GDPR mäklare

[timmelstad]

Men det handlar ju inte bara om ditt eget register. Och mellan företag får man dessutom ta betalt.

Tänk följande scenario:
1) Du e-handlar hos ett sko-företag och landat därmed i deras webbshop
2) De har tredjepartsutvecklare som är väldigt vanligt inom e-handel och skickar vidare ordern dit. Du finns nu i ett externt system
3) ordern exekveras i tredjepartslagrets lagersystem
4) Betalningen sköts av Klarna och du finns nu i ett externt system
5) leverans skapas i deras TA-system (transportbeställning) och du finns ju också i ett ytterligare ett externt system för beställning av transport med PostNord
6) återrapportering sv trackingnr etc till systemet i punkt 1
7) PostNord ska skicka din sändning till ort x och de anlitar ett åkeri som kör åt dem och du finns nu i ännu ett externt system


Det går att klä på med fler steg i olika flöden.

Efter två veckor hör du av dig till skoföretaget och vill bli raderad. Skoföretaget ska nu alltså meddela Klarna och tredjepartslagret Tredjepartslagret ska meddela TA-leverantören som ska meddela PostNord som ska meddela PostNords åkeri.

Mellan företag får man ta betalt efter hur det verkar tolkas idag. Är det fortfarande rimligt att slutkundenska få makten att raderas? Och dessutom en månad senare handla igen ch be om att raderas.

Håller med om att företagen inte ska missbruka uppgifter men lm jag en gång handlat av ett företag tycker jag att jag gett mitt medgivande. Däremot att hålla register utan anledning bör förstås beivras.

Så även omdi jobbat med IT sedan 90-talet har vi olika syn på detta. Och så länge inget prövats rättsligt kan ingen av oss hävda att vi jag rätt och den andre fel. Det finns lika många tolkningar på detta som det finns juristbyråer. Det förstår man när man sett hur olika företags angreppssätt varit. En del avkräver aktivt att man klickar i ett fält. Andra bara berättar vad man gör.

Din beskrivning ovan visar tyvärr mest att du gör kvalificerade gissningar, men att du faktiskt inte vet.

Det mesta av det du beskriver ovan sköts med API:er, inte med att uppgifter lämnar system och landar i andra system.

I ditt exempel har för övrigt inte skoföretaget skyldighet att säkerställa att varken betalförmedlare, speditör eller annan extern part raderar uppgifterna, de är enbart skyldiga att radera de uppgifter som de inte av olika skäl fortfarande behöver lagra. Samt att ha PUB-avtal med sina leverantörer, som i sin tur är skyldiga att hantera sina förfrågningar och motivera sina skäl till lagring. De är dock skyldiga att ha koll på i vilka sammanhang och på vilka grunder och vilka uppgifter de lämnar vidare.

Stor skillnad.

 

[timmelstad]

Ja men så länge inte kravet finns på tex transportörerna att automatiskt radera uppgifter måste någon be dem. Och där är administrationen igång.

Kravet finns per automatik. Det är det som är GDPR i ett nötskal. Du får inte lagra uppgifter du inte behöver. När leveransen är gjord, rensa. Ingen speditör kommer kunna motivera och vinna ett fall där de inte rensat bort uppgifter efter avslutad leverans om det inte är en prenumeration.

 

[koolla]

Din beskrivning ovan visar tyvärr mest att du gör kvalificerade gissningar, men att du faktiskt inte vet.

Det mesta av det du beskriver ovan sköts med API:er, inte med att uppgifter lämnar system och landar i andra system.

I ditt exempel har för övrigt inte skoföretaget skyldighet att säkerställa att varken betalförmedlare, speditör eller annan extern part raderar uppgifterna, de är enbart skyldiga att radera de uppgifter som de inte av olika skäl fortfarande behöver lagra. Samt att ha PUB-avtal med sina leverantörer, som i sin tur är skyldiga att hantera sina förfrågningar och motivera sina skäl till lagring. De är dock skyldiga att ha koll på i vilka sammanhang och på vilka grunder och vilka uppgifter de lämnar vidare.

Stor skillnad.

Det roliga är att ingen vet förrän praxis är satt i rätten. Du har rätt att PUB-avtal är grejen. Jag ville bars illustrera hur många som har info efter ett enda köp. Och att det inte är så lätt som vissa verkar tro.

Och i verkligheten. Nej de flesta de flödena sköts inte med API utan edi. Men BORDE skötas med API.

 

[timmelstad]

Det roliga är att ingen vet förrän praxis är satt i rätten. Du har rätt att PUB-avtal är grejen. Jag ville bars illustrera hur många som har info efter ett enda köp. Och att det inte är så lätt som vissa verkar tro.

