GDPR - hur gör ni andra?

Tråden skapades och har fått 31 svar. Det senaste inlägget skrevs .
  • Medlem
  • Neverland
  • 2018-03-06 10:11

25/5 detta år ersätts PUL av GDPR.

Reklambyrån jag jobbar på måste, liksom alla andra företag, kunna visa vilka register som finns. ”Register” i detta fallet betyder precis allt från e-post i datorn till arkiverade bilder och gamla dokument. Då det gäller nya personuppgifter som kommer in = inga problem. Men allt gammalt är ett härke att reda i.

Hur gör ni?

  • Medlem
  • Kungälv
  • 2018-03-06 10:42

Svär en massa.
Som tur är jobbar jag bara med interna ”kunder” och datan vi har på externa är inte personrelaterat så förhoppningsvis behöver vi inte göra särskilt mycket.

  • Medlem
  • Göteborg
  • 2018-03-06 16:16

GDPR omfattar, som jag fattat det och branschen jag jobbar för på uppdrag (finans), bara nya uppgifter. Historiska uppgifter som du har på t.ex papper i pärmar omfattas inte. Rätta mig gärna om detta är galet.

Största nöten att knäcka för oss är skanningen. Att inte få skanna mellan maskin och mailkorg är ett problem och vår organisation har väldigt spritt bland maskinerna ålder, storlek och funktion. Krypteringscertifikat är bara att drömma om med andra ord..

Hur har ni gjort där?

  • Wisserbesser
  • Uddevalla
  • 2018-03-06 18:29
Ursprungligen av kladda:

GDPR omfattar, som jag fattat det och branschen jag jobbar för på uppdrag (finans), bara nya uppgifter. Historiska uppgifter som du har på t.ex papper i pärmar omfattas inte. Rätta mig gärna om detta är galet.

Största nöten att knäcka för oss är skanningen. Att inte få skanna mellan maskin och mailkorg är ett problem och vår organisation har väldigt spritt bland maskinerna ålder, storlek och funktion. Krypteringscertifikat är bara att drömma om med andra ord..

Hur har ni gjort där?

Vad är det som hindrar er från att fortsätta scanna?
Vi scannar från scanner till dator på nätverk, är väl ungefär samma princip.

  • Medlem
  • Neverland
  • 2018-03-07 07:51
Ursprungligen av kladda:

GDPR omfattar, som jag fattat det och branschen jag jobbar för på uppdrag (finans), bara nya uppgifter. Historiska uppgifter som du har på t.ex papper i pärmar omfattas inte. Rätta mig gärna om detta är galet.

GDPR gäller allt som är att betrakta som personuppgifter, inte bara sådant som registreras från införandet.
Huruvida ordet ”data” i förkortningen GDPR betyder att det enbart gäller digitala dokument ska jag låta vara osagt, men så har jag inte tolkat det.

Ursprungligen av kladda:

Största nöten att knäcka för oss är skanningen. Att inte få skanna mellan maskin och mailkorg är ett problem och vår organisation har väldigt spritt bland maskinerna ålder, storlek och funktion. Krypteringscertifikat är bara att drömma om med andra ord..

Att olika scanningsförfaranden skulle vara reglerade ser jag som osannolikt.

  • Wisserbesser
  • Uddevalla
  • 2018-03-07 09:30
Ursprungligen av filuren:

GDPR gäller allt som är att betrakta som personuppgifter, inte bara sådant som registreras från införandet.
Huruvida ordet ”data” i förkortningen GDPR betyder att det enbart gäller digitala dokument ska jag låta vara osagt, men så har jag inte tolkat det.

Att olika scanningsförfaranden skulle vara reglerade ser jag som osannolikt.

Förordningen är teknik neutral - griffeltavla eller moln tjänst spelar ingen roll.

Jobbar med journalsystem för sjukvården - så GDPR är i högsta grad relevant

  • Medlem
  • Göteborg
  • 2018-03-07 14:10
Ursprungligen av reboot81:

Vad är det som hindrar er från att fortsätta scanna?
Vi scannar från scanner till dator på nätverk, är väl ungefär samma princip.

