Gå til innhold
Trenger du råd om juss? Still spørsmål anonymt her ×

Utvikling og GDPR


5YN6PQB1

Anbefalte innlegg

Hei.

 

Har nokon spørsål ang GDPR som kanskje nokon her har svar på, eller kan komme med tips til. Skal ta dette og flere spørsmål opp med advokat etter hvert, men eg starter her for å se hvor landet ligger.

 

Casen er som følger:

 

Eg er med å utvikler ei nettside, dette er ein bookingløysning på nett. All data er lagret på servere i Norge. Løysningen fungerer slik at kven som helst kan opprette ein konto, og legge inn det som trengs i forhold til bookinger. Kundeinfo+fakturainfo++. 

 

Så har eg ein del spørsmål i forhold til GDPR til denne/tilsvarende løysninger.

 

1. Dersom ein kunde ønsker å bli slettet fra systemet, skal han da kunne det?. Sidan systemet også oppretter salgsdokumenter (fakturaer, ordrer) så vil det medføre brudd på nummerserier og oppslag i databasen. Hvis ja, korleis ser ein for seg at ein skal løyse dette?

 

2. Brukaren av denne løysninga kan gjere slik at kundene hans sjølv kan opprette kundeprofil og legge inn bookinger. Skal da kunden (han som bestiller ein booking) kunne krevje utlevering av data, eller er den brukaren (han som betaler for bookingløysninga)  som kan kreve dette av systemet?

 

3. Er det tilstrekkeleg å lage til ein eksporter data knapp, som då eksporterer riktig data i f.eks xml format?,

 

4. Er det slik å forstå at data som systemet genererer basert på bruken til brukaren (f.eks at brukeren ofte legger inn ein booking før helg, dette veit systemet pga bookinger som brukaren har gjort over en tid) skal kunne blir utlevert også?, eller vil det i dette tilfellet være nok med muligheten til å hente ut alle foretatte bookinger?

 

5. Dersom brukaren av bookingsystemet legg inn data som strider mot denne lovgivinga, er det då han og/eller systemleverandøren som vil kunne bli stillt til ansvar?

 

6. Nå er det et enkeltmannsforetak som står som utgiver av denne programvaren, det har vært snakk om å opprette eit AS som står som ansvarleg for dette systemet.

Vil det ut frå eit worstcase scenario være smartest å opprette eit AS, eller vil det ikkje ha noko å seie, i forhold til erstatninger/bøter osv.

 

Lenke til kommentar
Videoannonse
Annonse

1. Ja. Det er opp til deg hvordan du vil løse det, men du trenger ikke fjerne ALL data, bare personlige data. 

2. Dataene eies av din kunde. Det kan godt hende det vil være ønskelig for en kunde av din kunde å fjerne sine dataer fra systemet, men såvidt jeg skjønner det må han da kontakte din kunde, som så må sørge for det eller få hjelp av deg til å sørge for det. 

3. Ja, så lenge XML-dokumentet er forståelig. Gode feltnavn og kanskje dokumentasjon andre steder enn i selve XML-dokumentet hjelper. Det er heller ingen som sier at du trenger å ha bindinger mellom objektene på samme måte som i databasen. Bare en liste over fakturaer i stedet for først en kunde, så alle fakturaene under den kunden f.eks.

4.  Du tenker på analyser basert på personlig data? Ja, jeg tror det. 

5. Det er ditt ansvar å sørge for at han ikke gjør det, men dette tolkes AFAIK vanligvis som at du ikke trenger å aktivt lete etter slike tilfeller, men du må fjerne det dersom du blir gjort oppmerksom på det. Å ha et felt som heter "Brukerens datters fødselsnummer" i en applikasjon som dette vil også være en ganske åpenbar tabbe.

6. Dette har mer med selskapsloven enn GDPR, men jeg tror det alltid er sikrest med AS i slike tilfeller, ja.

Endret av Shruggie
  • Liker 1
Lenke til kommentar

1. Du trenger ikke nødvendigvis fjerne data, det holder å anonymisere det. Men les deg opp på hva som er å anse som anonymisert. Hvis man klarer å identifisere en person ved å sammenstille forskjellige type (tilsynelatende) anonymiserte data, så er de ikke ansett som tilstrekkelig anonymisert. Så her bør (må?) man tenke igjennom hva slags data man lagrer og nødvendigheten av dette.

