Tagit bort personlig information.
7 gillningar
Tagit bort personlig information.
1 gillning
Vad betyder “föra över” och “aktivt godkännande” i sammanhanget?
Om jag besöker en hemsida som serveras från en server som står i USA, så har min ipadress av nödvändighet förts över till denna server för att den ska kunna svara på min begäran att hämta hemsidan. Har jag aktivt godkänt denna överföring av min information till USA? Rimligen inte, eftersom jag inte har en aning om var servern står. Har ett brott begåtts av någon, och i så fall vem?
Tagit bort personlig information.
Det finns vissa krav i IP-protokollet som omöjliggör att ansluta till något utan att detta kommer från en IP-adress. Det är alltså helt fysiskt omöjligt för en dator att via IP ansluta sig till något utan att den något får ta del av IP-adressen. Sedan så klart att man kan välja att inte visa och/eller logga detta på ett läsbart sätt. Men i detta fall rör det ju sig om att informationen förts över och man hoppas på att mottagarsidan inte gör något med den informationen. Enda lösningen på detta är att tunnla trafiken genom något annat (och därmed avslöja tunnelns IP-adress snarare än din egen). Detta är nog över vad den genomsnittliga europén kan förväntas göra till vardags.
Detta är en ordentlig soppa, och ett praktexempel på hur det blir när EU-byråkrater (eller för den delen amerikanska diton) stiftar lagar utan att förstå tekniken.
Sedan finns det väl undantag i GDPR, exempelvis detta, där något som är strikt nödvändigt för att en tjänst rent tekniskt ska fungera, inte kräver samtycke. I nätverkssammanhang torde man ju då kunna argumentera för att behandlingen av IP-adressen är strikt nödvändig, och därmed skulle den inte kräva samtycke.
Det finns ju olika grunder för behandlingen av personuppgifter enligt GDPR. Bara vissa av den kräver samtycke.
Exempelvis kan man inte gå till polisen och be att bli bortglömd (då myndighetsutövande på viss nivå ej kräver samtycke).
Ett annat exempel skulle vara att be att inte få förekomma i bokföringen om man köpt en vara av något företag, eftersom företaget enligt lag behöver lagra information kopplar till köpet (exempelvis men ej begränsat till vem köparen är, om detta utgör underlag i bokföringen). Här står företagets skyldighet att efterleva lagen över GDPR.
En annan s.k. rättslig grund för behandling av personuppgifter är legitimt intresse även kallat “intresseavvägning”.
För att ni ska få behandla personuppgifter efter en intresseavvägning krävs det att personuppgiftsbehandlingen är nödvändig för ett ändamål som rör ett berättigat intresse, och att den registrerades intresse av skydd för sina personuppgifter inte väger tyngre.
Om jag inte minns fel, så bedömdes exempelvis loggning av IP-adresser vara nödvändig för att dels hindra missbruk av tjänsten och dels kunna utreda t.ex. intrångsförsök vilket, om intrången lyckats, skulle kunna orsakat större skada en den “skada” personen lider av att få sin IP-adress loggad. Och här pratar vi om att hela juristteam på svenska storbolag kommit till denna slutsats. Om det är rätt eller ej får ju avgöras i domstol, men detta är som sagt en soppa…
4 gillningar
Så tjänsten måste presentera ett val för att få mitt godkännande, men måste ha mitt godkännande för att presentera valet. Ett klassiskt moment-22, med andra ord.
Och om tjänsten inte tillhandahålls av ett företag?
Detta är, som vanligt när det gäller datalagstiftning, djupt ogenomtänkt och kommer att tillämpas godtyckligt. Ytterligare ett steg mot att bygga Den Stora Europeiska Muren och avskärma EU från resten av internet.
1 gillning
Tagit bort personlig information.
3 gillningar
Mycket bra beslut, vidrigt hur Meta använder människors personuppgifter.
