalternativ

Regler för att posta
Du får inte posta nya ämnen
Du får inte posta svar
Du får inte posta bifogade filer
Du får inte redigera dina inlägg

BB-kod är
Smilies är
[IMG]-kod är
HTML-kod är av

Forumhopp


Alla tider är GMT +2. Klockan är nu 09:17.

Programvara från: vBulletin® Version 3.8.2
Copyright ©2000 - 2017, Jelsoft Enterprises Ltd.
Svensk översättning av: Anders Pettersson
 
Copyright © 2017