Vi finns över hela Sverige har en komplex struktur där alla inte är anställda, med som franchise.
Detta gör att allt ifrån hårdvara till nätverk går isär.
Att försöka administrera detta på ett 60-tal olika kontor är inte möjligt. Därför har Scanning gått via mail.

  • Medlem
  • Göteborg
  • 2018-03-07 14:11
Ursprungligen av filuren:

GDPR gäller allt som är att betrakta som personuppgifter, inte bara sådant som registreras från införandet.
Huruvida ordet ”data” i förkortningen GDPR betyder att det enbart gäller digitala dokument ska jag låta vara osagt, men så har jag inte tolkat det.

Att olika scanningsförfaranden skulle vara reglerade ser jag som osannolikt.

Det gäller även papper och sånt som ligger på din arbetsplats.
Scannar du en känslig uppgift som PDF till en mailadress okrypterat är du inte compliant.

Bara så att vi är på det klara med vilken typ av uppgifter som det rör sig om.

Citat:

"1. Denna förordning ska tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register."

“6. register : en strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden”
Visst är det solklart? Eller inte.
Ett register kan man beskriva som en samling uppgifter som är lagrade så att man snabbt kan hitta uppgifter även om det är en stor samling. När gamla lagen skrevs på 90-talet så syftade ordet register på ett särskilt registerprogram på datorn, en databas. Idag kan man söka igenom hela hårddisken och alla de eventuella molntjänster man använder. Därför kan idag alla uppgifter man lagrar digitalt definieras som register. Det är detta som den nya lagen försöker ta höjd för.

Så det rör sig om uppgifter som lagras digitalt eller på annat sätt går att enkelt att söka i. Löst liggande papper etc ingår inte. Papper i pärmar kan väl iofs vara en gråzon men borde klara sig (men jag är inte ens amatörjurist så mina råd är ingenting värda:)

https://vismaspcs.se/ditt-foretagande/sakerhet/paverkar-gdpr-din-verksamhet

Och för att gå tillbaka till en av frågorna: vad/hur gör ni? Så är svaret samma som för json_81... en himla massa eftersom vi gör system för hantering av personuppgifter...

  • Medlem
  • Neverland
  • 2018-03-08 09:36
Ursprungligen av BlackSmp:


Så det rör sig om uppgifter som lagras digitalt eller på annat sätt går att enkelt att söka i. …

Om det vore så väl. Men det rör sig även om uppgifter i lagringsplatser som är svåra att söka i. Och detta problem är anledningen till att jag skapade denna tråd.

Det enskilt största problemet jag ser med GDPR i vår reklambyråverksamhet är allt material från förr. Tänk backuper, arkiv, medarbetares datorer/telefoner/paddor etc. Visst kan vi hävda någon av de tre lagliga grunderna* för vårt innehav, men vi ser risken av ett närmast oöverkomligt arbete framför oss den dag någon person hör av sig till oss ber att få veta vad vi har om personen (vilket är just vad GDPR går ut på) och därefter radera det.

Att vi i ett register berättar att vi har personuppgifter, vilken typ de är och vilken laglig grund som hävdas är den lilla biten. Den betydligt större biten är att vid behov hitta alla dessa uppgifter.

Långt från alla personuppgifter är ju sökbara - exempelvis ej namngivna porträttbilder. Även namn och annat i text-/pdf-/indesign-dokument från förr som kan knytas till till en person är att betrakta som personuppgifter.

* Berättigat intresse, samtycke samt avtal.

Senast redigerat 2018-03-08 10:17

Tror det mest handlar om att försöka dokumentera upp allting samt vem som kan nå uppgifter hur och varför denna möjlighet finns.
Man har t.ex. som företag lag på att lagra vissa uppgifter kring försäljning och annat och av den anledningen kan neka radering av uppgifter.
Det stora problemet som många säger blir ju att man måste börja radera både äldre data och ny data systematiskt eller efter schema. Jag har blivit av med datorer genom åren och det är sällan jag har saknat något specifikt från mina +20 000 mail så det kanske inte blir så stort problem för vissa, för andra ett helvete.

