GDPR, vad behöver jag som företagare rent konkret göra?

Vite kan uppgå till 4% av företagets globala omsättning per överträdelse. Kommun och Landsting har dock rabatt. Men det är värre än så här eftersom att det till vite/företagsbot tillkommer skadestånd på individnivå och det skadeståndet saknar övre tak.

Lagen tar främst sikte på stora bolag som i sin kärnverksamhet hanterar stora mängder persondata (tänk Facebook, Google o.s.v). Bosses Ved & Porr AB behöver knappast oroa sig över böter på 20 miljoner euro..

Frågan är hur du har kommit över persondatan. Säg att en kund köper ett gyllene duschhandtag via din webshop. För att kunna kontakta kunden vid en eventuell produktåtertagning så sparar du kundens namn och emailadress. Du behöver faktiskt inte explicit samtycke för att spara datan, istället kan du hävda legitimate reason. Den ska vara såklart vara dokumenterad enligt Art. 30. Du får heller inte använda datan till något annat syfte än det avsedda, t ex skicka reklam.


Det finns ett undantag för företag med mindre än 250 anställda att behöva föra "records of processing activites", tyvärr är det knappt något företag som uppfyller de efterföljande kraven till undantaget.

Tipsar om portalen www.gdprdokumentation.se där man enkelt kan göra sin dokumentation och hämta policydokument.

Ser inte hdpr som största problemet i din verksamhet itan bolagsnamnet 😄

Gdpr
Utan

Du kan vara lugn, det heter i verkligheten något helt annat.

Lagen är mest till för att skydda personuppgifter från att datan delas till irrelevant tredje part. På t.ex Facebook har man tidigare godkänt ett långt villkorsavtal utan att ens ha orkat läsa igenom detsamma gäller för Google, god knows vad dom gör med all information. Man har ju sett och hört det om Facebook iallafall.

För att gardera dig är det enda du behöver göra att tydligt skriva i dina villkor hur du hanterar personuppgifter och vad syftet med det är.

Och
Det är tillåtet att lagra eller dela personuppgifter om det är nödvändigt eller relevant för syftet med verksamheten.
Men det är inte tillåtet att lagra eller dela personuppgifter OM det inte är nödvändigt eller relevant för syftet med verksamheten.
T.ex
Det är nödvändigt för Comhem att dela deras kunddata till Radiotjänst då en inrikes lag kräver det.

Det vore inte nödvändigt om de skulle dela kunddatan till en frilansande reklambyrå.

Ungefär så fungerar det. Lite luddig lag som känns böjbar med relevansen.
Man får vänta och se när första rättsfallet prövas, det brukar sätta praxis. Jag hoppas då att det är Google som åker på det rejält, dom jävlarna!

Nja alltså den postulerar klart och tydligt att bryter du mot GDPR så skall du få böta cirkus 4% av din omsättning.
För företag som Facebook och Google är det inte småpotatis. Finns gott om jurister som kommer att ha intresse av att se till att lagen följs.

Själva tanken är att personuppgifter i sig inte skall övergå från att vara personuppgifter till företags immaterialrätt.

Kolla användaravtalet för exempelvis Schibstedts SPiD (Spyware Identification?).

(FB) Innlogging med SPiD ( nå kobles Finn.no kontoen din med VGD diskusjonsforum )


Detta blir direkt illegalt enligt GDPR och de gråter därför krokodiltårar i pressen.

https://futurereport.schibsted.com/m...your-business/

https://www.dn.no/etterBors/2018/04/...le-data-om-oss

Jag skulle beskriva deras affärsverksamhet som ett mellanting mellan STASI och hänt i veckan.

https://www.nrk.no/norge/mediegigant...ene-1.13981919

Vidare gillar de inte att skrivelserna om hur man lagrar personuppgifter gör dem medansvariga för säkerheten hädanefter.

https://www.breakit.se/artikel/13276...pa-gdpr-kraven

Direktreklam suger ändå. Har jag orienterat mig på marknaden vad det gäller gräsklippare och därefter köpt en gräsklippare så kommer jag att få en massa direktreklam riktad till mig om gränsklippare.

Hur Golden Shower AB (hädan efter Pissbolaget) kommer att drabbas negativt av GDPR beror helt på vad de har för affärsmodell och vad de gör för någonting med personuppgifterna.

Det centrala i GDPR är dataminimering samt anonymisering SAMT att användaruppgifter har ett bäst föredatum.

Låt oss börja med att ta det bästa möjliga scenariot.

Låt oss nu säga att Pissbolaget bedriver en sociala medier tjänst.

Förutsatt att de kan lagra användardatat på ett sätt som gör att det inte är sökbart för tredje part, dvs man krypterar sin databas och anonymiserar kontonamnen i databasen (inte anonymiserad i tjänsten) och att man utryckligen bett sina kunder om lov att få använda sig av den information användarna lämnar in till tjänsten för att sammankoppla annonsörer med användare så är den enda nyheten i GDPR att användare skall ha möjlighet att lämna tjänsten och ta bort sin data från tjänsten. Samt att användardata inte skall få lagras hos Pissbolaget för all framtid som idag utan det skall stå klart och tydligt i avtalet hur länge datat lagras. En riktlinje är 9 månader.
Kom ihåg, timern börjar inte ticka förrän de slutar använda tjänsten.

