Trädvy Permalänk
Medlem
Plats
Västra Götaland
Registrerad
Jun 2009

GDPR och företag

Snart träder ju den nya lagen, GDPR, i kraft.
Är det någon som har en förståelse kring hur man som småföretag (som inte är IT företag) ska förhålla sig till den nya lagen?
Självklart hanterar vi en del personuppgifter ändå ; information om anställda osv. Hur ska annars lönerna betalas ut och redovisas till diverse mydigheter. Räcker det att vi tar bort all form av personliga uppgifter från t ex Onedrive/ molnet och våra datorer? För visst är GDPR enbart relaterat till IT?

Måste man ta in en dyr GDPR konsult eller kan man få klarhet över vilka punkter man måste beta av för att sova gott om nätterna? Missköter man sig kan man ju åka på äckligt dryga böter.

Trädvy Permalänk
Medlem
Plats
Falköping
Registrerad
Jan 2009

Vad jag har förstått ifrån Datainspektionen så är det viktiga att ni som företag ska kunna redovisa vad ni behandlar för personuppgifter och vilka åtgärder ni vidtagit för att skydda dom.
GDPR ansvarig är bra att utse på arbetsplatsen med mera.

Datainspektionen
Kvällslektyr kanske

Asus Prime B350-Plus | Ryzen 7 1800X @ 4.6Ghz | Corsair Vengeance LP 2x8gb 3000Mhz | Asus GTX 1060 6GB |
Samsung 840 250Gb | Geeetech i3x

Trädvy Permalänk
Medlem
Plats
Halmstad
Registrerad
Okt 2010

Det gäller inte enbart IT. Även HR etc är inräknade i detta.
Det gäller ALL lagring av personuppgifter, och med det räknas all information som kan kopplas till en person, (exempelvis nyhetsbrev, mailinglistor, HR-information, löner utveckling etc.)

Du har en ganska bra guide för småföretag här!

Processor: Intel Core i7 3970X 4.6GHz Moderkort: ASUS P9X79 Deluxe Grafikkort: 2xGeForce GTX1080 8Gb Nätaggregat: Corsair AX 1200i Digital 1200W 80+ Platinum HDD: 1 Intel 910 PCIe 800GB, RAID1 2xSSD OCZ Vertex 3 480GB,Chassi: Antec Performance One P280 XL-ATX Super Ram: HyperX 64GB DDR3 PC3-19200 2400MHzSkärm: Asus 3X28" PB287QNAS: Qsnap Linksys 12TBHTPC: Intel NUC & Zotac UH65

Trädvy Permalänk
Medlem
Plats
Västra Götaland
Registrerad
Jun 2009

Tack för länkarna.

Jag har tidigare läst mig till vad det är som gäller men informationen hittills har varit spretig och rätt vag... men enligt de länkar som ni givit exempel på i tråden verkar det som att det räcker att man skriftligt informerar (och får skriftlig jakande svar förhoppningsvis) de anställda om varför en del personuppgifter måste lagras, var den lagras och hur den säkras. Att dokumentation tydligt finns i alla led?

Trädvy Permalänk
Medlem
Registrerad
Aug 2002

Väljer att fortsätta på denna tråd.

Vet inte om jag är fel ute, så undrar lite hur ni tänker.
Läser man t ex här:
https://www.acando.se/vad-vi-kan/teman/cio-insights/gdpr-ett-...

Så ser man:

Citat:

Det GDPR syftar till är att säkerställa att kunderna nås av relevant kommunikation och budskap på konsumentens egna villkor.

Citat:

GDPR innebär att kunden aktivt måste ge sitt medgivande för att företaget ska få spara uppgifter och kontakta hen framöver. Målet blir därför att som företag vara så pass relevant att konsumenten självklart ger sin tillåtelse att spara uppgifter för framtida kommunikation.

