Bolson Skrevet 16. juni 2018 Del Skrevet 16. juni 2018 Hvis komplett får presentert anonymisert data så er det såvidt meg bekjent ikke noe krav om samtykke. Det ville jo deanonymisert data ved at du hvert hvem som samtykker til hvilke data... Jeg kan jo fritt aggregert og analysere data uten at GDPR kommer inn i bilde, sett at jeg ikke er en virksomhet. Det er forsåvidt korrekt, men Komplett kan fritt aggregere og analysere data uten samtykke så lenge de er anonymisert fra første stund. Forutsetningen er at man ikke på noen som helst måte kan reidentifisere personer i fra dataene. Så om Komplett får dine anonymiserte data så vil GDPR gjelder for Komplett: Dersom det kan identifiseres en person ut fra dataene - så er de i strid med anonymisering i henhold til GDPR. Og så vidt jeg vet data som er anonymisert/randominisert og aggeregert - de kan deles uten å komme i strid med GDPR. Det er nemlig ikke persondata lengre. Anonymisering, randominisering og aggregering er faktisk hovedmetodene som brukes i datasystemer som er GDRP kompliante for å håndtere brukerdata dere samtykke ikke finnes, eller omdanne data der man ha overskudd i forhold til hva man i henhold til GDPR kan legitimt lagre om en person. Ellers så forstår jeg ikke hvorfor du fokuserer på akkurat dette. For å finne hull i GDPR. Det finnes det garantert. Men at GDPR er knyttet til virksomheter er helt logisk. GDPR kommer som en konsekvens av kommersialiseringen av brukerdata - og at denne kommersialiseringen i liten grad var dekket av eksisterende lovgiving. I korte trekk sikre individets rettigheter til data om egen person og da også den kommersielle verdien av disse. Lenke til kommentar
Spoki0 Skrevet 16. juni 2018 Del Skrevet 16. juni 2018 Det er forsåvidt korrekt, men Komplett kan fritt aggregere og analysere data uten samtykke så lenge de er anonymisert fra første stund. Forutsetningen er at man ikke på noen som helst måte kan reidentifisere personer i fra dataene. Så om Komplett får dine anonymiserte data så vil GDPR gjelder for Komplett: Dersom det kan identifiseres en person ut fra dataene - så er de i strid med anonymisering i henhold til GDPR. Og så vidt jeg vet data som er anonymisert/randominisert og aggeregert - de kan deles uten å komme i strid med GDPR. Det er nemlig ikke persondata lengre. Anonymisering, randominisering og aggregering er faktisk hovedmetodene som brukes i datasystemer som er GDRP kompliante for å håndtere brukerdata dere samtykke ikke finnes, eller omdanne data der man ha overskudd i forhold til hva man i henhold til GDPR kan legitimt lagre om en person. Ellers så forstår jeg ikke hvorfor du fokuserer på akkurat dette. For å finne hull i GDPR. Det finnes det garantert. Men at GDPR er knyttet til virksomheter er helt logisk. GDPR kommer som en konsekvens av kommersialiseringen av brukerdata - og at denne kommersialiseringen i liten grad var dekket av eksisterende lovgiving. I korte trekk sikre individets rettigheter til data om egen person og da også den kommersielle verdien av disse. Alt du gjør med data dekkes faktisk av GDPR. Å aggregert eller anonymiserte det, faktisk bare det å se hva som er lagret er begrenset. Grunnen til at dette er katastrofalt er at en kjøp-salg side på Facebook tilbyr en tjeneste og faller da under virksomhet. Det samme gjør alt av fansider siden de tilbyr informasjon og en diskusjonsarena, som er former for tjenester. Så lenge du tilbyr informasjon så er du en informasjonstjeneste, og da fort også en virksomhet rent juridisk. 1 Lenke til kommentar