Skall själv köra igång med denna processen i april. Kommer bli en hel del pappersskyffleri och signaturer med några hundra personer. Vi kommer koppla på en digital tjänst där alla får skriva på om biträdesavtal etc. Men det är nog dokumentationen som blir det tunga.
Frågan är om man kan avtala sig till rätten att lagra uppgifter en viss tid om en kund om denne kan godkänna detta vid köp av tjänst.

Sedan har jag en kommentar om det här kring mail. Om någon självmant mailar mig så samlar jag inte aktivt in några personuppgifter i och med detta. Personen bestämmer också själv vad den skickar till mig. Alltså borde denna lagring egentligen inte falla under något straffbart.

  • Medlem
  • Neverland
  • 2018-03-08 10:17
Ursprungligen av biffenrydberg:


Sedan har jag en kommentar om det här kring mail. Om någon självmant mailar mig så samlar jag inte aktivt in några personuppgifter i och med detta. Personen bestämmer också själv vad den skickar till mig. Alltså borde denna lagring egentligen inte falla under något straffbart.

Helt rätt. Borde isåfall hamna under berättigat intresse. Jag nämnde det bara för att det ändå ingår bland personuppgifter - och det är ju inte alltid nödvändigtvis någon som mailat mig om sig själv, mailet kan ju innehålla personuppgifter om någon utomstående. Bara som exempel.

  • Medlem
  • Göteborg
  • 2018-03-08 19:53
Ursprungligen av BlackSmp:

Löst liggande papper etc ingår inte.

Här säger både flertalet jurister och GDPR-konsulten vi anlitat emot dig.
Ligger ett papper med t ex hälsodeklaration eller journal helt öppen, men namn personnummer och sjukdom läsligt så är du inte compliant. Då kan du dömmas.

Hur är det med släktforskning där levande personer kan finna? Jag tillämpar PUL lagen. Måste fråga alla?!

EDIT: Hittade något intressant angående detta här: GDPR – släktforskning

Senast redigerat 2018-03-09 09:26
  • Medlem
  • 2018-05-05 15:39

Hej! Hoppar in lite sent i tråden men hoppas att kunna få igång diskussionen igen. GDPR kommer att drabba oss alla och jag vet att företaget jag jobbar på brottas enormt med detta. Samtidigt förstår jag varför lagen träder i kraft då jag insett hur mina personuppgifter säljs vidare till andra företag. Har ni någon bra app eller liknande för att hålla koll på allting? Hur många företagsengagemang man har eller liknande? Jag tkr det hade varit intressant om man kunde begära ut såna här uppgifter från alla företag man har/haft kontakt med.

  • Medlem
  • 2018-05-05 15:57
Ursprungligen av Karl1:

Hej! Hoppar in lite sent i tråden men hoppas att kunna få igång diskussionen igen. GDPR kommer att drabba oss alla och jag vet att företaget jag jobbar på brottas enormt med detta. Samtidigt förstår jag varför lagen träder i kraft då jag insett hur mina personuppgifter säljs vidare till andra företag. Har ni någon bra app eller liknande för att hålla koll på allting? Hur många företagsengagemang man har eller liknande? Jag tkr det hade varit intressant om man kunde begära ut såna här uppgifter från alla företag man har/haft kontakt med.

Hittade denna mallen som jag kommer att använda mig av
Ingen app

https://www.excelbrevet.se/gdpr-excelmall/

  • Medlem
  • 2018-05-05 16:02
Ursprungligen av PaO:

Hittade denna mallen som jag kommer att använda mig av
Ingen app

https://www.excelbrevet.se/gdpr-excelmall/

Grymt, tack! Så du ska alltså kontakta alla företag där du är aktiv och be om ett utdrag? Låter som ganska mycket jobb och framförallt vet man inte hur många företag genom åren som kan ha samlat på sig data om en själv.

  • Medlem
  • 2018-05-05 18:11
Ursprungligen av Karl1:

Grymt, tack! Så du ska alltså kontakta alla företag där du är aktiv och be om ett utdrag? Låter som ganska mycket jobb och framförallt vet man inte hur många företag genom åren som kan ha samlat på sig data om en själv.

Nej, tvärtom
Jag skall skapa GDPR för mitt företag

  • Medlem
  • 2018-05-05 22:40
Ursprungligen av PaO:

Nej, tvärtom
Jag skall skapa GDPR för mitt företag

Vad spännande! Vad är det för företag du driver/jobbar med?