Citat:

I praktiken kommer företag inte längre kunna utgå ifrån att kunder vill bli kontaktade med kampanjer och innehåll, utan man måste säkerställa att kunden aktivt ger sitt medgivande för framtida bearbetning. Med aktivt medgivande menas att konsumenten själv måste kryssa för, eller på annat sätt aktivt visa, att kunden är införstådd med vad insamlingen av personuppgifterna innebär och att hen godkänner detta. Exempelvis går det inte längre att utgå ifrån att konsumenten som är med och tävlar på sociala medier vill att personuppgifterna från tävlingen sparas och används vid framtida kampanjer från företaget.

Det jag nu, i vanlig ordning, är förbannad över, är att jag inte tycker att företagen ens är i närheten av detta.
Det enda alla jävla miljontals mail man fått, är nått i stil med detta:

Citat:

Hej!
Till dig som medlem i vår kundklubb Klubbhyllan vill vi informera om en förändring i hanteringen av personuppgifter framöver.

Den 25 maj i år börjar en ny EU-förordning gälla: GDPR (General Data Protection Regulation) vilken ersätter den tidigare svenska Personuppgiftslagen (PUL). För dig kommer det inte att vara så stor skillnad, men kraven på hur vi företag får behandla personuppgifter skärps.

På NetOnNet tycker vi det är viktigt att hålla en hög nivå av skydd för din personliga integritet och har på grund av GDPR valt att förtydliga våra medlemsvillkor. Till medlemsvillkoren har vi också lagt till en integritetspolicy som mer tydligt och ingående beskriver hur vi sparar och analyserar din personliga information.

Jaha? Vad hände med att jag skulle få välja?
Vad hände med att jag aktivt måste ge mitt godkännande?

Jag vill ju helt enkelt säga åt NetOnNet:
"Jag vill att ni enbart lagrar minsta möjliga info för att kunna levera mina ordrar. Jag vill öht inte att mina personuppgifter används för saker som 'business intelligence' eller 'riktad reklam / marknadsföring'. Vidare vill jag avsäga mig all kontakt från ert håll, såvida det inte gäller ordrar som jag själv lagt".

Men, vet verkar ju INTE ALLS vara så som företagen nu försöker smita undan...?

OBS! Mina inlägg ska, där applicerbart, ses som mer allmänt filosoferande och avspeglar långt ifrån alltid min personliga åsikt i frågan.

Trädvy Permalänk
Medlem
Registrerad
Apr 2013
Skrivet av newtoninja:

Snart träder ju den nya lagen, GDPR, i kraft.
Är det någon som har en förståelse kring hur man som småföretag (som inte är IT företag) ska förhålla sig till den nya lagen?
Självklart hanterar vi en del personuppgifter ändå ; information om anställda osv. Hur ska annars lönerna betalas ut och redovisas till diverse mydigheter. Räcker det att vi tar bort all form av personliga uppgifter från t ex Onedrive/ molnet och våra datorer? För visst är GDPR enbart relaterat till IT?

Måste man ta in en dyr GDPR konsult eller kan man få klarhet över vilka punkter man måste beta av för att sova gott om nätterna? Missköter man sig kan man ju åka på äckligt dryga böter.

Personuppgifter på onedrive är redan ett brott mot PUL om ni inte fått ms att garantera att dom lagras i EU.

Trädvy Permalänk
Medlem
Registrerad
Apr 2013
Skrivet av BasseBaba:

Väljer att fortsätta på denna tråd.

Vet inte om jag är fel ute, så undrar lite hur ni tänker.
Läser man t ex här:
https://www.acando.se/vad-vi-kan/teman/cio-insights/gdpr-ett-...

Så ser man:
Det jag nu, i vanlig ordning, är förbannad över, är att jag inte tycker att företagen ens är i närheten av detta.
Det enda alla jävla miljontals mail man fått, är nått i stil med detta:

Jaha? Vad hände med att jag skulle få välja?
Vad hände med att jag aktivt måste ge mitt godkännande?