Tore Rosander Skrevet 16. juni 2018 Del Skrevet 16. juni 2018 Det er en grunnleggende påstand i denne artikkelen som jeg ikke synes henger helt på greip. – Du må sørge for å inngå en avtale med Facebook om felles dataansvar, og i denne avtalen må det reguleres hvem som har ansvaret for hva, og de som dere behandler opplysninger om, må ha adgang til innsyn i det vesentlige innholdet av ansvarsfordelingen mellom Facebook og deg, skriver tilsynet i en uttalelse rettet til virksomheter og myndigheter. Det er som om hele verden unntatt Facebooks juridiske avdeling har fortrengt at en slik skriftlig avtale allerede eksisterer mellom Facebook og alle brukere. Er folk så blinde for "accept now" at de ikke vet de har en bindende avtale med Facebook der man har gått med på at Facebook fraskriver seg/overfører så mye av ansvaret til deg som loven tillater? Kan du vise meg hvor denne databehandler avtalen er? Lenke til kommentar
l0mf0mgl0mbl0og Skrevet 16. juni 2018 Del Skrevet 16. juni 2018 Eneste man trenger å gjøre, som mange har gjort, er å gjøre det så vanskelig og kjipt å skru av innstillingene at folk tar accept all. Og det er basert på cookies så når du bruker en annen nettleser eller resetter cache så er det pån igjen. Lenke til kommentar
Tore Rosander Skrevet 16. juni 2018 Del Skrevet 16. juni 2018 Det er forsåvidt korrekt, men Komplett kan fritt aggregere og analysere data uten samtykke så lenge de er anonymisert fra første stund. Forutsetningen er at man ikke på noen som helst måte kan reidentifisere personer i fra dataene. Så om Komplett får dine anonymiserte data så vil GDPR gjelder for Komplett: Dersom det kan identifiseres en person ut fra dataene - så er de i strid med anonymisering i henhold til GDPR. Og så vidt jeg vet data som er anonymisert/randominisert og aggeregert - de kan deles uten å komme i strid med GDPR. Det er nemlig ikke persondata lengre. Anonymisering, randominisering og aggregering er faktisk hovedmetodene som brukes i datasystemer som er GDRP kompliante for å håndtere brukerdata dere samtykke ikke finnes, eller omdanne data der man ha overskudd i forhold til hva man i henhold til GDPR kan legitimt lagre om en person. Ellers så forstår jeg ikke hvorfor du fokuserer på akkurat dette. For å finne hull i GDPR. Det finnes det garantert. Men at GDPR er knyttet til virksomheter er helt logisk. GDPR kommer som en konsekvens av kommersialiseringen av brukerdata - og at denne kommersialiseringen i liten grad var dekket av eksisterende lovgiving. I korte trekk sikre individets rettigheter til data om egen person og da også den kommersielle verdien av disse. Alt du gjør med data dekkes faktisk av GDPR. Å aggregert eller anonymiserte det, faktisk bare det å se hva som er lagret er begrenset. Grunnen til at dette er katastrofalt er at en kjøp-salg side på Facebook tilbyr en tjeneste og faller da under virksomhet. Det samme gjør alt av fansider siden de tilbyr informasjon og en diskusjonsarena, som er former for tjenester. Så lenge du tilbyr informasjon så er du en informasjonstjeneste, og da fort også en virksomhet rent juridisk. For noe tull, det er mulighetene for en varig og levedyktig inntekt samt formål som avgjør om aktiviteten regnes som hobby eller næring, rent juridisk. Hva Gdpr angår så handler det mer om type data og formål. Organisasjonsform sier som regel mer om hva slags sanksjoner som vil bli brukt. Du vil selvsagt ikke måtte betale 20mill i bøter for å ha en kjøp og salg side for garn, men disse store gruppene som er organiserte og oppdelt i underavdelinger vil muligens få ansvar som en organisasjon selv om de rent juridisk ikke er en bedrift. Dessuten er medlemmer i en slik gruppe allerede medlemmer av Facebook og har godtatt avtalen, saken handler om brukere som ikke er registrert på Facebook men som besøker en bedriftside på Facebook. Da må bedriften ha ansvarsfordelingen i orden mtp data som samles inn fra intetanende besøkende. 1 Lenke til kommentar