6. Med tanke på størrelsen på evt. bøter (opptil 20 mill. euro) så er det nok tryggest å ha ett så vanntett skille som mulig mellom selskapet og privat økonomi.

Lenke til kommentar

Du må også lese deg opp på rollefordelingen mellom 'behandlingsansvarlig' og 'databehandler'.

Det må foreligge en databehandleravtale mellom deg og dine kunder. I tillegg må dine kunder ha en databehandleravtale mellom seg og sine kunder, og i den relasjonen blir du en 'underleverandør'.

Datatilsynet har publisert mye bra materiale rundt GDPR, så du bør avlegge dem en grundig visitt:

  • Liker 1
Lenke til kommentar

Takker for svar, har satt jurist på utforming av juridiske dokument.

 

Lurte berre på ein liten ekstra opplysning i forhold til spm 4.

 

Gjelder dette også databasekoblinger, f.eks primærnøklar/fremednøklar. Og kva med innstillinger i databasen (f.eks bruker av systemet  har stilt inn grøn bakgrunnsfarge, eller ønsker å bruke Arial skrifttype)?

Lenke til kommentar

Takker for svar, har satt jurist på utforming av juridiske dokument.

 

Lurte berre på ein liten ekstra opplysning i forhold til spm 4.

 

Gjelder dette også databasekoblinger, f.eks primærnøklar/fremednøklar. Og kva med innstillinger i databasen (f.eks bruker av systemet  har stilt inn grøn bakgrunnsfarge, eller ønsker å bruke Arial skrifttype)?

 

Fann svar på mitt eige spørsmål, og det korte svaret virke til å være KUN data som brukeren legger inn sjølv skal være portabelt, ikkje all dataen som systemet genererer. (nøklar, innstillinger osv).

Lenke til kommentar

Fann svar på mitt eige spørsmål, og det korte svaret virke til å være KUN data som brukeren legger inn sjølv skal være portabelt, ikkje all dataen som systemet genererer. (nøklar, innstillinger osv).

 

 

Ja, dette er i tråd med informasjonen som har blitt gitt av Datatilsynet i deres seminarer for personvernombud.

 

Sluttbrukerne dine, altså dine kunders kunder, er de forresten bedrifter eller privatpersoner? Jeg har først bare tenkt b2b hele veien her, men hvis de er privatpersoner så må dine kunder ha samtykke fra brukerne, dette i stedet for databehandleravtale. I så fall er det trolig enklest at systemet håndterer dette samtykket.

Lenke til kommentar

Sluttbrukarane (mine kunders kunder) vil nok være privatkunder.

Om sluttbrukeren oppretter ein konto sjølv (for å kunne foreta ein booking) så er det innanfor at brukaren kan kryssa av på nokre valg (må sjølvsagt være juridisk riktig) før han oppretter kontoen, men korleis vil dette stille seg dersom min kunde legger inn bookinga for sin kunde (sluttbrukaren)/og registrerer han i systemet.

 

Ofte så er det jo slik at ein kunde kjem innom f.eks ein frisør for så å bestille time der, og så er det frisøren som legger inn bestillinga.

 

 

Fann svar på mitt eige spørsmål, og det korte svaret virke til å være KUN data som brukeren legger inn sjølv skal være portabelt, ikkje all dataen som systemet genererer. (nøklar, innstillinger osv).

 

 

Ja, dette er i tråd med informasjonen som har blitt gitt av Datatilsynet i deres seminarer for personvernombud.

 

Sluttbrukerne dine, altså dine kunders kunder, er de forresten bedrifter eller privatpersoner? Jeg har først bare tenkt b2b hele veien her, men hvis de er privatpersoner så må dine kunder ha samtykke fra brukerne, dette i stedet for databehandleravtale. I så fall er det trolig enklest at systemet håndterer dette samtykket.

 

Lenke til kommentar

Sørg for at erklæringen om samtykke dekker både det brukeren selv registrerer, og at behandlingsansvarlig (altså din kunde) kan registrere "frisørtimer" på vegne av kunden.

