[Løst] Apputviklere og GDPR

[EndreT_]

Leverandøren "Bjarnes APPer" har laget og drifter en norsk app kallt MangoPLAY hvor flere tusen kunder har registrert personalia, kjøpshistorikk m.m,. I hennhold til GDPR skal dataene kunne eksporteres i ett strukturert format (XML).

 

Selskapet Mango AS er bestilleren av appen MangoPLAY, og juridisk eier av appen. 

 

Leverandør (Bjarnes APPer)

Kunde (Mango AS)

Sluttbruker (Ola Normann)

 

Spørsmål:

- Er det slik med GDPR at Ola Normann direkte skal kunne vise, endre, slette registrert data omhandlende Ola, som et direkte sugerør inn til MangoPLAY?

- Hvis ja må vel autentisering foregå over BankID? Hvordan ellers sørge for korrekt autentisering av en person?

- Hvis Bjarnes APPer hadde hostet databasen utenom NO/ EU, ville man kunne unngå GDPR lovgivingen?

- Hva om Bjarnes APPer var et utenlandsregistert NUF, men som opererer i Norge?

- Er det kanskje slik, at man vil kunne tilby en "portal" hvor sluttbruker kan be om å få se sine data, og at man manuelt ville verifisert forespørselen før data utleveres? I andre ledd, at sluttbruker nå kan be om endring av data?

 

Er student, og syntes at denne lovendringen må bli uhyre spennende for selskaper å etterfølge?

 

213 dager igjen!

[K N]

- Skal Ola kunne slette data? Jeg trodde at om man sa opp kundeforholdet så skulle all data bli eliminert innen x måneder, ikke at man fritt kan slette data selv?

- Det krever en viss form for autentisering, mtp sensitiv data. Jeg tror at BankID er løsningen.

- Nei, firmaet er norsk, og man må da også forholde seg til dette regelverket (?)

- Samme svar som over.

- Dette tror jeg kan bli veldig vanskelig. Noen har ekstremt store databaser, dvs mye data. En Portal kan bli vanskelig. Har ikke helt sett for meg hvilke krav det stilles til denne dataen.

 

Veldig mange kommer til å få/har fått store kostnader med innføring av dette. Det er enorme mengder data man må kvitte seg med, noe som vil være negativt.

[OtherHalf]

 

Leverandøren "Bjarnes APPer" har laget og drifter en norsk app kallt MangoPLAY hvor flere tusen kunder har registrert personalia, kjøpshistorikk m.m,. I hennhold til GDPR skal dataene kunne eksporteres i ett strukturert format (XML).

 

Selskapet Mango AS er bestilleren av appen MangoPLAY, og juridisk eier av appen. 

 

Leverandør (Bjarnes APPer)

Kunde (Mango AS)

Sluttbruker (Ola Normann)

 

Spørsmål:

- Er det slik med GDPR at Ola Normann direkte skal kunne vise, endre, slette registrert data omhandlende Ola, som et direkte sugerør inn til MangoPLAY?

- Hvis ja må vel autentisering foregå over BankID? Hvordan ellers sørge for korrekt autentisering av en person?

- Hvis Bjarnes APPer hadde hostet databasen utenom NO/ EU, ville man kunne unngå GDPR lovgivingen?

- Hva om Bjarnes APPer var et utenlandsregistert NUF, men som opererer i Norge?

- Er det kanskje slik, at man vil kunne tilby en "portal" hvor sluttbruker kan be om å få se sine data, og at man manuelt ville verifisert forespørselen før data utleveres? I andre ledd, at sluttbruker nå kan be om endring av data?

 

Er student, og syntes at denne lovendringen må bli uhyre spennende for selskaper å etterfølge?

 

213 dager igjen!

 

Hei, sent svar men i tilfelle du fremdeles lurer

 

nei, det er ikke et krav om at en bruker skal kunne slette personinformasjon eller informasjon som kan linkes til vedkommende selv. Jeg visste ikke at det var et krav om at data skal kunne eksporteres til XML, men det er helt klart et must å ha stålkontroll på persondata når GDPR trer i kraft, skal du klare å forsvare at reguleringen blir fulgt.

I praksis skal en bruker kunne be om å få innsyn i hvilke data virksomheten har lagret på vedkommende, og det er et krav om at virksomheten er transparent i forhold til opphavet av dataene. En person kan også be om å få slettet all data virksomheten har lagret på vedkommende. Virksomheten plikter å etterfylle dette ønsket etter en viss tid (lurer på om det er én måned), og må da kvittere ut for kunde hvilke data som er slettet. Ved brudd på GDPR-reguleringen risikerer virksomheten en bot på opp til 4% av GLOBAL omsetning.

 

Edit: Så lenge du har persondata om EU-innbyggere, er du pliktet å følge GDPR. Det spiller ingen rolle om din virksomhet tilhører Norge eller Gambia for den saks skyld.

 

Enig i at dette blir spennende, dette setter spesielt de store virksomhetene på prøve.

Endret 17. november 2017 av Kaffekong1