Jag har noterat hur allt fler företag och myndigheter vägrar skicka uppgifter via e-post och hänvisar till GDPR. Istället ska de skickas via den totalt osäkra pappersposten, som i princip vem som helst kan komma över genom att öppna en brevlåda och ta breven.
“Vi får inte skicka det via e-post på grund av GDPR” heter det allt oftare numera. Det kan handla om banala personuppgifter, inklusive personnummer som vem som helst kan läsa på nätet på t ex Ratsit. Förmodligen finns det någon konsult inblandad som har tagit fram GDPR-policies för enskilda företag, organisationer eller branschorganisationers medlemmar.
Det når väl snart nivån att företag börjar vägra skicka fakturor per e-post, eftersom de kan innehålla personuppgifter. Som vem som köpt vad.
Resultatet blir att de istället skickas via papperspost, som är fullkomligt osäkert. Det är trivialt att vittja brevlådor, och i sämsta fall krävs bara en kofot. Det är inte så att polisen kommer utreda anmälningar om brevstölder eller uppbrutna brevlådor, inte ens om det finns övervakningskamerabilder. Värre brott än så läggs ner med vändande post när man anmäler. Post som fortfarande går via Kivra om man har sådan, bör tilläggas. Men snart upptäcker väl polisen att det bryter mot GDPR och börjar skicka ut beskeden om nedlagda anmälningar via papperspost igen.
Funderar på vad i GDPR som gör att man vägrar skicka e-post ens till personen som personuppgifterna omfattar. Räknar man det som delande av personuppgifter med annat företag, det företag som hostar e-postservern? Hm?Man kan ju inte heller veta i vilket land e-postservern bor, och således råka exportera personuppgifter utanför EU. Men tänk om Kivra-brevlådan läses av en svensk som befinner sig i Thailand? Export av personuppgifter!
Men det låter förvisso som att man kanske ska börja använda detta åt andra hållet. “Tyvärr, jag kan inte svara på dina frågor på grund av GDPR, då ni sade att ni spelade in samtalet och det alltså blir lagring av personuppgifter om jag svarar.”
GDPR är för övrigt inte teknikbundet. Det är förbjudet att ha personuppgifter på papper, det räknas också som ett register och kräver tillstånd från personerna ifråga. Så att skicka personuppgifterna via papperspost är inte ett svar. Det är en policy någon med feeling bestämt.
51 kommentarer
Det är förbjudet att ha personuppgifter på papper om det på något sätt är sökbart t.ex. att de är sorterade i bokstavsordning så skokartong full med papper är helt ok.
Det är det inte alls det. Det är förbjudet för ett företag (eller myndighet, skola osv) att föra register på känsliga personuppgifter om man inte har ett godtagbart syfte med att göra det. Privatpersoner kan göra vad de vill.
Datainspektionen tycker annorlunda
https://www.upphandlingsmyndigheten.se/frageportalen/1597312/fraga-fran-publiken-vid-upphandlingsmyndighet-oaia/
Vet inte vad du syftar på med att Datainspektionen (jag antar att du menar Integritetsskyddsmyndigheten, som de döptes om till för en hög med år sedan) tycker annorlunda än med länken till Upphandlingsmyndigheten, men GDPR är uttryckligen inte tillämplig på verksamhet av rent privat natur.
Artikel 2, punkt 2.c:
“Denna förordning ska inte tillämpas på behandling av personuppgifter som … en fysisk person utför som ett led i verksamhet av rent privat natur eller som har samband med hans eller hennes hushåll”
Det är däremot inte liktydigt med att “privatpersoner kan göra vad de vill”. Beroende på vilken typ av behandling av personuppgifter man ägnar sig åt så kan andra regleringar än GDPR vara tillämpliga.
Antar att du bestrider myndighetens uttalande om du läste den länkade vägledning, det är mellan er.
Intressant, det står personuppgifter brevet utsida, våra postboxar i huset är namngivna och ordnade kronologiskt i portuppgången.
Det måste ju innebära att brevbäraren, post nord, mfl bryter mot GDPR när de sorterar och ordnar pappersbrev för att kunna dela ut de i brevlådorna. Det står ju personuppgifter på brevet som de sorterar i ordning för få det i rätt låda😀😀. Postboxarna som de ser ut idag med namn kan också bryta mot GDPR.
Citerar ur länken du angav ovan.
“Om pappershandlingar som förvaras i kronologisk ordning är att betrakta som ett manuellt register som är sökbart enligt särskilda kriterier, beror på hur innehållet i den aktuella kronologiska pärmen har sorterats, och i vilket syfte. Om pärmen har sorterats kronologiskt per namn eller per personnummer eller på annat sätt som gör att personer är identifierbara, bör det inte råda någon tvekan om att behandlingen omfattas av dataskyddsförordningen.”