 

Merk forresten at dersom systemet bærer preg av å være CRM, så er dette spesielt håndtert i lovverket.

Lenke til kommentar

 

Takker for svar, har satt jurist på utforming av juridiske dokument.

 

Lurte berre på ein liten ekstra opplysning i forhold til spm 4.

 

Gjelder dette også databasekoblinger, f.eks primærnøklar/fremednøklar. Og kva med innstillinger i databasen (f.eks bruker av systemet har stilt inn grøn bakgrunnsfarge, eller ønsker å bruke Arial skrifttype)?

Fann svar på mitt eige spørsmål, og det korte svaret virke til å være KUN data som brukeren legger inn sjølv skal være portabelt, ikkje all dataen som systemet genererer. (nøklar, innstillinger osv).

At det kun er data som brukeren legger inn selv er vel ikke helt presist; Også persondata som systemet ditt lagrer om brukeren, så som når brukeren logger seg på/av systemet, ip-adresse, favorittnettleser, etc er inkludert.

 

Alt som kan karakteriseres som personinformasjon er vel omfattet uavhengig om brukeren har lagt det inn selv, eller om du har funnet det ut på andre måter.

Lenke til kommentar

At det kun er data som brukeren legger inn selv er vel ikke helt presist; Også persondata som systemet ditt lagrer om brukeren, så som når brukeren logger seg på/av systemet, ip-adresse, favorittnettleser, etc er inkludert.

 

Da er du i så fall uenig i Datatilsynets tolkning, alternativt så må man grave seg enda dypere ned i definisjonen av hva det vil si for en bruker "å gi informasjon" til systemet.

 

Slik jeg har fått det presentert på seminarer (ja, i flertall) hos Datatilsynet i 2017, så er det i hvert fall klart at retten til portabilitet omfatter opplysninger om seg selv, som man selv har gitt til den behandlingsansvarlige.

 

Se for øvrig vedlagt presentasjon (side 18), som ble holdt på Datatilsynets seminar for PVO 14. november 2017 i Felix konferansesenter.

 

20171114 Rettigheter.pdf

Lenke til kommentar

Denne artikkelen frå eit jus universitet i Estland, støtter opp om tolkningen om at det kun er data som brukaren sjølv har lagt inn (rådata) som treng å bli eksportert (side 10 i PDF)

 

https://www.oi.ut.ee/sites/default/files/oi/data_portability_noormaa_sulskute_terjuhana.pdf

 

 

At det kun er data som brukeren legger inn selv er vel ikke helt presist; Også persondata som systemet ditt lagrer om brukeren, så som når brukeren logger seg på/av systemet, ip-adresse, favorittnettleser, etc er inkludert.

 

Da er du i så fall uenig i Datatilsynets tolkning, alternativt så må man grave seg enda dypere ned i definisjonen av hva det vil si for en bruker "å gi informasjon" til systemet.

 

Slik jeg har fått det presentert på seminarer (ja, i flertall) hos Datatilsynet i 2017, så er det i hvert fall klart at retten til portabilitet omfatter opplysninger om seg selv, som man selv har gitt til den behandlingsansvarlige.

 

Se for øvrig vedlagt presentasjon (side 18), som ble holdt på Datatilsynets seminar for PVO 14. november 2017 i Felix konferansesenter.

 

attachicon.gif20171114 Rettigheter.pdf

 

Lenke til kommentar

Generelt sett så er det jo nesten sånn at bøter... først kommer når man virkelig er ute og kjører. Gjør du en normal innsats for å etterleve kravene så bør det være mulig å unngå sånne problemer helt. Datatilsynet er ikke interessert i å dele ut bøter, de er interessert i å sørge for at reglene etterleves. Det skal være bra grovt for at de tar i bruk bøter.

