GDPR och företag

Vad jag har förstått ifrån Datainspektionen så är det viktiga att ni som företag ska kunna redovisa vad ni behandlar för personuppgifter och vilka åtgärder ni vidtagit för att skydda dom.
GDPR ansvarig är bra att utse på arbetsplatsen med mera.

Datainspektionen
Kvällslektyr kanske

Det gäller inte enbart IT. Även HR etc är inräknade i detta.
Det gäller ALL lagring av personuppgifter, och med det räknas all information som kan kopplas till en person, (exempelvis nyhetsbrev, mailinglistor, HR-information, löner utveckling etc.)

Du har en ganska bra guide för småföretag här!

Väljer att fortsätta på denna tråd.

Vet inte om jag är fel ute, så undrar lite hur ni tänker.
Läser man t ex här:
https://www.acando.se/vad-vi-kan/teman/cio-insights/gdpr-ett-...

Så ser man:

Det jag nu, i vanlig ordning, är förbannad över, är att jag inte tycker att företagen ens är i närheten av detta.
Det enda alla jävla miljontals mail man fått, är nått i stil med detta:

Jaha? Vad hände med att jag skulle få välja?
Vad hände med att jag aktivt måste ge mitt godkännande?

Jag vill ju helt enkelt säga åt NetOnNet:
"Jag vill att ni enbart lagrar minsta möjliga info för att kunna levera mina ordrar. Jag vill öht inte att mina personuppgifter används för saker som 'business intelligence' eller 'riktad reklam / marknadsföring'. Vidare vill jag avsäga mig all kontakt från ert håll, såvida det inte gäller ordrar som jag själv lagt".

Men, vet verkar ju INTE ALLS vara så som företagen nu försöker smita undan...?

Problemet är att med den amerikanska 'Cloud act', som som klubbades i USA 23 mars i år (om jag mins rätt), kommit lite i skymundan (avsiktligt?) i och med GDPR och är precis tvärt emot syftet med GDPR, så kan inga amerikansk-ägda företag förvägra insyn i deras data och databaser från amerikanska myndigheter oavsett var de lagrar dem över världen.

Med andra ord, Amerikansk företag som parkera datalagringen i Europa ger ingen skydd från insyn av amerikanska myndigheter om företaget som hanterar det är registrerad Amerikansk.

I princip skjuter det i sank med hela iden med tex. office365 och dess molnlagring (onedrive...) som MS försöker marknadsföra och många andra molntjänster eftersom kontorsjobb förr eller senare hanterar personuppgifter (dvs. öppnad dokumentet i word eller excel som innehåller personuppgifter) och persondata kan riskera läcka in i MS och andra företags lagringssystem utan medgivande från brukaren...

Sedan är frågan om kryssrutor som tillåter eller avböjer olika saker bl.a frågor om GDPR, verkligen är giltiga avtal, vad jag vet så är inte shrink-wrap avtal, som ovanstående kan klassas som, giltiga i sverige då sådana avtal kan fyllas i av barn och ungdomar (och många vuxna för den delen också) som inte förstår innebörden av vad som visas på skärmen utan 'klickar' tills det fungerar...

Utan jag gissar att för sådant skall anses juridiskt bindande så måste svaren låsas till en specifik person via bank-id eller annan certifikat/legitimation - alternativt papper och skrivas under med bläckpenna och skickas fram och tillbaka på samma sätt som vid bankhandlingar.

Ja, och jag hade ju då tänkt att utföra mitt jobb genom att använda t ex ”Mina sidor” hos dom, som jag då förväntade mig skulle bli uppdaterade med fler ”settings” där jga kan utföra mitt jobb.

Hur menar du nu att man ska gå vidare, när dom skickar sina intetsägande nonchalanta mail?
Kontakta kundtjänst är ju meningslöst, dom har ju noll koll.

Har däremot för mig att det måste finnas ansvarig(a) för GDPR på företaget, men frågan är om det även gäller mot kund?

Sist men inte minst var det mer bara en fråga kring ett trist konstaterande, att det i min uppfattning verkar som att företagen kör nått sneaky race men ville mer bara se om jag fattat det hela fel.

@BasseBaba: Tror du får läsa på lite först runt GDPR, dataminimering (att inte använda mer än man behöver för syftet med data) är ett av kraven, inget du behöver begära. Finns det sen "giltigt ändamål" att använda datat så har de rätt att använda datat. D.v.s. är du befintlig kund och godkänt att du är kund hos dom så har de sitt "giltiga ändamål" där. Det du kan göra är använda din "rätt att bli glömd" och kontakta kundtjänst och meddela att du inte vill vara kund längre och att de ska radera alla uppgifter som de har om dig.

@Mindfighter: fast det står ju t ex att dom inte längre får ”anta” att jag vill ha riktat info, t ex nyhetsbrev och reklam.