tommyb Skrevet 16. juni 2018 Del Skrevet 16. juni 2018 Kan du vise meg hvor denne databehandler avtalen er? http://lmgtfy.com/?q=facebook+tos Lenke til kommentar
Spoki0 Skrevet 16. juni 2018 Del Skrevet 16. juni 2018 For noe tull, det er mulighetene for en varig og levedyktig inntekt samt formål som avgjør om aktiviteten regnes som hobby eller næring, rent juridisk. Hva Gdpr angår så handler det mer om type data og formål. Organisasjonsform sier som regel mer om hva slags sanksjoner som vil bli brukt. Du vil selvsagt ikke måtte betale 20mill i bøter for å ha en kjøp og salg side for garn, men disse store gruppene som er organiserte og oppdelt i underavdelinger vil muligens få ansvar som en organisasjon selv om de rent juridisk ikke er en bedrift. Dessuten er medlemmer i en slik gruppe allerede medlemmer av Facebook og har godtatt avtalen, saken handler om brukere som ikke er registrert på Facebook men som besøker en bedriftside på Facebook. Da må bedriften ha ansvarsfordelingen i orden mtp data som samles inn fra intetanende besøkende. Det er bra samtlige organisasjoner uten direkte inntekt, og leverandører av gratistjenester, både offentlig og privat, ikke er å regne som virksomheter... Lenke til kommentar
Bolson Skrevet 16. juni 2018 Del Skrevet 16. juni 2018 Alt du gjør med data dekkes faktisk av GDPR. Å aggregert eller anonymiserte det, faktisk bare det å se hva som er lagret er begrenset. Grunnen til at dette er katastrofalt er at en kjøp-salg side på Facebook tilbyr en tjeneste og faller da under virksomhet. Det samme gjør alt av fansider siden de tilbyr informasjon og en diskusjonsarena, som er former for tjenester. Så lenge du tilbyr informasjon så er du en informasjonstjeneste, og da fort også en virksomhet rent juridisk. Det første er feil. Alt du gjør med data dekkes ikke av GDPR. GDPR (eller PVF) dekker det som defineres som persondata. Selv om GDPR er forkortelse for The General Data Protection Regulation, så er det en forordning om personvern. Persondata har ikke en helt klar definisjon, men alle data som kan kobles mot en fysisk person er nok persondata. Hva du har rett i er at en hver virksomhet må vurdere om den håndterer data som er omfattet av forordningen. Rosander kom med innspillet knyttet til om noe er næring eller ikke, som forsøk på å avklare om noe er en virksomhet. Alle som driver næring har en virksomhet, men det er mye mer som er virksomhet - f.eks er alle kommune, alle statlige virksomheter, stiftelser, alle frivillige organisasjoner, idrettslag osv. Man må også være klar over at GDPR ikke bare gjelder nettsider eller tjenester over nettet. GDPR gjelder all lagring og behandling av persondata. Så HR-systemet i bedriften er omfattet. Så litt mer om hva som faller "utenfor" eller "innenfor". Lager jeg som privatperson en informasjonside om dataspill med tilhørende diskusjonsforum så faller det utenfor, fordi jeg ikke er en virksomhet. At jeg bør tilpasse meg GDRP, ikke minst fordi tekniske løsninger i dag er tilpasset, er en annen sak. Tilpasning er her samtykke, kun lagre det nødvendige, slette og ta med seg data. Skulle TU lage noe tilsvarende, så er de innenfor. Men lager TU en nettside med info og artikler om dataspill der det ikke logges/lagres persondata - dvs kun anonymisert statistikk (dvs mangler hele eller deler av IP) så er nettsiden