Gå til innhold

KRONIKK: Hva betyr GDPR for oss som lager IT-løsninger?


Anbefalte innlegg

 

Så om jeg lager en hjemmeside på et utenlandsk webhotell, uten noen registreringer av bruker-data, hvor siden viser bilder av malte figurer jeg lager, og lister opp telefonnummer og eposten min, for kjøpere.... så bryter jeg altså loven?

For jeg kan ikke si om nevnte webhotell lagrer IP-addresser, eller hvilke personer ansatt i webhotellet som har tilgang til hva.

 

 

Og hva er egentlig "nødvendig data"?

Dersom en webside lagrer en del settings knyttet til brukeren din - f.eks om du foretrekker alfabetisk sortering av en gitt liste, fra begynnelsen eller slutten av alfabetet. Er dette da å regne som ikke en strengt nødvendig opplysning, men en "kjekt å ha"-opplysning? I så fall må du trykke på en egen ok-knapp for å si det er greit at du lagrer denne opplysningen. Og de må ha på plass en dato hvor denne settingen utløper automatisk....

Hvor går grensene? Plutselig må alle ansette jurister for å lage en hjemmeside.

 

Du har misforstått loven, det er ingenting som hindrer deg i å publisere dine egene persondata hvis du ønsker det, problemer er hvis du systematisk lagrer andre personer sine data.

 

Webhotell vil få mange artige utfordringer i forhold til GDPR, men det er nok alt mulig å løse. Mest sannsynlig blir det snakk om en databehandleravtale må være på plass, noe som det også burde ha vært under dagens lovverk.

 

Innstillinger på en nettside er ikke persondata, brukerkontoen som innstillingene lagres som kan inneholde persondata. 

 

Ja, det var ikke mine egne data som jeg tenkte kunne være problematisk, men det at webhotellets webserver kan lagre IP'ene, og at jeg ikke kjenner til webhotellets ansatte eller tilgangskontroller.

 

Så, loven gjør det i praksis ulovlig for folk å bruke webhoteller, selv for de simpleste websider.

Lenke til kommentar
Videoannonse
Annonse

 

(...)Så, loven gjør det i praksis ulovlig for folk å bruke webhoteller, selv for de simpleste websider.

 

Nei, man kan greit definere webhotellet som en databehandler med en databehandleravtale.

 

Og simple sider har ingen behov for personopplysninger.

 

Det er vanlig praksis å logge IP, så jeg vil tro 99% av dagens webhoteller på et eller annet nivå logger IP-addresser. Også om det er simple websider som blir hostet hos dem.

Og slike avtaler finnes vel som regel ikke, ihvertfall ikke så nøye spesifisert som loven krever.

 

I artikelen står det også nevnt at det ikke holder å "gjemme" info om lagringen av data til ett enkelt stort "advokat-" avsnitt, men at en enkelt "popup" må komme for hver ting.

Det også høres jo helt hinsides ut. Skal jeg måtte samtykke hver gang jeg legger ut en post på diskusjon.no ? Jeg ser det for meg! Hver gang man trykker på "Post" knappen kommer følgende popup: "Advarsel! Dette innlegget vil bli lagret hos diskusjon.no og knyttet mot ditt brukernavn! Er dette greit for deg?"

Endret av Drogin
Lenke til kommentar

Det er noen forutsetninger som må på plass for at ip skal være en personopplysning (med tilleggsopplysninger fra nettleverandør). Uten tilleggsopplysninger vil registrert ip være langt ifra sikkert tilhørende den besøkende.

Ref Breyer-saken kan man regne ip om man samtidig har tilgang på tidsdata, stedsdata osv fra ISP, noe kun politiet normalt vil kunne få utlevert.

 

Er det ikke åpenbart at man har behov for å lagre personopplysninger kan man heller ikke gjøre det. Man må uansett søke konsesjon hos Datatilsynet, som ønsker å vite formålet du har for å lagre (personregister). Godkjenner de ikke, kan du ikke lagre opplysningene selv om du aldri så mye mener det trengs for å ivareta nettstedet ditt eller andre grunner.

 

Jeg har ingen tro på at det vil bli praksis at hver gang du poster et innlegg må du samtykke. Antar at det kommer som en del av brukerrettigheter du må lese gjennom, og at gjennomføringen begrenser seg til at du godkjenner brukeravtalen før du begynner å poste. Der må det fremgå hvilke opplysninger som lagres, hvor lenge og hva de kan brukes til. Bedriften må deretter forholde seg til formålet som er registrert i konsesjonen og kan ikke benytte opplysningene til andre ting uten ny søknad.

 

Ellers se hva Civilix skriver om forståelse av loven, forrige side.

Lenke til kommentar

Vil tro det, og du kan fint sjekke dette hos Datatilsynet.

Tilsynets korrespondanse og saksbehandling er stort sett offentlig. Tlf 22396900. Trykk innvalg for arkiv.