Jag vill ju helt enkelt säga åt NetOnNet:
"Jag vill att ni enbart lagrar minsta möjliga info för att kunna levera mina ordrar. Jag vill öht inte att mina personuppgifter används för saker som 'business intelligence' eller 'riktad reklam / marknadsföring'. Vidare vill jag avsäga mig all kontakt från ert håll, såvida det inte gäller ordrar som jag själv lagt".

Men, vet verkar ju INTE ALLS vara så som företagen nu försöker smita undan...?

Det är ju deras jobb att nyttja datan till max och ditt jobb att se till att dom inte kan det.

Trädvy Permalänk
Medlem
Registrerad
Aug 2016
Skrivet av aluser:

Personuppgifter på onedrive är redan ett brott mot PUL om ni inte fått ms att garantera att dom lagras i EU.

Problemet är att med den amerikanska 'Cloud act', som som klubbades i USA 23 mars i år (om jag mins rätt), kommit lite i skymundan (avsiktligt?) i och med GDPR och är precis tvärt emot syftet med GDPR, så kan inga amerikansk-ägda företag förvägra insyn i deras data och databaser från amerikanska myndigheter oavsett var de lagrar dem över världen.

Med andra ord, Amerikansk företag som parkera datalagringen i Europa ger ingen skydd från insyn av amerikanska myndigheter om företaget som hanterar det är registrerad Amerikansk.

I princip skjuter det i sank med hela iden med tex. office365 och dess molnlagring (onedrive...) som MS försöker marknadsföra och många andra molntjänster eftersom kontorsjobb förr eller senare hanterar personuppgifter (dvs. öppnad dokumentet i word eller excel som innehåller personuppgifter) och persondata kan riskera läcka in i MS och andra företags lagringssystem utan medgivande från brukaren...

Sedan är frågan om kryssrutor som tillåter eller avböjer olika saker bl.a frågor om GDPR, verkligen är giltiga avtal, vad jag vet så är inte shrink-wrap avtal, som ovanstående kan klassas som, giltiga i sverige då sådana avtal kan fyllas i av barn och ungdomar (och många vuxna för den delen också) som inte förstår innebörden av vad som visas på skärmen utan 'klickar' tills det fungerar...

Utan jag gissar att för sådant skall anses juridiskt bindande så måste svaren låsas till en specifik person via bank-id eller annan certifikat/legitimation - alternativt papper och skrivas under med bläckpenna och skickas fram och tillbaka på samma sätt som vid bankhandlingar.

Trädvy Permalänk
Medlem
Registrerad
Aug 2002
Skrivet av aluser:

Det är ju deras jobb att nyttja datan till max och ditt jobb att se till att dom inte kan det.

Ja, och jag hade ju då tänkt att utföra mitt jobb genom att använda t ex ”Mina sidor” hos dom, som jag då förväntade mig skulle bli uppdaterade med fler ”settings” där jga kan utföra mitt jobb.

Hur menar du nu att man ska gå vidare, när dom skickar sina intetsägande nonchalanta mail?
Kontakta kundtjänst är ju meningslöst, dom har ju noll koll.

Har däremot för mig att det måste finnas ansvarig(a) för GDPR på företaget, men frågan är om det även gäller mot kund?

Sist men inte minst var det mer bara en fråga kring ett trist konstaterande, att det i min uppfattning verkar som att företagen kör nått sneaky race men ville mer bara se om jag fattat det hela fel.

OBS! Mina inlägg ska, där applicerbart, ses som mer allmänt filosoferande och avspeglar långt ifrån alltid min personliga åsikt i frågan.

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Maj 2005

@BasseBaba: Tror du får läsa på lite först runt GDPR, dataminimering (att inte använda mer än man behöver för syftet med data) är ett av kraven, inget du behöver begära. Finns det sen "giltigt ändamål" att använda datat så har de rätt att använda datat. D.v.s. är du befintlig kund och godkänt att du är kund hos dom så har de sitt "giltiga ändamål" där. Det du kan göra är använda din "rätt att bli glömd" och kontakta kundtjänst och meddela att du inte vill vara kund längre och att de ska radera alla uppgifter som de har om dig.

