Permalänk
Medlem

GDPR fråga

Jag leker lite med tanken på att starta ett forum för min yrkesgrupp, och har en fundering om GDPR i samband med detta som självklart ska följas.

Vid ett återkallande av samtycke till personuppgifter (Användarnamn (Pseudonym rekommenderas alltid), epost och lösenord så ändras användarnamnet till ett anonym[sifferkombination] användarnamn, eposten raderas och lösenordet sätts till ett komplext så inte den förra ägaren heller kommer in.

Däremot så försöker jag föra in i vår policy att inlägg som kontot har skapat stannar kvar just för att det inte ska bli gap i diskussionerna. Hur ser det ut på den juridiska fronten här, är det OK eller ska allt raderas?

Permalänk
Medlem

Det svåra tror jag är att det beror ju på innehållet och så men annars kan du ju ändra posten till att reflektera att användaren är borttagen?

Permalänk
Medlem
Skrivet av Ferrat:

Det svåra tror jag är att det beror ju på innehållet och så men annars kan du ju ändra posten till att reflektera att användaren är borttagen?

Det kan ju bli väldigt många beroende på hur länge personen varit medlem och hur aktiv denne varit. Då får man kanske nästan pilla i databasen med ett skript som går efter allt som personen skrivit. Ska det vara så invecklat? :/

Permalänk
Medlem
Skrivet av iBurningMan:

Det kan ju bli väldigt många beroende på hur länge personen varit medlem och hur aktiv denne varit. Då får man kanske nästan pilla i databasen med ett skript som går efter allt som personen skrivit. Ska det vara så invecklat? :/

Troligen så sparas ju användarinformationen i en egen tabell i databasen, så ändringen behöver bara ske på ett ställe för att den ska synas på alla användarens inlägg. Då går det även att lägga med att användaren vid avregistrering aktivt ska välja att alla hens inlägg ska finnas kvar eller att alla raderas, och på så sätt accepterat om dessa finns kvar även efter avregistrering

Permalänk
Medlem

Jag jobbar mycket med GDPR och som standard blankas all fritext användaren kan skriva, eftersom vi annars inte kan garantera att det inte lämnats någon text som identifierar personen.

Och speciellt invecklat är det inte om du har en databas i botten.

Permalänk
Medlem
Skrivet av Anaii:

Jag jobbar mycket med GDPR och som standard blankas all fritext användaren kan skriva, eftersom vi annars inte kan garantera att det inte lämnats någon text som identifierar personen.

Och speciellt invecklat är det inte om du har en databas i botten.

Det är det säkert inte för den som kan något om databaser

Det blir kanske lite problematiskt med citatfunktionen också. Måste kolla upp hur mjukvaran reagerar vid en anonymisering av ett konto, så det också uppdateras.

Permalänk
Medlem
Skrivet av iBurningMan:

Det är det säkert inte för den som kan något om databaser

Det blir kanske lite problematiskt med citatfunktionen också. Måste kolla upp hur mjukvaran reagerar vid en anonymisering av ett konto, så det också uppdateras.

Troligen så hålls ett internt, anonymiserat, användarid i bakgrunden även vid citatfunktionen, och användarnamnet hämtas ur databasen i samband med att en request görs på sidan som ska innehålla informationen. Så om en användare tas bort ur databasen så borde namnet i citatet även bytas ut mot ”borttagen” eller vad man nu valt, och det borde även ganska enkelt få hela citat-kodblocket att inte renderas alls

Permalänk
Moderator
Skrivet av iBurningMan:

Däremot så försöker jag föra in i vår policy att inlägg som kontot har skapat stannar kvar just för att det inte ska bli gap i diskussionerna. Hur ser det ut på den juridiska fronten här, är det OK eller ska allt raderas?

[absolut ingen kvalificerad rådgivning utan endast personliga reflektioner efter att själv ha jobbat en aning med GDPR]
Läser man lagen så är det endast personlig information som användaren kan kräva ska tas bort. Definitionen (som också står i lagtexten) på detta är information som går att koppla till och identifiera en ensam individ vilket lämnar rum för tolkning, som alltid när det gäller lag. Vet inte vilket område du skapar ditt forum inom men för att ta SweC som exempel; skulle ett inlägg där man rekommenderar grafikkort X över grafikkort Y räknas som personlig information under dessa regler? Du har inte skrivit något som helst om dig själv.

Permalänk
Medlem
Skrivet av Andreaz1:

[absolut ingen kvalificerad rådgivning utan endast personliga reflektioner efter att själv ha jobbat en aning med GDPR]
Läser man lagen så är det endast personlig information som användaren kan kräva ska tas bort. Definitionen (som också står i lagtexten) på detta är information som går att koppla till och identifiera en ensam individ vilket lämnar rum för tolkning, som alltid när det gäller lag. Vet inte vilket område du skapar ditt forum inom men för att ta SweC som exempel; skulle ett inlägg där man rekommenderar grafikkort X över grafikkort Y räknas som personlig information under dessa regler? Du har inte skrivit något som helst om dig själv.

Problemet är väl mer att det är helt ohållbart att behöva gå igenom en användares alla inlägg för att se vad de skrivit när de vill ta bort sig.

Permalänk
Medlem
Skrivet av Andreaz1:

[absolut ingen kvalificerad rådgivning utan endast personliga reflektioner efter att själv ha jobbat en aning med GDPR]
Läser man lagen så är det endast personlig information som användaren kan kräva ska tas bort. Definitionen (som också står i lagtexten) på detta är information som går att koppla till och identifiera en ensam individ vilket lämnar rum för tolkning, som alltid när det gäller lag. Vet inte vilket område du skapar ditt forum inom men för att ta SweC som exempel; skulle ett inlägg där man rekommenderar grafikkort X över grafikkort Y räknas som personlig information under dessa regler? Du har inte skrivit något som helst om dig själv.

Men gäller det information som användarent helt frivilligt och offentligt delar med sig också?