 

For et reelt eksempel på hvordan det kan gå, se tilbake på den saken fra tidligere i vinter der det ble oppdaget grove mangler i produkter fra en lang rekke produsenter av gps-klokker for barn. ( Google etter "gps klokke barn datatilsynet" og du får en rekke interessante resultater, blant annet denne artikkelen: https://www.forbrukerradet.no/siste-nytt/elendig-sikkerhet-i-smartklokker-for-barn/ )

 

Ved en slik løsning som du skisserer så bør det være relativt greit å finne løsninger som ivaretar personopplysninger slik dagens (og morgendagens) regelverk krever. Du bør være obs på at løsningen begrenser seg til de personopplysningene som er nødvendige for formålet, og at du har klare avtaler med dine kunder, og klart samtykke fra sluttbrukere.

 

----

 

Når det gjelder selskapsform så bør du se litt større på det. Ikke se deg blind på "mulige bøter" - det er ikke det som er de største problemene ved å la et ENK stå som utgiver. Om ting går så galt at det er aktuelt - altså at du har brutt loven og foretatt deg noe som kan straffes... så vil det ikke nødvendigvis hjelpe å ha et lite AS som du eier selv som "står som ansvarlig."

 

Allikevel, du bør uten tvil kjøre dette gjennom et AS. Det er greit med et skille mellom privatøkonomi og selskapsøkonomi, og det er fint å vite at så fremt man opptrer relativt fornuftig så risikerer man ikke å tape mer enn aksjekapitalen.

 

For å ta et tankeeksempel: Si at du selger systemet ditt inn til en frisørkjede med 100 ulike salonger - og så en stund etterpå, når de har gjort seg avhengige av systemet og er avhengige av det for å få ting til å gå rundt - så krasjer systemet ditt. Du bruker en en uke på å få det opp igjen. Avtalen din med kjeden var ikke tydelig nok, og kjeden mener at de har tapt i gjennomsnitt 3000,- per salong på at deres kunder igjen ikke har kunnet bestille timer og heller har gått til konkurrentene - og at du er ansvarlig for å dekke dette tapet.

 

I en sånn situasjon kan det være greit med et AS som eier av systemet. Altså - når man ikke har gjort noe som er galt, rent strafferettslig - men allikevel påført noen andre et tap som man er økonomisk ansvarlig for. Med et AS er det i et sånt tilfelle begrenset hvor mye du kan tape - med et ENK så kan "alt" bli med i dragsuget.

Endret av gobblegok
Lenke til kommentar

Takker, mykje klokt og fornuftig her.

Generelt sett så er det jo nesten sånn at bøter... først kommer når man virkelig er ute og kjører. Gjør du en normal innsats for å etterleve kravene så bør det være mulig å unngå sånne problemer helt. Datatilsynet er ikke interessert i å dele ut bøter, de er interessert i å sørge for at reglene etterleves. Det skal være bra grovt for at de tar i bruk bøter.

 

For et reelt eksempel på hvordan det kan gå, se tilbake på den saken fra tidligere i vinter der det ble oppdaget grove mangler i produkter fra en lang rekke produsenter av gps-klokker for barn. ( Google etter "gps klokke barn datatilsynet" og du får en rekke interessante resultater, blant annet denne artikkelen: https://www.forbrukerradet.no/siste-nytt/elendig-sikkerhet-i-smartklokker-for-barn/ )

 

Ved en slik løsning som du skisserer så bør det være relativt greit å finne løsninger som ivaretar personopplysninger slik dagens (og morgendagens) regelverk krever. Du bør være obs på at løsningen begrenser seg til de personopplysningene som er nødvendige for formålet, og at du har klare avtaler med dine kunder, og klart samtykke fra sluttbrukere.

 

----

 

Når det gjelder selskapsform så bør du se litt større på det. Ikke se deg blind på "mulige bøter" - det er ikke det som er de største problemene ved å la et ENK stå som utgiver. Om ting går så galt at det er aktuelt - altså at du har brutt loven og foretatt deg noe som kan straffes... så vil det ikke nødvendigvis hjelpe å ha et lite AS som du eier selv som "står som ansvarlig."

 

Allikevel, du bør uten tvil kjøre dette gjennom et AS. Det er greit med et skille mellom privatøkonomi og selskapsøkonomi, og det er fint å vite at så fremt man opptrer relativt fornuftig så risikerer man ikke å tape mer enn aksjekapitalen.