  • Medlem
  • 2018-05-05 22:49
Ursprungligen av Karl1:

Vad spännande! Vad är det för företag du driver/jobbar med?

Driver ett företag inom tillverkning med 14 anställda
Inte mer än så 😎

  • Wisserbesser
  • Uddevalla
  • 2018-05-05 23:06
Ursprungligen av Karl1:

Grymt, tack! Så du ska alltså kontakta alla företag där du är aktiv och be om ett utdrag? Låter som ganska mycket jobb och framförallt vet man inte hur många företag genom åren som kan ha samlat på sig data om en själv.

Ja det är lite jobb, alla som hanterar ens personuppgifter behöver man skriva biträdesavtal med.

  • Medlem
  • 2018-05-05 23:25
Ursprungligen av PaO:

Driver ett företag inom tillverkning med 14 anställda
Inte mer än så 😎

Det är inte så bara, bra jobbat!!
Hur har du tänkt att leverera infon/rapporten till de kunder som ber om en rapport? I och med att uppståndelsen kring lagändringen är så stor så tror jag ett en del privatpersoner kan tänkas be om detta. Jag kommer åtminstone göra det för att få bättre koll på de företagen man har ett engagemang med.

  • Medlem
  • 2018-05-05 23:30
Ursprungligen av Karl1:

Det är inte så bara, bra jobbat!!
Hur har du tänkt att leverera infon/rapporten till de kunder som ber om en rapport? I och med att uppståndelsen kring lagändringen är så stor så tror jag ett en del privatpersoner kan tänkas be om detta. Jag kommer åtminstone göra det för att få bättre koll på de företagen man har ett engagemang med.

Vi har i praktiken inga privatkunder och den information vi samlar gäller endast avtal, dvs faktureringsuppgifter

  • Avstängd
  • Överallt
  • 2018-05-06 08:45
Ursprungligen av PaO:

Driver ett företag inom tillverkning med 14 anställda
Inte mer än så 😎

Har du tänkt på att du har ditt namn i din profil så att det är lätt att hitta massa spännande information om dig och dina företag?

  • Wisserbesser
  • Uddevalla
  • 2018-05-06 09:48

Vi kikade på lösningar från Draftit och GDPRHero efter att jag läst den här.

Vi valde dock bort dessa tjänster då vi har ett gediget dokumentstöd från vår arbetsgivarorganisation.

GDPR har redan fått oss att ändra rutiner och praxis, att ändra hur man arbetar är betydligt svårare än att hålla register över register.

  • Medlem
  • 2018-05-06 13:21
Ursprungligen av Mija:

Har du tänkt på att du har ditt namn i din profil så att det är lätt att hitta massa spännande information om dig och dina företag?

Har funderat på det mer och mer 😎

Ursprungligen av PaO:

Har funderat på det mer och mer 😎

Jag försöker i möjligaste mån undvika att det (enkelt) går att göra den kopplingen.

Detta omfattar allt från småsaker såsom att inte skiva ut mitt jobb i min FB profil. Givetvis går det att koppla ihop mig med mitt jobb trots detta men jag vill gärna att det inte ska vara enkelt.

  • Wisserbesser
  • Uddevalla
  • 2018-05-08 10:21

Man kan ta bort sin site från Internet Archive genom att maila till info@archive.org

  • Medlem
  • Göteborg
  • 2018-05-31 16:28

Något som förvånar mig är hur många företag som inte kan hantera helt vanlig TLS kryptering.
Vi satte forced TLS och får väldigt mycket studsar och väldigt många kunder kommer inte igenom.

Galet när man ser vilken storlek vissa dessa kunder har eller vilken bransch några av dem är i (finans, juridik etc.)

Gick precis ut ett mail till en org. med över 250 personer där det redan nu första veckan varit mycket problem med TLS.
"Upplever ni problem eller har frågor kring TLS, kontakta Tryggve på nummer 070 55 46 02 eller tryggve.tygg@bolag.se"

Jag är Tryggve och just nu är detta mitt liv:

Bevaka tråden