8086k|Asus Z370i|EVGA 1080ti Hybrid SC2|16 GB ram|1 TB Samsung 970 EVO

Trädvy Permalänk
Medlem
Registrerad
Aug 2002

@Mindfighter: fast det står ju t ex att dom inte längre får ”anta” att jag vill ha riktat info, t ex nyhetsbrev och reklam.

Då hade ju jag hoppats på att alla företag som bara förutsatt att jag vill ha det förut, skulle tvingas fråga mig om det nu.
Men som sagt, som kanske kommer undan med att jag är befintlig kund.

Bredband2 har ju gjort mer så som jag menar, kolla på deras hemsida så står det att man är välkommen att kontakta dom gällande alla dessa grejor, samt hur man ska gå tillväga om man vill ha ut sin info.
Det är mer den nivån jag hade väntat mig överallt, minimum.

Könns som sagt att dom flesta försöker komma undan.

Och nej, giltigt ändamål ska vara giltigt för den tjänsten jag använder. Dom ska inte lagra och nyttja mer info än det som minimum krävs för att leverera tjänsten samt följa andra lagar.
Jag är ÖVERTYGAD om att det är horribelt många som lagrar för mycket info, främst eftersom jag själv jobbat med det från företagens sida
Det förra företaget jag var på, skulle bli tvugna att radera typ 80% av allt insamlat data då det enbart användes till saker som gynnade företaget och inte kunderna.

Frågan är då nu hur man som paranoid kind ska säkerställa att detta verkligen följs. Tycker infot ut från företagen är alldeles för dåligt och generiskt för det.

Sen ska man ju t ex även kunna begära ut sin kunddata i standariserad maskinläsbar form, t ex json eller XML. Helst på egen hand via ”mina sidor”. Har inte sett ett enda ställe beskriva hur man får ut det

Helt enkelt, jag anser att dom första ligger långt långt ifrån att på ett bra sätt stöda GDPR. Utan istället valde att rida på vågen med information om att min data hos dom är ”säker”.

Tror inte ni förstår hur problematiskt och komplext detta är. Många ställen jag sett har varit skitnöjda ”ja nu kan vi radera en kund ur databasen”. Jaha? Men alla loggfiler överallt? Andra anslutna system? Backuper? Dev-dumps utvecklarna kör lokalt? Osv osv osv.
Tro mig, hela detta område är KAOS och jag vågar lova att inte ett enda företag i Sverige egentligen lever upp till kraven.

OBS! Mina inlägg ska, där applicerbart, ses som mer allmänt filosoferande och avspeglar långt ifrån alltid min personliga åsikt i frågan.

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Dec 2001
Skrivet av Mindfighter:

@BasseBaba: Tror du får läsa på lite först runt GDPR, dataminimering (att inte använda mer än man behöver för syftet med data) är ett av kraven, inget du behöver begära. Finns det sen "giltigt ändamål" att använda datat så har de rätt att använda datat. D.v.s. är du befintlig kund och godkänt att du är kund hos dom så har de sitt "giltiga ändamål" där. Det du kan göra är använda din "rätt att bli glömd" och kontakta kundtjänst och meddela att du inte vill vara kund längre och att de ska radera alla uppgifter som de har om dig.

Inte helt rätt, behöver inte (eller rättare sagt får inte) radera alla uppgifter om det finns laglig rätt att spara dessa, så kallat Rättslig förpliktelse som vid tex bokföringslagen.

Trädvy Permalänk
Medlem
Registrerad
Aug 2002
Skrivet av Pimpmobile:

Inte helt rätt, behöver inte (eller rättare sagt får inte) radera alla uppgifter om det finns laglig rätt att spara dessa, så kallat Rättslig förpliktelse som vid tex bokföringslagen.

Precis. Och det här leder ju till så mkt smuts. Återigen ett ställe jag var på, satte ett par junis-jurister att leta upp så mycket som möjligt gällande det där, så man skulle kunna minimera mängden data man behövde rensa ut.
Sen att den datan ändå fick stanna kvar i ETL:en för BI-systemen, ”oops”

OBS! Mina inlägg ska, där applicerbart, ses som mer allmänt filosoferande och avspeglar långt ifrån alltid min personliga åsikt i frågan.