Lite värre blir det ifall Pissbolaget är ett mediebolag.

Man får upprätta ett register av sina kunder och kategorisera dem, man får även samla in uppgifter om hur de använder Pissbolagets tjänster. Man får dock inte som idag sammankoppla kundnummer med IP-addresser och förfölja och kartlägga deras surfhistorik. Ett regelrätt trackingbolag måste begära folks samtycke numera, det går dock lätt att smyga med i de långa användaravtal som folk regelmässigt skippar utan förbehåll, dock med förtecknen att uppgifterna inte får lagras för evigt samt att de varken internt eller externt skall vara sökbara vad det gäller namn och personnummer.

Specifikt samkörning av insamlade uppgifter, vilket många trackingbolag pysslar med har dock alltid varit illegal övervakning om de inte verkar från typ Liberia eller Caymanöarna.

Göte Karlsson från Blomstermåla blir i databasen till identiteten 2Z2twGSa++VKd6/+37fWHNQPEtS1tqgZ0biF9V3b

2Z2twGSa++VKd6/+37fWHNQPEtS1tqgZ0biF9V3b kan man sedan samla in uppgifter om hur den använder sig av handelspartners sidor. Man kan sedan gruppera den identiteten med andra liknande och därefter rikta direktreklam.

Nu till det intressanta. Så länge 2Z2twGSa++VKd6/+37fWHNQPEtS1tqgZ0biF9V3b fortfarande använder sig av Pissbolagets tjänster efter 9 månader eller överenskommen tid så måste man byta identiteten samt ta bort den gamla identiteten. Den nya identiteten blir g+MDNf5Cxe4v58BiMC7VtJRhXTyzKR3UN/tc7rqR , man får dock behålla uppgifterna som hör till den nya. Så länge de lagras säkert och anonymiserat och kunden fortfarande använder sig av tjänsten.

Om Pissbolaget bedriver en onlineaffär så blir det vissa förändringar framöver.

Låt oss säga att de faktiskt säljer VVS-artiklar som toalettstolar och duschslangar.
Den huvudsakliga inkomstkällan borde isf vara produkterna och inte direktreklam.

Man kommer att utryckligen ombes om man vill få massutskick och hamna i mailinglistor istället för som idag slentrianmässigt alltid få någonslags medlemskap och registrering.

Så länge kunderna är inne på Pissbolagets webshop så får du köpa reklamplats som skulle passa till givna katerorier av kunder. Anonymisera deras användarnamn i din databas samt ha stark säkerhet på användarnamn och lösenord och ta bort konton som har varit inaktiva länge så skall det inte heller vara någon fara.

Om Pissbolaget enbart pysslar med regelrätt spyware och inte fyller någon funktion för användarna så skall de drabbas hårt av GDPR.

Det skall bli intressant att se hur Amerikanska företag kommer att agera på GDPR lagstifningen, jag föreställer mig en shit-show av guds nåde med en massa blockerade tjänster om bara ett par veckor.

For shits and giggles, ladda ned Ghostery och besök tre vanliga Svenska sidor.

lista finns här.
http://www.kiaindex.se/

Jämför sedan med hur det ser ut på msnbc.com t.ex.

Får det till 32 annonsbolag och 12 rena trackingbolag.

Jag kör ehandel. Alla e-postadresser som jag samlat in av kunder som handlat hos mig, måste jag skicka ut mail till dom för att godkänna att dom fortsätter godkänna mina nyhetsbrev till dom?

Dom har ju gett ut mailen och samtyckt tidigare. Någon som vet?

Ja, idag regnar det ned GDPR-mail från allehanda företag.

Personligen har jag upprättat ett policydokument som förhoppningsvis täcker nu- och framtida rutiner på mitt lilla företag.

Vad ska jag göra mer? Jag gör inga direkta utskick, men sparar naturligtvis telefonnr. mailadresser och ibland personnummer och fastighetsbeteckning (ROT-jobb, där måste jag ju spara uppgifter enligt bokföringslagen).

Om jag bara har namn och telefonnummer, ska jag ringa runt till dom 2000 personer jag har i telefonboken och berätta det, eller vad är tanken?

Jag förstår inte riktigt heller tanken. Jag har en email-lista på runt 3500 kunder som jag skickar nyhetsbrev till. Jag har bara telefonnummer, emailadress och namn. Om jag skulle skicka ut mail som dom måste godkänna så kommer inte ens hälften läsa mailet vilket betyder att jag förlorar stora summor i försäljning som kommer från nyhetsbrev.. jag kommer nog bara fortsätta skicka nyhetsbrev efter den 25.