1 gillning
Ja, tyvärr. Som sagt. Samtidigt vet jag flera svenska kommuner och regioner som gör undantag, ändå. För att de inte kan bedriva sin verksamhet annars (läs: de förstår inte hur de ska kunna göra det, även om det är möjligt enligt mig).
Exempel: Random handläggare på random kommun hör av sig, och vill skriva ett personuppgiftsbiträdesavtal med mitt företag eftersom någon på kommunen köpt in den tjänsten.
När de får reda på att visa delar av verksamheten kör på AWS (Amazon Web Services), inom EU av ett europeiskt dotterbolag till det amerikanska bolaget, så blir det tvärstopp. De får inte använda något system som kan tänkas smittas av amerikansk lagstiftning. Visst, så går det att tolka lagen om man är överdrivet försiktig. Men när jag svarar på mailet att “Fast ni tycks maila från Office 365, som ju ägs av Microsoft. Det innebär att ni skickat mina personuppgifter (både namn, telefon samt e-postadress framgick av mailet) samt att min IP-adress framgick av metadata i mailet, till ett amerikanskt bolag. Hur resonerar ni där?” så blir det varannan gång heltyst (läs: de slutar svara på mail) alternativt något halvtaffligt försök att hävda att de har ett eget avtal med microsoft och fått OK på att använda det.
Som sagt. Soppa.
1 gillning
Det har varit ett massivt arbete för kommuner att tillsammans med Microsoft för att se till så det lever upp till kraven i GDPR. Så det är knappast något som gjorts av någon enskild person. Har gjorts omfattande risk och sårbarhetsanalyser.
Eftersom jag arbetar i offentlig verksamhet så är det absolut förbjudet att skriva känsliga personuppgifter i mejl, vi undviker även hålla känsliga möten på teams. Kommunerna har även egna servrar där all e-post lagras. Det enda som har varit problemet är ju molntjänsterna, där det varit oklarheter.
Men ja generellt är det inte smart att införa tjänster som lagrar data i tredjeland. I princip förbjudet, därför du får såna svar.
Man kan och bör ha synpunkter på hur regleringen utvecklas på det här området. Men personligen så föredrar jag nog att vi sätter stopp för teknikbolagens framfart nu och löser upp knutarna senare, än att vi låter teknikbolagen fortsätta härja runt som dem vill fram tills den dagen någon råkar hitta på en perfekt legal lösning på problemet. Om valet står mellan att låta en halvinkompetent EU-byråkrat bestämma spelreglerna och Mark Zuckerberg så väljer jag EU-byråkraten alla dagar i veckan.
1 gillning
Fast nu var det inte i tredje land, det var inom EU men via AWS europeiska dotterbolag.
Om de gör bedömningen att de kan använda microsoft 365, en amerikansk molntjänst, som med 100% sannolikhet driftar sin europeiska verksamhet på Azure inom EU för europeiska användare, så är det exakt samma fall som att de skulle använda en tjänst som ligger på AWS inom EU.
GDPR tycks inte fått några större effekter på hur svenska myndigheter kör molntjänster. Enda skillnaden tycks vara att småföretagare som mig som inte har en egen juristavdelning helt enkelt inte har lika mycket pondus som de stora amerikanska drakarna.
För rimligtvis kan exakt samma sak hända om USA beordrar Microsoft att dela data med dem, som om de beordrar Amazon att dela data med dem. Och det är lika utanför svenska eller europeiska myndigheters kontroll. Men jag som småföretagare tappar affärer och får inte konkurrera på samma villkor då jag inte har lika mycket jurister att också kunna köra i molnet, alternativt betala för dyrare och sämre europeiska moln (och dessutom stå för kostnaden för migreringen dit). Finns det något EU-bidrag för detta att ansöka, tro? 
Fast nu är vi ju i ett tvärt-om-läge? Svenska myndigheter kör vidare på amerikanska lösningar, men hindrar mig med svenskt AB, eftersom vi lagrar saker i molnet inom EU men ett amerikanskt bolag äger det bolaget som driftar det. Således business as usual för microsoft, men jag får det rejält tufft.
