Sparade utkast - privacy/GDPR?

Mtp att det raderas automatisk efter 12h så bör inte det vara ett bekymmer.

Tror du att det är någon större skillnad på denna nya funktion och det du faktiskt publicerar på siten?

https://www.sweclockers.com/info

https://www.sweclockers.com/gdpr

Jag tänker att i placeholdern i inmatningsfältet för "Meddelande" så kan det innehålla information om att "10 tecken eller färre sparas ej. Annars sparas det upp til 12 timmar om du inte postar svaret. Skriv aldrig in personuppgifter här. Du kan kryssa i/ur samtycke för sparade utkast under din Profilsida." Eller inkludera den informationen i texten precis ovanför "Svara"- & "Förhandsgranska"-knapparna.

Det behövs också meddelas på något tydligt vis att sparade utkast samlas in och lagras i en viss tid enligt GDPR-lagen kapitel 13: https://www.imy.se/verksamhet/dataskydd/det-har-galler-enligt... Den kan också behöva implementeras en funktion för samtycke (kapitel 13 2c tar upp det).

Detta kan innebära en ytterligare if-sats vid kontroll av vilken användare som är kopplad till om sparat utkast ska sparas. Jag tänker att "lata" lösningen är att skicka POST, kontrollera (if) om användaren har gett samtycke till sparade utkast och om så så lagra i databas, annars förkasta POST-datat. Samma if-sats när sparade utkast ska läsas in så kontrolleras först om det finns samtycke, annars så ska inget databas anrop göras för det kan ju omöjligt finnas data då. Vi antar HTTPS och att ingen MiTM orkar försöka kapa vad någon skrivit i sparade utkast hos Sweclockers.

Sedan uppdatera om denna information på sidan om GDPR och info så är det löst tänker jag. För det mesta sunt förnuft men lag är lag!

Mvh,
WKL.

Har inte argumenterat emot i något av mina inlägg (bortsett första som ev kan tolkas som ett argument emot) 🙂 och jag håller med om att gdpr ibland sätter mer käppar i hjulen än vad det kanske var tänkt, men ibland åberopas gdpr obefogat utan att den som gör det vet vad gdpr egentligen innebär.

Kan ju vara så att swec/geeks inte tänkt på denna biten innan införandet av funktionen, men det återstår att se när/om någon officiellt svarar i denna tråd.

Fast räknas verkligen ett utkast till ett inlägg som en personuppgift? De kan innehålla personuppgifter, visst, men gäller verkligen GDPR för personuppgifter som användaren själv delgivit utan att ha blivit efterfrågad? I så fall borde det inte vara tillåtet att lagra inlägg som råkar innehålla personuppgifter alls, eftersom personuppgifter endast får samlas in för "särskilda, uttryckligt angivna och berättigade ändamål".

"En personuppgift är all slags information som direkt eller indirekt kan hänföras till en levande, fysisk person. Typiska personuppgifter är personnummer, namn och adress. Krypterade uppgifter och olika slags elektroniska identiteter är också personuppgifter om de kan kopplas till en fysisk person."

Att inte informera om att sparade utkast sker var 3:e sekund där det då sparas hos företagets databas skulle kunna betraktas som att ha en "fördröjd keylogger" i webbapplikationen även om det uppenbara ändamålet inte är av ond avsikt.

Sparade utkast lagrade i databas hos företaget skule möjligen tolkas som inte nödvändig att samla in eftersom det inte riktigt är kritiskt för att använda webbapplikationen till skillnad från användarnamn för att kunna logga in. Därför måste samtycke krävas och det måste informeras om att det "(tillfälligt) samlas in".

Jag tänker dock som sagt att det löses simpelt med information om samtycke vilket betyder att det ska vara inaktiverat som standard först så får medlemmar kryssa i det under profilsidan.

Då behövs det även information när man skickar svar där det står: "OBS: Sparade utkast är (in)aktiverat. Ändra ditt samtycke under Profilsidan". Hade det däremot lagrats via localStorage tror jag det hade varit en helt annan femma.

Mvh,
WKL.

Observera att samtycke ENDAST gäller för de datapunkter som är skäliga att lagra för att tjänsten ska fungera. Man får enligt GDPR inte be om samtycke för vilka personuppgifter som helst. Det är en grundpelarna i GDPR och det löser inte problemet om Geeks/Sweclockers har en sådan text.

Exempel: Det behövs inga personuppgifter alls för forumet ska fungera som tänkt efter att man är en registrerad användare så rent krasst får Geeks/Sweclockers inte fråga efter samtycke om att lagra fler personuppgifter som användaren skriver i en forumpost.

Exempel 2: Under ens profil kan man ange sitt fullständiga namn i ett fält. Detta är insamling av personuppgifter där Geeks/Sweclockers inte argumenterar för varför de samlar in detta. Jag har svårt att se att det ens finns något skäligt argument. Det är något för Geeks dataskyddsansvarig att fundera på.

Eftersom det automatiskt rensas är det inget problem med GDPR, du har ju sjäkv skrivit in informatioben vetandes att den kommer lagras upp till 12h.

Om du skriver in mina personuppgifter i ett mail och skickar det till någon, kommer mina uppgifter ligga hos mailprovudern, typ för evigt. Det kan inte mailprovidern hållas till svars för, men du som skrev mailet kan det.

Sweclockers har inte bett om uppgifterna som sparas i draft, så personuppgiftsansvarig skulle i det fallet vara dig själv.

Just att en användare i allmänhet, inte just de som skriver i den här tråden, faktiskt skulle veta detta ifrågasätter jag.

Instämmer, det visste inte jag heller, men det är ju inte en ursäkt så att säga. Du ska ju veta. Samma grej händer ju om du pastar in i google, browserns sökfält, Word, eller i en terminal etc. Du är ju som användare inte befriad från ansvar och eventuell fråga gällande oaksamhet ska ju tolkas restriktivt.