Vad står det om privatpersoner där, menar du? GDPR omfattar överhuvudtaget inte privatpersoner.
Så länge man har individens samtycke (och individen förstår vad den samtycker till och har möjlighet att återkalla samtycket) så finns det inga begränsningar på vad man kan göra.
Ha ha, på mitt företag råder GDPR-psykos. Det är en typiskt svensk sjuka. GDPR säger bara att du inte får bygga bra-att-ha-register. Hela skiten kommer från Tyskland som förståeligt nog inte gillar massövervakning.
Men trol8gen kör många konsulter Tesla hi spec på grund av GDPR. GDPR är i sanning 20-talets FMEA fast FMEA hade sina användningsområden.
Vadå, vad gick fel med massövervakning i Tyskland???
Inget. Den fungerade precis som avsett under flera decennier.
Tyvärr är det nog så krasst att det handlar om okunskap om vad GDPR innebär. Har gått en antal kurser om GDPR (inkl. krav på godkänd tenta) p.g.a. jobb på myndighet, men jag tvivlar på att det är normalförfarande.
+10. Det är också min uppfattning. GDPR innebär i princip inget nytt från tidigare PUL, det var bara att ingen följde den.
Självklart, eftersom att följa gummilagarna skulle omöjliggöra alla former av verksamhet. Det som ändrades var påföljderna för den som drar den selektiva lagföringens nitlott.
Nej, det är inte det, det är överdriven försiktighet och övertolkning av bestämmelserna.
Jag har översatt många GDPR-dokument till svenska- GDPR handlar väl om ett krav på information till medlemmen/kunden om vilka personuppgifter som sparas på sajten och för vilka ändamål och att medlemmen/kunden ska kunna ändra eller ta bort uppgifter. Jag har aldrig sett att GDPR reglerar i vilken form kommunikationen i största allmänhet mellan sajt och medlem/kund ska vara utformad. Som jag ser det ligger det utanför GDPR.
Det finns ju ett skyddskrav vilket kan sätta begränsningar. Kostnaden för att göra fel är dessutom potentiellt enorm så det är rationellt att följa försiktighetsprincipen. E-post har problemet att gallring är omständigt, samt givetvis att kommunikationen i många fall är okrypterad samt sker utan autentisering. Med det sagt har det spårat ut på en del ställen så tydligare riktlinjer med exempel vore välkommet.
Jag raderar all e-post. Behövs ingen gallring.
Min favorit; jag blir bötfäld med över €500 i Österrike. Anleding; dom har ställt av min Maut-box med innestående pengar. Motivering; att dom på grund av GPDR måste spärra kontot efter två år. Det bästa är att dom ändå har kvar uppgifterna om mitt konto och dom förskottsinbetalda Maut-pengarna som jag har där.
GDPR kom till som svar på ett uppmärksammat missbruk av data från bland annat Facebook. Lagen utformades till stor del inspirerat av synen på använding av data som härskar i Tyskland, där man har en betydligt mer restriktiv syn på samkörning av data än i Sverige.
Om GPDR implementeras så att företag kan använda min data när jag har gett dom ett uppdrag att utföra, när dom använder data för att utföra uppdraget, så fungerar lagen. När GPDR blir ett hinder för varje vettig uppgift så är det inte fallet.
Det måste vara möjligt att göra om och ta bort lagar som inte löser det problem som ursprungligen var avsett. Jag kan här tänka exempelvis på kravet att deklarera och välja vilka kakor man skall tillåta på en webbplats. Hur många användare är kvalificerade att göra det valet? Är det bästa sättet att göra det via en pop-up? Notifkations kan man som jämförelse styra via säkerhetsinställningar, och detta infördes av industrin, inte via lagstiftning.
Som du ser kan GDPR missbrukas å det grövsta. Men egentligen är det bara den tyska synen på masslagringsenheter. Tänk hemlig polis. Lagen ger dock stora möjligheter att genom kreativ feltolkning motivera onödigt komplicerade system som ger projektledaren en Tesla Model S Quad Motor med Warp Drive som tjänstebil. Och även många plebejer hänger troligen kvar eftersom man plötsligt fick ett behov av okvalificerad arbetskraft för manuella rutiner.
Han hade bara råd med en Tesla ☺️
När det kommer till kakor borde det ju helt uppenbart vara förbjudet att ha tredjepartskakor, sedan är det problemet löst.