Ja rent krasst så har din produkt alldeles för lite nytta sett till helheten. Anledning till IT avdelning och kommunens jurister försökte lösa detta med Microsoft var ju för det får en enorm påverkan på hela kommunen. Finns inte möjlighet att lägga såna resurser på varje liten it tjänst som man köper in.
Sen är det klart att man inte vill göra fel och bli bonkad med en sanktionsavgift från IMY. Eftersom huvudregeln är att personuppgifter inte får föras över till tredjeland.
Precis det jag skrev, ju. Man gör undantag för jättarna, eftersom jättarna har stor påverkan.
Precis.
Så nu står vi där. Man har knappt åstadkommit något. De stora fula amerikanska fiskarna man främst ville sätta åt kör på som innan, eftersom de har gjort sig oumbärliga för svenska inkompetenta myndigheter och även storbolag. Dessa konkurrerar ut europeiska småbolag som inte har samma möjligheter och inte konkurrerar på samma villkor. Mitt bolag har rent mjöl i påsen, och gör inget skumt med personuppgifterna som behandlas. Tvärt om går tjänsten längre än nödvändigt och än en del konkurrenter just för att skydda den personliga integriteten. Men eftersom tjänsten kör på ett europeiskt datacenter inom EU, men det är en filial till ett amerikanskt bolag, så är det big no no.
Det klart att jag kan bygga om systemet och migrera det till en svensk hosting, men det skulle bli flera gånger dyrare även om vi räknar bort engångskostnaderna för migreringen, som i detta fall skulle vara större och ta mer tid från mig än jag har.
Det tycker jag är orättvist, men jag är uppenbart jävig.
2 gillningar
Kan förstå att det känns orättvist, jag håller inte med dig om att det är det. För egentligen har du ju valmöjligheten att ändra om det, fast då kanske inte din produkt kan gå med vinst kostnaderna blir för stora. Det är ändå ett affärsmässigt beslut någonstans.
De större bolagen anställer massa jurister etc istället för det blir billigare för dom än att ändra om produkten, även fast jag tror man varit tvungna att anpassa om produkten till viss del
Jo, det orättvisa består i att stora svenska kommuner och regioner tycker att de själva samt Storbolag X får köra i molnet, men inte Småbolag Y. Således konkurrerar de inte på samma villkor.
Det är juridiskt förkastligt, för när kommunerna själva anlitar ett amerikanskt molnbolag (för att klara sin verksamhet, som de inte tycks kunna ställa om) så bryter de lika mycket (eller lite!) mot lagen som mitt företag gör. Men i ena läget är det tydligen okej, och i det andra inte. Varför ska mitt företag behöva ställa om, när kommunerna tydligen inte behöver det?
Jag tycker inte att det är svårt att se det orättvisa i det, även om du inte behöver se det så klart. Det vore ju som om kända personer skulle få begå brott men inte straffas. När någon annan mer okänd person begår samma brott så sätts de dit. Ett sådant klimat för privatpersoner vill vi ju inte ha. Och på samma sätt argumenterar jag för att vi inte villl ha ett sådant företagsklimat heller.
1 gillning
Men aktien är upp nästan 2% idag så det måste varit något värre inprisat. Kanske detsamma gäller andra bolag med samma hot över sig.
Tagit bort personlig information.
1 gillning
Det finns inget som säger att bara för att en server står i USA så kommer man LAGRA den informationen, eller ännu värre dela med sig av den informationen.
Om du ansluter till en server i USA, som ägs av ett Europeiskt bolag och bolaget i USA lagrar den informationen om dig, utan ditt medgivande så är det olagligt.
Om du ansluter till en server i USA, som ägs av ett Amerikanskt bolag gäller inga EU lagar.
Tagit bort personlig information.
1 gillning