utenfor det GDPR gjelder. Men TU må kunne forsvare/dokumentere dette. Driver jeg salg på hobbynivå, uansett om det er via Facebook eller andre kanaler vil jeg neppe bli definert som virksomhet, og GDPR er uinteressant. Samme om jeg driver en fanside på Face. Her vil trolig det viktige være hvem som står bak. Om man definerer det som en tjeneste har ingen betydning, at du ser på noe som en tjeneste betyr ikke at det er levert av en virksomhet. I tillegg må leveransen av tjeneste kreve persondata - f.eks registering av en identifiserbar bruker. I Norge har vi en tjeneste som heter ung.no - den har klart å etablere 95 % anonymitet. Den delen som står igjen har slik lovvforankring at den ikke er problematisk. Tjenesten, som drives av en virksom kan altså uten rpoblemer si - vi lagrer ikke persondata, GDPR gjelder ikke. 1 Lenke til kommentar
Bolson Skrevet 16. juni 2018 Del Skrevet 16. juni 2018 Kan du vise meg hvor denne databehandler avtalen er? http://lmgtfy.com/?q=facebook+tos Det er ikke en databehandleravtale. Dette er en avtale som regulerer den enkeltes forhold til de tjenestene som Facebook leverer. 2 Lenke til kommentar
tommyb Skrevet 17. juni 2018 Del Skrevet 17. juni 2018 (endret) Det er ikke en databehandleravtale. Dette er en avtale som regulerer den enkeltes forhold til de tjenestene som Facebook leverer. Hvordan kan du påstå dette? Databehandling er ikke nytt iht GDPR, men det er denne versjonen av avtalen. Facebook er per juridisk definisjon en databehandler for *bedrifter, dette er avtalen, og den er oppdatert i henhold til GDPR. Facebook dikterer vilkårene som du må godta for at de skal gjøre jobben som databehandler for deg, slik det er mest lønnsomt for dem innenfor de nye lovrammene. Som facebook selv sier: Businesses that advertise with the Facebook Companies can continue to use Facebook platforms and solutions in the same way they do today. Each company is responsible for complying with the GDPR, just as they are responsible for complying with the laws that apply to them today. For more information about specific Facebook ad products, see the FAQs. https://www.facebook.com/business/gdpr De fortsetter med å forklare hvordan de opererer som data controller og data processor for deg. Og som sagt overfører de alt ansvaret med lovlighet til deg, for hvorfor skulle de ta det utover det loven tvinger dem til? Endret 17. juni 2018 av tommyb Lenke til kommentar
Tore Rosander Skrevet 17. juni 2018 Del Skrevet 17. juni 2018 Det er ikke en databehandleravtale. Dette er en avtale som regulerer den enkeltes forhold til de tjenestene som Facebook leverer. Hvordan kan du påstå dette? Databehandling er ikke nytt iht GDPR, men det er denne versjonen av avtalen. Facebook er per juridisk definisjon en databehandler for *bedrifter, dette er avtalen, og den er oppdatert i henhold til GDPR. Facebook dikterer vilkårene som du må godta for at de skal gjøre jobben som databehandler for deg, slik det er mest lønnsomt for dem innenfor de nye lovrammene. Som facebook selv sier: Businesses that advertise with the Facebook Companies can continue to use Facebook platforms and solutions in the same way they do today. Each company is responsible for complying with the GDPR, just as they are responsible for complying with the laws that apply to them today. For more information about specific Facebook ad products, see the FAQs. https://www.facebook.com/business/gdpr De fortsetter med å forklare hvordan de opererer som data controller og data processor for deg. Og som sagt overfører de alt ansvaret med lovlighet til deg, for hvorfor skulle de ta det utover det loven tvinger dem til? Så denne avtalen oppfyller alle disse kravene? https://www.datatilsynet.no/regelverk-og-skjema/veiledere/databehandleravtale/?id=8293 Lenke til kommentar