Hela idén med att servern ska fråga användaren vilka kakor servern får erbjuda användarens dator är upp och ner från början, liksom all reglering av kakor. Makten att styra över vilka kakor som lagras på användarens dator har ju alltid legat hos användaren.
Det där med kakor är en övertolkning med besked. Det behövs inget uttryckligt tillstånd från dig som besökare på en webbplats för att spara kakor som behövs för att webbplatsen ska fungera. T.ex. för att hålla ordning på vem du är medan du är inloggad på internetbanken, eller vad du har i din kundvagn medan du handlar på matbutiken eller elektronikbutiken. Höll man sig bara till det så vore GDPR inte ens en fråga, då kan man nog med fullt fog luta sig mot t.ex. avtalsfullföljande (artikel 6 punkt 1.b).
Inte ens tredjepartskakor är nödvändigtvis ett problem. Tredjepartskakor är (förenklat) en teknisk term som handlar om domäner. Loggar du t.ex. in på microsoft.com och därefter går vidare till office.com så förväntar du dig antagligen att du ska fortsätta vara inloggad, vilket kräver någon form av (i webbläsarens värld) tredjepartsöverföring av data. Däremot ANVÄNDS tredjepartskakor och liknande tekniker ofta till saker som strider mot besökarens rimliga vilja. Man förväntar sig ju t.ex. inte att om man loggar in på microsoft.com så ska cornucopia.se veta vem du är…
Å andra sidan när det blir “vi och våra 1794 partners värdesätter din personliga integritet så vi låter dig välja vilka av våra partners som ska få göra vad av dessa nio kategorier vardera med din data” så säger det sig självt att det blir löjligt.
Nyligen kom ett domslut i Tyskland att GDPR artikel 21 punkt 5 gäller för besök på webbplatser, specifikt avseende “do not track” som vissa webbläsare kan ställas in på att skicka med i varje anrop. Vore inte svårt för företag att använda sig av det som en signal. Men nej, då kanske man inte får ett medgivande från någon som bara inte orkar klicka ur 16155 rutor.
Bah, försök ett fastnade i filtret…
När det kommer till kakor borde det ju helt uppenbart vara otillåtet att ha tredjepartskakor, sedan är det problemet löst.
Jag har vid köp i butik inte fått bonus registrerad då jag inte hade med mig id-kort. Jag sa att till kassörskan att jag kan säga mitt personnummer och att jag inte bryr mig om tanten bakom mig i kön hör mitt personnummer, men nej så får vi inte göra p g a GDPR sa hon. Undrar hur detta tillämpas i te x Italien?
Märkligt, vilken affär var det? Jag brukar säga min partners personnummer, så hon får bonus när jag handlar. Har funkat bra hittills. Har dock inte provat på matvaruaffären då vi har gemensamt kort på ICA.
Somliga säger nej bara för att hålla ryggen fri. Det är t.ex. inte alla jurister som är mottagliga för förklaringar kring hur informationen är skyddad.
Då är det bättre att interna processer hanteras med post-it-lappar på skrivbordet än i ett adekvat IT-stöd med behörighetsstyrning, åtkomstloggning etc.
loggade in för att skriva en drapa om GDPR. Efter att ha läst övriga kommentarer så är det klart att det inte behövs.
Som havande varit ansvarig för kontrollen vid införandet av GDPR på en stort projekt i en stor organisation så ett kort svar:
överreaktion!
eller fegisar som gömmer sig bakom EU direktiv (utan stöd).
många? organisationer som nu tycks börja med att man måste hämta från/titta på information på deras servrar istället för att skicka det. Skulle inte bli förvånad om det också har sin grund i GDPR
“Tyvärr, jag kan inte svara på dina frågor på grund av GDPR, då ni sade att ni spelade in samtalet och det alltså blir lagring av personuppgifter om jag svarar.”
Bra försök bloggaren, men röstdata kan väl anses falla under definitionen av biometriska uppgifter som anses särskilt skyddsvärda? I synnerhet numera när röst-deepfakes börjar vara ett realistiskt hot; var det inte Microsoft som hade någon lösning som bara behövde några sekunders röstdata för att kunna fejka att en person säger vad som helst?
Om du dessutom råkar hosta lite påpassligt medan du svarar så har de därutöver registrerat uppgifter om din hälsa, vilket definitivt lär falla under förbudet (som iofs har vissa undantag) mot att behandla uppgifter om en persons hälsa. (GDPR kapitel 2 artikel 9.)
😛
Och det här med att pappersposten skulle vara säkrare så har jag flera gånger med olika bankformulär blivit nekad att signera med bank-id utan blivit ombedd att skicka en pappersblankett med pappersposten istället. Säger allså banken om bank-id….