 

For å ta et tankeeksempel: Si at du selger systemet ditt inn til en frisørkjede med 100 ulike salonger - og så en stund etterpå, når de har gjort seg avhengige av systemet og er avhengige av det for å få ting til å gå rundt - så krasjer systemet ditt. Du bruker en en uke på å få det opp igjen. Avtalen din med kjeden var ikke tydelig nok, og kjeden mener at de har tapt i gjennomsnitt 3000,- per salong på at deres kunder igjen ikke har kunnet bestille timer og heller har gått til konkurrentene - og at du er ansvarlig for å dekke dette tapet.

 

I en sånn situasjon kan det være greit med et AS som eier av systemet. Altså - når man ikke har gjort noe som er galt, rent strafferettslig - men allikevel påført noen andre et tap som man er økonomisk ansvarlig for. Med et AS er det i et sånt tilfelle begrenset hvor mye du kan tape - med et ENK så kan "alt" bli med i dragsuget.

Lenke til kommentar

Begynner å få litt oversikten over dette landskapet nå.

 

Den siste tingen (i denne omgang) som eg lurer på, brukaren skal kunne hente ut alle sine personlege data. I dette booking systemet reknar eg med det også inkluderer f.eks bookingar som han har lagt inn.

 

Er det nokon som veit korleis ting stiller seg om han f.eks ikkje lenger har tilgang (pga brukerkontroll i løysninga) til f.eks bookinger som han har lagt inn, skal han likevel kunne hente dei ut?

Lenke til kommentar

 

At det kun er data som brukeren legger inn selv er vel ikke helt presist; Også persondata som systemet ditt lagrer om brukeren, så som når brukeren logger seg på/av systemet, ip-adresse, favorittnettleser, etc er inkludert.

 

Da er du i så fall uenig i Datatilsynets tolkning, alternativt så må man grave seg enda dypere ned i definisjonen av hva det vil si for en bruker "å gi informasjon" til systemet.

 

Slik jeg har fått det presentert på seminarer (ja, i flertall) hos Datatilsynet i 2017, så er det i hvert fall klart at retten til portabilitet omfatter opplysninger om seg selv, som man selv har gitt til den behandlingsansvarlige.

 

Se for øvrig vedlagt presentasjon (side 18), som ble holdt på Datatilsynets seminar for PVO 14. november 2017 i Felix konferansesenter.

 

attachicon.gif20171114 Rettigheter.pdf

 

Jeg har ikke satt meg veldig inn i dette selv, så det kan godt hende du har helt rett.

 

Min arbeidsgiver er av den oppfatning av at GDPR omhandler mer enn hva brukeren selv har punchet, men det kan jo hende at jeg enten har misforstått arbeidsgiveren min, eller at han tar feil. De har brukt ganske så mye tid og penger både på jurister og selve implementasjonen av GDPR, så det er jo trist om de har tatt feil. Skal høre mer på mandag.

 

Mest sansynlig er jo at det er jeg som har misforstått :)

Lenke til kommentar

Enn så lenge vil mye av GDPR være mye gjenstand for tolkning, så man bør uansett være forsiktig med bombastiske påstander om rett og galt.

 

Merk for øvrig at det her kun er snakk om retten til portabilitet, og i den konteksten så har Datatilsynet altså tolket lovverket dit hen at det er opplysninger brukeren selv har registrert som skal være tilgjengelig for portering.

 

At din arbeidsgiver legger til rette for at brukeren kan ta med ytterligere informasjon utover det loven krever er i så fall ikke feil, det er tvert i mot en potensiell ekstraservice. Spiller man kortene rett, så er dette noe man i så fall selvfølgelig kan nevne i markedsføringen.

Endret av Horge
Lenke til kommentar
  • 3 uker senere...
  • 2 måneder senere...

Hei!

 

Jeg forsøker å få igang litt diskusjon omkring noenlunde samme tema under forum "Bedrift-IKT".

(Formål: Å få avdekket og systematisert de prinsippene som gjelder.)

 

Er det noen av dere, fra denne tråden, som har "synspunkter"?

 

https://www.diskusjon.no/index.php?showtopic=1816258

 

https://www.diskusjon.no/index.php?showtopic=1816650

 

https://www.diskusjon.no/index.php?showtopic=1815847

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
×
×
  • Opprett ny...