.jpg)
2.png)
Om man kikar på GDPR så finns det 8 punkter vi behöver förhålla oss till rent generellt:
Rätten att bli informerad handlar om din skyldighet att tillhandahålla "rättvis bearbetningsinformation", vanligen genom ett privacy meddelande. Det betonar behovet av insyn i hur du använder personuppgifter.
Individer har rätt att få tillgång till den data och personuppgifter som finns lagrade om dem.
GDPR ger enskilda individer rätt att få personuppgifter korrigerade. Personuppgifter skall därför kunna ändras om de är felaktiga eller ofullständiga.
Denna rättighet handlar om att en individ kan begära att personuppgifter raderas eller tas bort där det inte finns någon tvingande orsak till dess fortsatta behandling. Undantag finn tex för myndigheter.
Individer har rätt att "blockera" eller begränsa behandling av deras lagrade personuppgifter. Denna kommer att bli väldigt svårt att bedöma är min gissning.
Rätten till dataöverföring tillåter individer att begära ut och återanvända sina personuppgifter för sina egna ändamål som tex i en annan tjänst.
Individer har rätt att invända mot: bearbetning baserat på legitima intressen eller utförandet av en uppgift i allmänhetens intresse / utövande av offentlig myndighet (inklusive profilering).
GDPR ger skydd för enskilda personer mot risken att ett potentiellt skadligt beslut fattas utan mänsklig intervention. Identifiera om någon av dina bearbetningsoperationer utgör automatiserad beslutsfattande och överväga om du behöver uppdatera dina procedurer för att hantera kraven i GDPR.
I teorin finns inga problem så länge du inte lagrar personliga data. Då faller i princip allt punkter ovan bort.
En del av denna data är den IP-adress som användaren kommer ifrån. Just IP adresser kan ibland vara personuppgifter och skall därför behandlas som en. Nu har Google släppt funktioner som möjliggör maskning av IP adresser i gränssnittet men i praktiken är uppgiften redan röjd så snart ett anrop görs.
IP adresser hamnar i webbservrar, databaser och brandväggar hos Google behöver. Det betyder att även om du inte ser adressen i gränssnittet så finns den i loggar etc.
All data lagras dessutom utanför EU så det blir ytterligare problem med att följa lagen.
Att Google sedan länga erbjudit "gratis" tjänster som Gmail, Google Analytics etc kan man bara göra eftersom den data man samlar in om användarna används till att i huvudsak sälja annonsplatser där man tack vare den kunskap man samlat in kan presentera annonser med personligt budskap.
Även om man skulle komma runt problemen med IP adresser på något sätt, så kan man råka lagra personlig data ändå. Det är väldigt vanligt.
Vad gör man om man lagrat personlig data i Google Analytics?
Man kan antingen ta bort kontot eller via Googles APIér ta bort de sessioner som kan ha haft access.
En av datainspektionens rekommendationer vid en incident är att man skall redogöra för vilka personer som kan ha fått tillgång till datat.
Det kommer ingen på Google att kunna svara på kort ock gott. Det innebär i praktiken att kunna redogöra för alla personer med administrativ access till både applikation, miljöer och fysisk utrustning.
Vi kommer att demonstrera Matomo som verktyg, men även prata om webbanalys ur ett privacy-perspektiv.
Läs bloggpost
Digitalist har fått uppdraget att bygga en ny webblösning åt Arlandastad Holding.
Läs bloggpost