Det är då man bara kluddar dit något oläsligt där man ska skriva under. Är ju inte en människa som faktiskt kollar det ändå, utom möjligen kontrasigneringen när man hämtar ut ID-handling hos Polisen.
Det viktiga är att det finns en bläckplump på rätt ställe på ett papper som man kan scanna in och lagra digitalt.
Jag skulle tro att den enkla orsaken är följande.
Om du begär ut uppgifter från en myndighet som allmän handling så har du bara rätt att få ut handlingen i pappersformat. Under många år så har dock våra myndigheter frivilligt valt att gå över till att skicka ut informationen elektroniskt, främst för att spara pengar.
Allt fler myndigheter har nu insett att om man skickar ut informationen elektroniskt, och den samtidigt innehåller personuppgifter, så blir GDPR fullt tillämplig på utlämningen.
Lämnar du istället ut handlingarna i pappersformat så omfattas utlämnandet inte av GDPR.
Detta får med sig att man är beredd att ta den större kostnaden med att skicka ut informationen i pappersformat.
Varför? GDPR är teknikneutralt. Det är också skillnad mellan personuppgifter och känsliga personuppgifter.
Problemet är väl att en myndighets mail är offentlig, så man vill inte ha personuppgifter där.
Orsaken är att det finns ett undantag från GDPR:s bestämmelser i artikel 86, beträffande allmänhetens tillgång till allmänna handlingar. Den svenska offentlighetsprincipen ger oss bara RÄTT att ta del av handlingar i analog form.
Har förtroendeuppdrag i en branschorganisation som valt den för mig något förvånande lösningen att använda sprend för att distribuera information som faller under GDPR. När jag undrat vad skillnaden mellan att skicka informationen i mailet eller en länk till informationen är (inget lösenord används) har jag fått svammel-svar så jag tiger still och hoppas att någon högre upp har tänkt rätt och att det bara är jag som är dum och krånglig.
Har noterat att myndigheter nyttjar GDPR om de inte vill lämna ut en handling, eller skicka en epostlogg. De kan maska rätt mycket om de vill, mer än de kanske borde, lite beroende på hur det passar.
Ibland går det bra att skicka via länk, men är samma tjänsteman sur så blir det via posten, väl maskat och mot avgift.
Jobbar på ett multinationellt företag PIPL i Kina är den största huvudvärken för tillfället.
https://www2.deloitte.com/cn/en/pages/risk/articles/personal-information-protection-law.html
Det finns sex rättsliga grunder för att behandla personuppgifter.
1. Samtycke
2. Avtal med den registrerade
3. Rättslig förpliktelse
4. Skydda grundläggande intresse
5. Myndighetsutövning och uppgift av allmänt intresse
6. Intresseavvägning
Nummer 1 duger bra i bloggarens exempel. Eventuellt är 2 bättre om det handlar om återkommande behandling asv personuppgifter.
Det råder någon slags GDPR-noja i Sverige. Det var ett jäkla nervöst svamlande på jobbet är GDPR infördes. Det var oerhört viktigt att dokumentera att alla medarbetare blev informerade om hur allvarligt GDPR var. Individuell dokumentation, alltså.
Har själv inga barn, men en återkommande diskussion här på jobbet bland föräldrar när det gäller GDPR är skolkatalogens vara eller icke-vara. Där verkar det tolkas väldigt olika mellan skolor och finnas diverse intressanta lösningar om hur det ska hanteras och hur den ska utformas.
En skolkatalog är inget register, och så länge man har samtycke från föräldrar för fotot så får man så klart ha det. Det är inget märkligt med det i förhållande till GDPR som inte även fanns innan. Det som är riktigt märkligt är skolor som vägrar fotografering vid skolavslutningar, Lucia osv. med hänvisning till GDPR. Lagen har ingen som helst relevans för det.
Lite det som är grejen, att alla tolkar den olika. Många skippar skolkatalogen helt, vissa har den men utan namn i, vissa köra på som vanligt, vissa kräver skriftligt samtycke, andra muntligt osv osv. Du säger att den inte har nån relevans vid fotograferingar, du kan hitta lika många säger att den har det. GDPR är ett diskussionsunderlag mer än vad det är en lag.
GDPR är en produkt sprungen ur självhat och överregleringsfetischism. Kommer nästan dagligen i kontakt med GDPR-frågor i jobbet och trots tillgång till juridiska databaser, lagkommentarer och juridiska experter är det så gott som alltid ett h-vete att tillämpa den där skitförordningen.
Väldigt många som har synpunkter på GDPR har i bästa fall läst, men inte förstått.