Trädvy Permalänk
Medlem
Plats
Malmö
Registrerad
Sep 2010
Skrivet av aluser:

Personuppgifter på onedrive är redan ett brott mot PUL om ni inte fått ms att garantera att dom lagras i EU.

Där tror jag du är lite fel ute. Personuppgifter får överföras till tredje land under vissa villkor enligt PuL:

Tredje land
Om personuppgifter kommer att behandlas av personuppgiftsbiträden i ett land utanför EU/EES måste den personuppgiftsansvarige se till att något av undantagen från förbudet mot överföring till tredje land kan tillämpas, till exempel samtycke, standardavtalsklausuler eller anslutande till Privacy Shield.

Källa https://www.datainspektionen.se/lagar-och-regler/personuppgif...

Fast nu är ju PuL på väg ut så det är väl mer intressant att se på vad GDPR säger om överföring till tredje land, vilket är ungefär detsamma. Överföring till tredje land är tillåtet om vissa villkor är uppfyllda:

Överföring av personuppgifter till tredje land får enligt dataskyddsförordningen ske i följande situationer och under förutsättning att övriga regler i förordningen följs. ...
Källa https://www.datainspektionen.se/dataskyddsreformen/dataskydds...

Dock innebär lagring av personuppgifter i/på en molntjänst att man troligtvis måste upprätta ett personuppgiftsbiträdesavtal med tjänsteleverantören, se första länken ovan.

"I have a hammer! I can put things together! I can knock things apart! I can alter my environment at will and make an incredible din all the while! Ah, it’s great to be male!"

Trädvy Permalänk
Medlem
Registrerad
Apr 2006

Det jobbiga är dessutom att många myndigheter har motstridiga krav. Jobbar t.ex. år Finansföretag som tvingas vällja mellan att uppfylla GDPR från Integritetsmyndigheten (fd Datainspektionen) eller Finansinspektionen. Krävs inget direkt geni för att inse vilken myndighets krav man då kommer gå på...

Trädvy Permalänk
Medlem
Plats
Jönköping
Registrerad
Mar 2010

Jag jobbar på ett litet företag med ca 20 anställda, vi jobbar enbart med b2b försäljning.
Jag precis som många andra har tjänstetelefon som jag får använda använda privat.

Nu har min chef bestämt att pga GDPR får vi inte längre använda telefonerna privat.
Eller egentligen får vi det, men vi får inte ha några personuppgifter i telefonen på privatpersoner som vi ej har skrivit avtal med.

Känns lite surt att behöva köpa en privat mobil enbart pga detta 😞

Inga av de vänner jag har pratat med som också har tjänstetelefon behöver göra detta.
Hur gör era arbetsgivare?

Skickades från m.sweclockers.com

Trädvy Permalänk
Medlem
Registrerad
Aug 2002

Fick i dagarna mail från Spotify, som verkar ha implementerat det hela mer åt ett håll i vad jag anser korrekt.
Återstår att se hur pass bra det sen blir. Kanske bara spel för galleriet.

Citat:

Under de kommande veckorna lanserar vi också nya verktyg som omfattar ett nytt sekretesscenter på Spotify.com och en ny sida med sekretessinställningar i ditt konto så att du lättare kan förstå och hantera din sekretessval, inklusive en ny knapp för att ”ladda ner dina uppgifter”.

OBS! Mina inlägg ska, där applicerbart, ses som mer allmänt filosoferande och avspeglar långt ifrån alltid min personliga åsikt i frågan.

Trädvy Permalänk
Medlem
Plats
Uppsala
Registrerad
Jul 2001
Skrivet av Reaverinc:

Det gäller inte enbart IT. Även HR etc är inräknade i detta.
Det gäller ALL lagring av personuppgifter, och med det räknas all information som kan kopplas till en person, (exempelvis nyhetsbrev, mailinglistor, HR-information, löner utveckling etc.)