Och i verkligheten. Nej de flesta de flödena sköts inte med API utan edi. Men BORDE skötas med API.

Det finns otroligt utförliga förarbeten rörande GDPR som täcker väldigt mycket. Hela diskussionen om 30 dagar är ett utmärkt exempel på just det.

Det är inte heller ett problem eller ens en fråga att fundera över att det finns olika parter som har information om olika saker i samband med ett köp. I stort sett alla såna uppgifter är relevanta och kan motiveras varför de lagras. GDPR påverkar inte detta alls.

Klarna är däremot ett bra exempel, då de sen GDPR infördes behövt begära samtycke för att kunna lagra information om vad man köper, eftersom de gör det utöver transaktionsdata.

 

[dd88]

Ja, om vi skall fortsätta hålla företagen under armarna så håller jag med om din analys. I verkligheten är det inte riktigt så som du försöker måla upp. Att sätta en anställd en timme per dag att flagga personers uppgifter för radering som begärt så kommer inte att få företag att gå på knäna. Om så är fallet kanske de företagen inte skulle registrerat personer från början. Under en timme kan jag garantera att du manuellt hinner radera minst 300 personer. Detta blir alltså 1500 personer per vecka, och utan att störa produktionen nämnvärt. Så nej. Ditt antagande är totalt ogrundat.

Frågan är istället; varför är företag så kåta på att behålla uppgifter från personer som bevisligen inte vill förknippas med företaget på något sätt alls?

Vilken värld lever du i? 300 personer per timme? Var ute på ett större sjukhusapotek i veckan, de snittar fyra-fem personer i timmen (med fullgott systemstöd), kommer det in en med skyddat identitet så kan den personen ta en halv dag då kontakten med berörda myndigheter inte är en snabb process. Har en känsla av att din världsbild består av ”ta bort från mailinglistan och kundreskontran”. Apoteket i fråga har en apotekare som sitter heltid med detta, och jag vet att en mindre på golvet ställer till det ordentligt för verksamheten.

En annan kund, större e-handlare, snittar kanske 10 personer i timmen, och det skulle jag säga är riktigt bra. Så vart du fått 300 från vet jag inte. Slår man ut arbetstimmarna som krävdes för att automatisera en större gallring i våras så kommer man i närheten, men då var det hundratusentals personers uppgifter som togs bort i vad som blev ett sista klick.

Jag är helt för möjligheten att kunna bli glömd men det finns inte resurser som kan hantera anstormningen, just nu drabbar det bara oss konsumenter.

Edit: Ser nu att du vill få det till att du menade 300 per dag, fortfarande långt från verkligheten.

 

[Cancerman_777]

Vilken värld lever du i? 300 personer per timme? Var ute på ett större sjukhusapotek i veckan, de snittar fyra-fem personer i timmen (med fullgott systemstöd), kommer det in en med skyddat identitet så kan den personen ta en halv dag då kontakten med berörda myndigheter inte är en snabb process. Har en känsla av att din världsbild består av ”ta bort från mailinglistan och kundreskontran”. Apoteket i fråga har en apotekare som sitter heltid med detta, och jag vet att en mindre på golvet ställer till det ordentligt för verksamheten.

En annan kund, större e-handlare, snittar kanske 10 personer i timmen, och det skulle jag säga är riktigt bra. Så vart du fått 300 från vet jag inte. Slår man ut arbetstimmarna som krävdes för att automatisera en större gallring i våras så kommer man i närheten, men då var det hundratusentals personers uppgifter som togs bort i vad som blev ett sista klick.

Jag är helt för möjligheten att kunna bli glömd men det finns inte resurser som kan hantera anstormningen, just nu drabbar det bara oss konsumenter.

Edit: Ser nu att du vill få det till att du menade 300 per dag, fortfarande långt från verkligheten.

Om ett företag kan registrera x antal kunder per dag, så kan det också radera samma antal. Att företaget behöver lägga ner antingen några timmar på kodning eller anlita någon sommarjobbare för att knacka in personnummer på de personer som skall bort, är inte mitt problem, men att hävda att det är jobbigt är bara trams.

Jag har sett manuella registreringar som genererat långt mer avancerade funktioner som gått fortare än 300 per timme. Om inte företaget är HELT tappat, så har de koll på sina register och vet EXAKT vilka tabeller som berörs.

Jag ifrågasätter kompetensen hos chefen på det apoteket du använder som exempel. Så svårt är det inte att radera ur egna register och sedan skicka en fil/lista till berörda myndigheter som då få göra vad de behöver.