 

Edit: Det hadde ihvertfall blitt lett krisestemning der om et såpass stort nettsted ikke hadde ting på stell i forhold til lovverk. Har de ikke 150 000 brukere eller noe slikt..?

Endret av Pop
Lenke til kommentar

Jeg ser nytten av personvern, men de som forsvarer denne loven, og datatilsynet, ser jeg mer på som jurist og personverns-nerder, uten bakkekontakt. Et byråkrati-helvete. Dessverre tvinges man til å ta de seriøst.

 

Personlig synes jeg det hadde holdt å si at "for sensitive personopplysninger (passord, kredittkort, sykdommer, etc) må man ha en sikker side, passord må være hashet etc. Det er helt supert. Men samtykker til ditt og datt, informasjon om at man bruker cookies, at man ikke kan lagre IP i access loggen, etc, blir bare dustete overarbeid for både bruker og programmerer.

Endret av Drogin
Lenke til kommentar

Slik jeg har forstått det, så skal du, om du skriver ned noens navn og telefonnummer på en post-it, først spørre om det greit at du noterer det ned.

Så må du ha dokumentasjon på plass om hvordan du oppbevarer post-it-en, og ha løsninger som gjør at personen kan få en kopi av opplysningene i et elektronisk format.

 

Og; dersom du skulle finne på å be noen andre å flytte post-it-en har de blitt en databehandler, og du skal ha en skriftelig avtale med dem og hvordan de behandler dataene og hvordan de sikrer tilgang og backup.

 

Eller er jeg helt på viddene?

Lenke til kommentar

Slik jeg har forstått det, så skal du, om du skriver ned noens navn og telefonnummer på en post-it, først spørre om det greit at du noterer det ned.

Så må du ha dokumentasjon på plass om hvordan du oppbevarer post-it-en, og ha løsninger som gjør at personen kan få en kopi av opplysningene i et elektronisk format.

 

Og; dersom du skulle finne på å be noen andre å flytte post-it-en har de blitt en databehandler, og du skal ha en skriftelig avtale med dem og hvordan de behandler dataene og hvordan de sikrer tilgang og backup.

 

Eller er jeg helt på viddene?

Neida, du er ikke på viddene. :)

Særlig ikke om du bytter ut "flytte" i nestsiste avsnitt med "behandle". Det følger da av Personopplysningslovens § 2, punkt 2:

2) behandling av personopplysninger: enhver bruk av personopplysninger, som f.eks. innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter

 

Databehandleravtale inneholder ikke spesifikt punkter om backup o.l., da backup og lignende er verktøy for å oppnå noe. Avtalen skal si noe om hvordan man sikrer data og overholder prinsippene konfidensialitet, tilgjengelighet og integritet, samt varighet, ansvarlige personer osv.

Lenke til kommentar

Ingressen her er direkte feil. Den sier, som alle andre, at forordningen trer i kraft i mai. Det gjør den altså ikke. I hvert fall ikke i Norge. Forordninger gjelder EU land og ikke EØS land.

 

Hei!

Forskjellen på en forordning og et direktiv er at en forordning blir direkte implementert som en gjeldende lov i Norge, mens et direktiv blir tolket og rettsreglene i direktivet blir lagt inn i eksisterende norske lover.

 

Forordningen er på høring nå, og det er rimelig å anta at loven vil implementeres til våren. Jeg er dog usikker på hvor artikkelforfatter får den meget spesifikke implementeringsdatoen fra.

https://www.datatilsynet.no/aktuelt/2017/ny-personopplysningslov-pa-horing/

Lenke til kommentar

Det er mange flere enn DND som er bekymret for GDPR, selv datatilsynet påpeker flere utfordringer i sitt svar.

 

Men dette var da heller ikke uventet, og legg merke til at veldig få er prinsipielt mot GDPR men kritiserer heller tidsrammen og kosten.

 

I beste fall får man litt bedre tid, jeg ønsker å gjenta ett råd jeg har gitt før: Uavhengig av hva som skjer jobb som om det blir innført 25.mai, da i verste fall så er du klar litt før du må være det.

Endret av Civilix
Lenke til kommentar

Slik jeg har forstått det, så skal du, om du skriver ned noens navn og telefonnummer på en post-it, først spørre om det greit at du noterer det ned.

Så må du ha dokumentasjon på plass om hvordan du oppbevarer post-it-en, og ha løsninger som gjør at personen kan få en kopi av opplysningene i et elektronisk format.

 

Og; dersom du skulle finne på å be noen andre å flytte post-it-en har de blitt en databehandler, og du skal ha en skriftelig avtale med dem og hvordan de behandler dataene og hvordan de sikrer tilgang og backup.

 

Eller er jeg helt på viddene?

Hva med personlig kontaktliste (navn, tlf nr, epost, adresse og GPS posisjon) på telefoner, epostlesere, ulike meldingssystemer, motatte SMSer og eposter?

Lenke til kommentar
  • 3 uker senere...

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...