Du har en ganska bra guide för småföretag här!

Japp, det är ett vanligt missförstånd att GDPR bara gäller IT. Jobbar på ett IT-företag, och vi har fått en del förfrågning typ (parafraserat) "Hej, ni som håller på med IT, kan ni fixa GDPR åt oss?"

Ryzen 7 1800X, Asus Prime X370 Pro, 16 GB DDR4 3200 C14, Asus GTX 1070, 2,3 TB SSD, Win10

Trädvy Permalänk
Medlem
Plats
Söderköping
Registrerad
Jun 2005

Frågan kan ha besvarats, jag jobbar på kundtjänst på ett hyfsat stort företag. Vi har skickat ut ett mail som informerar kunderna om den nya lagen, måste vi som företag också skicka ut en länk till alla våra registrerade medlemmar med någon form av "Klicka här för att godkänna de nya villkoren", eller räcker det med att informera?

GA-Z68AP-D3 | i2500k @ 4.5GHz, Hyper 212 Plus | 340GB SSD | 8GB ram | EVGA GTX 770 | XFX Pro 650w, bytt fläkt | Asus MG279Q | Creative Xtremegamer | Dynavoice S-61, Challenger M-65 EX, Challenger C-5 EX, XTZ 99 W8.16, Yamaha RX-V375 | Sony MDR-1A | S8

Trädvy Permalänk
Medlem
Registrerad
Jun 2018

Den här jävla nua regeln. Vad ska man göra med sin blogg som man berdiver? Den är inte i vinstsyfte.

Trädvy Permalänk
Medlem
Plats
Västra Götaland
Registrerad
Mar 2016

@Vidalism: Värre är det för föreningar som anlitat service utifrån som inte har koll på läget.

Ryzen 1800X - Palit Nvidia GTX 1080 - Samsung (2016) 4K UHD TV som skärm och Samsung HW-K960 till ljudet.

Trädvy Permalänk
Medlem
Registrerad
Jul 2017
Skrivet av yrfhar:

@Vidalism: Värre är det för föreningar som anlitat service utifrån som inte har koll på läget.

https://youtu.be/kC4ZKvQi-lo

Testat slå av uBlock Origin?

För bäst hjälp, försök att svara på alla frågor som ställs i ett inlägg. Då slipper vi fråga om samma sak fler gånger, och du får hjälp snabbare.

Trädvy Permalänk
Medlem
Plats
Skåne
Registrerad
Maj 2012

@yrfhar: Funkar för mig

CPU: 3930k||GPU: MSI 1080 TI||IBM MODEL M SSK
https://kluwert.se

Trädvy Permalänk
Medlem
Plats
Västra Götaland
Registrerad
Mar 2016

@h3l1m4n: Fungerar för mig också nu. Mejlade FS och skrev meddelande på bokningsföretagets facebooksida.

Ryzen 1800X - Palit Nvidia GTX 1080 - Samsung (2016) 4K UHD TV som skärm och Samsung HW-K960 till ljudet.

Trädvy Permalänk
Medlem
Plats
Härnösand
Registrerad
Jan 2016

Någon som har provat begära ut de från FRA? Även myndigheter är inkluderade i kunna behöva lämna ut den data, och också förklara varför den data de sparar är till för, de får inte spara mer data än vad som krävs.

Försökte få ISP och Telefonoperatören och radera data de sparar för spara massövervakningen då de inte anses nödvändigt och inneha för att kunna föra tjänsten, var dock lite svårare på telefonoperatörerna då de har nummer sparningar och längd för kunna ha debitering.

Försökte häva att jag har ett fast pris för obegränsade samtal, sms/mms, 4GB surf och behövde därmed inte ens ha vilka nummer jag ringer till då de inte debiteras per minut.

Någon som vet hur det egentligen är på den fronten? För där nekade de mig, kan förstå att de kan behöva spara samtal längd nummer och land om man betalar per minut etc, men de ska väl inte behövas om man har fast pris abonnemang.