 

[Nötegårdsgubben]

Det svar du fått är ju helt korrekt och följer alla regler, lagar, förordningar och förarbeten som finns. Det är du (TS) som inte förstår svaret och gör en felaktig tolkning av vad de svarat.

Jag tror också att företaget med skohorn pressat in sig självt inom lagens gränser, men i övrigt ser jag det precis tvärt om. Företaget skiter uppenbarligen högtidligt i syftet med reglerna och visar med all önskvärd tydlighet att det ser TS som ett problem.

Att TS inte förstår svaret må så vara, men vems fel är det, TS eller företaget skrivit textens?

Jag tycker TS gör helt rätt som hänger ut ERA Sverige som ett företag som man bör vara försiktig med att ha med att göra.

 

[dd88]

Om ett företag kan registrera x antal kunder per dag, så kan det också radera samma antal. Att företaget behöver lägga ner antingen några timmar på kodning eller anlita någon sommarjobbare för att knacka in personnummer på de personer som skall bort, är inte mitt problem, men att hävda att det är jobbigt är bara trams.

Jag har sett manuella registreringar som genererat långt mer avancerade funktioner som gått fortare än 300 per timme. Om inte företaget är HELT tappat, så har de koll på sina register och vet EXAKT vilka tabeller som berörs.

Jag ifrågasätter kompetensen hos chefen på det apoteket du använder som exempel. Så svårt är det inte att radera ur egna register och sedan skicka en fil/lista till berörda myndigheter som då få göra vad de behöver.

Nu bevisar du bara att du har noll koll på vad du pratar om.

 

[koolla]

Nu bevisar du bara att du har noll koll på vad du pratar om.

Exakt. Håller med. Att spika i en spikgår snabbt. Att dra ut den är mycket svårare. Ungefär samma när man ”förädlat” kontakten i sitt kund/kontaktregister.

 

[Cancerman_777]

Nu bevisar du bara att du har noll koll på vad du pratar om.

Episkt starkt bemötande argument.

 

[Cancerman_777]

Exakt. Håller med. Att spika i en spikgår snabbt. Att dra ut den är mycket svårare. Ungefär samma när man ”förädlat” kontakten i sitt kund/kontaktregister.

Men herregud. Om vi skall göra sådana banala jämförelser så tar det fan så mycket längre tid att skriva en bok än att elda upp den.

Skärp er nu och var inte så otroligt förstående för någonting som verkligen inte är raketvetenskap.

 

[koolla]

Men herregud. Om vi skall göra sådana banala jämförelser så tar det fanns så mycket längre tid att skriva en bok än att elda upp den.

Skärp.er nu och var inte så otroligt förstående för någonting som verkligen inte är raketvetenskap.

Du behöver bara förstå att det är inte BARA ett IT-projekt!

 

[Cancerman_777]

Du behöver bara förstå att det är inte BARA ett IT-projekt!

Att radera ur register är ENDAST ett IT-projekt. Eller vad menar du skulle behövas för ytterligare kompetens?

Och ja, jag förutsätter att företag har koll på vilken information som krävs för bokföring, garantier och annat som juridiken kräver måste finnas kvar i systemen.

 

[koolla]

Att radera ur register är ENDAST ett IT-projekt. Eller vad menar du skulle behövas för ytterligare kompetens?

Och ja, jag förutsätter att företag har koll på vilken information som krävs för bokföring, garantier och annat som juridiken kräver måste finnas kvar i systemen.

Eftersom GDPR inte har klara riktlinjer är det inte bara IT-projekt. Det står ju ingenstans med antal dagar innan man ska agera under vilka förutsättningar man får behålla data etc. Det är tolkningar allt så man måste tolka sitt eget data. Därefter är det självklart ett IT-projekt. Men man måste göra avvägningen av automatik och kostnader för IT-projekt kontra kostnader för manuellt arbete.

 

[hempularen]

Men om det nu inte står något om antal dagar man har på sig, då är det ju bara att göra det omgående. I affärssammanhang brukar omgående betyda 1 vecka. Nu är detta IT, så det borde betyda typ 10 millisekunder (eller här där jag har uppdrag betyder det 10 pico sekunder).

När det gäller vad man måste eller inte måste radera, så borde det fortfarande vara ganska enkelt att hålla juridiskt tvingande information "skriv/raderskyddad", och så får man radera resten, förstår inte varför det skulle vara så svårt.

Men jag inser att OM firman vill behålla så mycket värde som möjligt av min data, så vill de radera så lite som möjligt, och då tar det tid att bedöma. Men den bedömningen handlar alltså om att få bevara så stort värde som möjligt av information om mig som de aldrig borde sparat. Åter det är inte kundens problem.