Vad många glömmer är Privacy by Design och hur organisationen skall hantera personuppgifts incidenter.
Om jag som privatperson har svart liten bok med personuppgifter, och inte sprider dessa uppgifter omfattas jag inte av GDPR.
Om samma bok är på företaget omfattas den av GDPR. Om uppgifterna istället är på osorterat pist-it lappar utspridda på olla ställen räknas det inte som ett register.
Jag har bland annat ett litet bemanningsföretag. När jag fakturerade kund namngav jag varje individ för att speca deras tid. Det fick jag bassning för av kunden, som hävdade att det var ett brott mot GDPR. så nu får de en faktura med klumpsumma.
Välriktat skott i foten!
Grattis till din nya möjlighet att salta.
För privatpersoner som ännu får posten rakt in i lägenheten är det den ultimata lösningen. E-post är som att skicka vykort
Om GDPR skall tillämpas fullt ut så som den är skriven så kan vi lägga ner alla företag i Sverige med mindre än 200 anställda, samt precis hela föreningslivet. Det finns inget sätt att uppfylla alla kraven i GDPR för en organisation som exempelvis Scouterna eller Stadsmissionen och samtidigt ha en verksamhet.
Men GDPR är en lag som är skriven för att straffa stora IT företag. Alla andra är bara sidoskador. Så man får ju försöka hålla ner huvudet och vänta på att myndigheterna i sin oändliga vishet schavotterar lite olika organisationer så man får reda på vilka delar av GDPR som faktiskt är relevanta.
Tvärtom. Det finns en fruktansvärd övertolkning av vad det står i GDPR. Många företag och myndigheter slentrianhänvisar till GDPR, men få verkar ha koll på vad det faktiskt står. Huvudregeln är att man inte får spara personuppgifter utan att ha ett godtagbart syfte, samt att man ska gallra ut inaktuella uppgifter.
Anledningen till att myndigheter gör så är att mailen är offentlig handling. Därför vill och får man inte ha känsliga personuppgifter lagrade på servern. Den enkla och säkra lösningen är att man gör liknande som man kan göra med journaluppgifter för medicinsk forskning, man får någon slags engångsinloggningen (länkad till Bank ID?) mailad till sig och kan sedan gå in och ladda ner begärt dokument med personuppgifter. Alternativt att man får det mailat till sig som en krypterad Zip och sen får nyckeln per sms. Kräver i princip inget merarbete och gör processen säker.
Har legat i tvist med en myndighet och och man använder väldigt fula knep, bryter lite mot lagar, svarar inte på mejl eller med “goddag yxskaft”, mm. Så jag gav upp ett tag, efter ett halvår så tänkte jag att jag frågar hur det har gått i mitt ärende som aldrig avlutats. Allt är princip GDPR.
Skickade ett mejl direkt till handläggaren med frågan samt lite nya uppgifter och fick en hel mängd med frånvaromeddelanden. Det var från folk som aldrig ens varit synliga i ärendet, som slutat, var barnlediga, sjuka, mm vissa som inte ens arbetade på myndigheten med privat mejl, osv, tror det var 9 stycken frånvaromejl. De flesta frånvaromejlen upphörde vid påpekandet, men inte alla.
Jag inbillar mig ju att det fanns en mängd personer som inte lagt in frånvaromeddelande som alltså fick del av mejlet och man frågar sig varför, blir jag smutskastad,” kolla idioten igen”!
Skickar jag mejl till min enskilda handläggare så kan ju faktiskt det innehålla känsliga uppgifter.
Mitt mejl, direkt till en tjänsteman, med uppgifter i en tvist hade alltså automatiskt vidarebefordrats till en mängd människor inom och utom organisationen som troligen inte hade med ärendet alls att göra, kanske att jag var exempel på hur såna som jag ska bemötas.
Då undrar man så klart hur många som fick mitt mejl som inte var sjuka, pappalediga, slutat eller varit utanför organisationen och vilken funktion de hade. Jag frågade en mängd gånger vad de hade med mitt ärende att göra, eftersom jag har rätt till insyn, men de svarade inte ens, annat än med tystnad.
Begärde då ut e-postloggen från handläggaren, vilket jag fick, dock med alla namn och e-postadresser utom mitt eget överstrukna pga gdpr, betala fick jag göra också.
Så e-postloggen med samtliga namn i mitt ärende var tydligen GDPR sekretess! Varför och om mina mejl i mitt ärende fortfarande går till en hel drös människor med oklar funktion vet jag inte, det är locket på. Så var försiktig med mejl till myndigheter, man vet inte vart de tar vägen och tar de vägen från myndigheten till utomstående i en pågående tvist så har du inte med det att göra!