Då hade ju jag hoppats på att alla företag som bara förutsatt att jag vill ha det förut, skulle tvingas fråga mig om det nu.
Men som sagt, som kanske kommer undan med att jag är befintlig kund.

Bredband2 har ju gjort mer så som jag menar, kolla på deras hemsida så står det att man är välkommen att kontakta dom gällande alla dessa grejor, samt hur man ska gå tillväga om man vill ha ut sin info.
Det är mer den nivån jag hade väntat mig överallt, minimum.

Könns som sagt att dom flesta försöker komma undan.

Och nej, giltigt ändamål ska vara giltigt för den tjänsten jag använder. Dom ska inte lagra och nyttja mer info än det som minimum krävs för att leverera tjänsten samt följa andra lagar.
Jag är ÖVERTYGAD om att det är horribelt många som lagrar för mycket info, främst eftersom jag själv jobbat med det från företagens sida
Det förra företaget jag var på, skulle bli tvugna att radera typ 80% av allt insamlat data då det enbart användes till saker som gynnade företaget och inte kunderna.

Frågan är då nu hur man som paranoid kind ska säkerställa att detta verkligen följs. Tycker infot ut från företagen är alldeles för dåligt och generiskt för det.

Sen ska man ju t ex även kunna begära ut sin kunddata i standariserad maskinläsbar form, t ex json eller XML. Helst på egen hand via ”mina sidor”. Har inte sett ett enda ställe beskriva hur man får ut det

Helt enkelt, jag anser att dom första ligger långt långt ifrån att på ett bra sätt stöda GDPR. Utan istället valde att rida på vågen med information om att min data hos dom är ”säker”.

Tror inte ni förstår hur problematiskt och komplext detta är. Många ställen jag sett har varit skitnöjda ”ja nu kan vi radera en kund ur databasen”. Jaha? Men alla loggfiler överallt? Andra anslutna system? Backuper? Dev-dumps utvecklarna kör lokalt? Osv osv osv.
Tro mig, hela detta område är KAOS och jag vågar lova att inte ett enda företag i Sverige egentligen lever upp till kraven.

Precis. Och det här leder ju till så mkt smuts. Återigen ett ställe jag var på, satte ett par junis-jurister att leta upp så mycket som möjligt gällande det där, så man skulle kunna minimera mängden data man behövde rensa ut.
Sen att den datan ändå fick stanna kvar i ETL:en för BI-systemen, ”oops”

Där tror jag du är lite fel ute. Personuppgifter får överföras till tredje land under vissa villkor enligt PuL:

Tredje land
Om personuppgifter kommer att behandlas av personuppgiftsbiträden i ett land utanför EU/EES måste den personuppgiftsansvarige se till att något av undantagen från förbudet mot överföring till tredje land kan tillämpas, till exempel samtycke, standardavtalsklausuler eller anslutande till Privacy Shield.
Källa https://www.datainspektionen.se/lagar-och-regler/personuppgif...

Fast nu är ju PuL på väg ut så det är väl mer intressant att se på vad GDPR säger om överföring till tredje land, vilket är ungefär detsamma. Överföring till tredje land är tillåtet om vissa villkor är uppfyllda:

Överföring av personuppgifter till tredje land får enligt dataskyddsförordningen ske i följande situationer och under förutsättning att övriga regler i förordningen följs. ...
Källa https://www.datainspektionen.se/dataskyddsreformen/dataskydds...

Dock innebär lagring av personuppgifter i/på en molntjänst att man troligtvis måste upprätta ett personuppgiftsbiträdesavtal med tjänsteleverantören, se första länken ovan.

Det jobbiga är dessutom att många myndigheter har motstridiga krav. Jobbar t.ex. år Finansföretag som tvingas vällja mellan att uppfylla GDPR från Integritetsmyndigheten (fd Datainspektionen) eller Finansinspektionen. Krävs inget direkt geni för att inse vilken myndighets krav man då kommer gå på...

Fick i dagarna mail från Spotify, som verkar ha implementerat det hela mer åt ett håll i vad jag anser korrekt.
Återstår att se hur pass bra det sen blir. Kanske bara spel för galleriet.

Japp, det är ett vanligt missförstånd att GDPR bara gäller IT. Jobbar på ett IT-företag, och vi har fått en del förfrågning typ (parafraserat) "Hej, ni som håller på med IT, kan ni fixa GDPR åt oss?"

Frågan kan ha besvarats, jag jobbar på kundtjänst på ett hyfsat stort företag. Vi har skickat ut ett mail som informerar kunderna om den nya lagen, måste vi som företag också skicka ut en länk till alla våra registrerade medlemmar med någon form av "Klicka här för att godkänna de nya villkoren", eller räcker det med att informera?

@Vidalism: Värre är det för föreningar som anlitat service utifrån som inte har koll på läget.

Testat slå av uBlock Origin?