Tore Rosander Skrevet 17. juni 2018 Del Skrevet 17. juni 2018 For noe tull, det er mulighetene for en varig og levedyktig inntekt samt formål som avgjør om aktiviteten regnes som hobby eller næring, rent juridisk. Hva Gdpr angår så handler det mer om type data og formål. Organisasjonsform sier som regel mer om hva slags sanksjoner som vil bli brukt. Du vil selvsagt ikke måtte betale 20mill i bøter for å ha en kjøp og salg side for garn, men disse store gruppene som er organiserte og oppdelt i underavdelinger vil muligens få ansvar som en organisasjon selv om de rent juridisk ikke er en bedrift. Dessuten er medlemmer i en slik gruppe allerede medlemmer av Facebook og har godtatt avtalen, saken handler om brukere som ikke er registrert på Facebook men som besøker en bedriftside på Facebook. Da må bedriften ha ansvarsfordelingen i orden mtp data som samles inn fra intetanende besøkende. Det er bra samtlige organisasjoner uten direkte inntekt, og leverandører av gratistjenester, både offentlig og privat, ikke er å regne som virksomheter... Du leser ikke hva jeg skriver, det er MULIGHETEN for en varig og levedyktig inntekt som pleier å avgjøre hva som er næringsvirksomhet. Tidligere var det en økonomisk terskel man måtte nå, men nå brukes det mer sunn fornuft. Eksempel1: Hobbyen din er å lage vin, denne lagres i 10 år, du selger ett lite parti hvor du tjener 150 000kr, her vil du kunne slippe å bli regnet som en næringsvirksomhet siden du kan si at den summen dekker kostnadene for hobbyen i de 10 årene. Du må selvsagt føre det på ligningen uansett. Eksempel2: Du lager vin som lagres kun i 6mnd og du tjener 200 000 i året på hobbyen din. Dette vil ansees å være en levedyktig næringsvirksomhet. Lenke til kommentar
Simen1 Skrevet 18. juni 2018 Del Skrevet 18. juni 2018 GDPR er det verste som har skjedd internett hittil. Facebook er nok det verste som har skjedd internett hittil. Tilstandene har vært tilnærmet lovløse og datainnsankerne har jo ikke hatt hemninger. Big data har vært et slags gedigent koltbord de bare har forsynt seg i uante mengder av fra alt og alle. GDPR er med rette den nye sheriffen i byen og skal få orden på kaoset. Klart det er uvant med nye regler, men det er dette som siviliserer de tidligere ville tilstandene. Når GDPR får satt seg så blir den som røykeloven, en enorm lettelse man er glad for å kunne ta for gitt. En slags "internettets grunnlov" som får bukt med mange av de virkelig store problemene der. Husk at dette er første og neppe siste utgave. Ting vil stabilisere seg etter hvert som GDPR innarbeides og modnes. Lenke til kommentar
tommyb Skrevet 18. juni 2018 Del Skrevet 18. juni 2018 Det nøyaktig samme kunne vært og er sikkert sagt om cookie-loven. Det er best de treffer bedre her, ellers skader de mye. Lenke til kommentar
Bjorn Pettersen Skrevet 20. juni 2018 Del Skrevet 20. juni 2018 Dette er jo en absurd ødeleggende dom. Alt mulig av tullesider på Facebook kan nå få bøter opp mot 20 millioner euro (eller 4% av omsetning, hvis det er mer enn 20 mill...). Gjelder det også offentlige og private arrangement på Facebook? Nei, alt mulig av tullesider kan ikke få bøter. Sidene må være opprettet av noe som juridisk sett oppfattes som en virksomhet. Så om du oppretter en side (åpen/lukket) som privatperson - gjelder ikke. [...] Dette stemmer vel neppe siden dommen gjelder en "fan-page"... Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå