Gå til innhold

Lagring av innhold i henhold til GDPR-innføring


Forumassistent

Anbefalte innlegg

Gjest Zeitgeist
10 timer siden, Fvonk skrev:

Bare for ordens skyld:

Med tanke på at det er fra adminpanelet denne opplysningen slettes fra, har dere på alternative måter hold oversikt over hvem som tidligere har endret navn og når?

F.eks:

1. Skjule alle innleggene i "endring eller sletting av bruker"-tråden i stedet for å slette dem, slik at dere lett kan søke gjennom tråden for å se om en bruker tidligere har endret navn og eventuelt når. 

2. Få innlegg fra tråden tilsendt på mail og på den måten sitte på et arkiv over tidligere endringer som lett kan søkes gjennom når det trengs.

 

Men er vi ikke da tilbake til et eventuelt brudd på GDPR?

Lenke til kommentar
Del på andre sider

Fortsetter under...

På 9.11.2018 den 22.54, Zeitgeist skrev:

Men er vi ikke da tilbake til et eventuelt brudd på GDPR?

Hva tenker du utgjør bruddet i så fall?

Var selv inne på tanken, men nå er jeg litt usikker. 

Uansett så mener jeg det ikke er greit å gi inntrykk av at informasjonen "endring av navn" hos en bruker blir slettet etter tre måneder (ifølge retningslinjene), hvis informasjonen lagres og brukes etter tre måneder på alternative måter som ikke innebærer at det er en "kontoopplysning" som finnes i "systemet" og derfor ikke faller inn under GDPR slik jeg forstår det.

Regner med at HanneMari kommer med et svar når hun vet mer.

Lenke til kommentar
Del på andre sider

Gjest Zeitgeist
2 timer siden, Fvonk skrev:

Hva tenker du utgjør bruddet i så fall?

Var selv inne på tanken, men nå er jeg litt usikker. 

Uansett så mener jeg det ikke er greit å gi inntrykk av at informasjonen "endring av navn" hos en bruker blir slettet etter tre måneder (ifølge retningslinjene), hvis informasjonen lagres og brukes etter tre måneder på alternative måter som ikke innebærer at det er en "kontoopplysning" som finnes i "systemet" og derfor ikke faller inn under GDPR slik jeg forstår det.

Regner med at HanneMari kommer med et svar når hun vet mer.

Det at det oppbevares informasjon utover det som er tillatt. Ved f.eks. å opprette et slags arkiv på e-post. Da har ikke brukeren noen som helst mulighet til å være sikker på at KG holder seg til regelverket. Ikke at man har det i dag heller, strengt tatt og KGs mildt sagt lemfeldige holdning og anvendelse av regler og etiske retningslinjer. 

Lenke til kommentar
Del på andre sider

19 timer siden, Zeitgeist skrev:

Det at det oppbevares informasjon utover det som er tillatt. Ved f.eks. å opprette et slags arkiv på e-post. Da har ikke brukeren noen som helst mulighet til å være sikker på at KG holder seg til regelverket. Ikke at man har det i dag heller, strengt tatt og KGs mildt sagt lemfeldige holdning og anvendelse av regler og etiske retningslinjer. 

I og med at hvem som helst kan gjøre dette, er jeg usikker på om det er brudd på GDPR når det gjøres utenfor det systemet våre personopplysninger skal slettes fra. Men min kunnskap er begrenset, så det blir bare tanker og spekulasjoner fra min side.

En annen ting jeg ikke helt forstår er at ting som anses som personopplysninger og som etter loven må slettes fra adminpanelet/systemet etter så og så lang tid, er noe vi som brukere kan anskaffe oss og sitte på så lenge vi vil. Som andres slettede regelbrudd vi eventuelt har i vår innboks. Og det at (og i noen tilfeller ganske nøyaktig når) noen har endret navn - det ligger åpent i forumet.

Hva er forresten grunnen til at denne personopplysningen er bestemt slettet etter tre måneder fra adminpanelet, når informasjonen fortsatt ligger lagret i systemet der den også vil bli liggende? (Spørsmål til @HanneMari Egmont)

Lenke til kommentar
Del på andre sider

@Winza Per nå har vi ingen regel på dette, men vi legger merke til brukere som veldig ofte sletter seg og lager nye brukere. De vil kunne få beskjed om en karantenetid.

@Fvonk Vi ser navneendring i tre måneder i adminpanelet. Er det en bruker der vi har lagret regelbrudd vil det også lagres der. Ellers så må vi faktisk stole på at folk ikke bytter oftere enn en gang i året, når informasjonen om dette forsvinner etter tre måneder. Den er bestemt slettet fra adminpanelet for å begrense søkbar informasjon i adminpanelet vi ikke har bruk for for å kunne opprettholde god moderering. Å ta vare på alle former for brukernavnendringer er ikke relevant for modereringen.

Det at brukere har tilgang til regelbrudd via epost fordi dere får tilsendt tråder vil ikke være personopplysninger på samme måte, fordi det ikke kan knyttes til en person slik det kan i vårt system ved hjelp av tredjeperson. Altså vil et brukernavn + regelbrudd + epostadresse + IP-adresse kunne overleveres til politiet, som kan få hjelp av nettselskapet til å finne ut hvem noen er i virkeligheten. I følge GDPR skilles det ikke på om den som sitter på opplysningene kan spore personen, men at det er praktisk mulig, i dette tilfellet er det mulig ved hjelp av politiet. Dere som brukere vil bare sitte på bruddstykker av informasjonen, brukernavn + reglebruddd, og da er det ikke mulig for dere å spore disse opplysningene til en virkelig person.

Hanne Mari, forumansvarlig

  • Liker 1
Lenke til kommentar
Del på andre sider

  • 3 måneder senere...

Interessant emne.

Jeg krever herved å få de av mine innlegg som dere har 'slettet', dvs. skjult fra visning, umiddelbart slettet under GDPR sine retningslinjer.

Et svar på dette bes om innen en uke.

  • Liker 3
Lenke til kommentar
Del på andre sider

Annonse

20 timer siden, OhGawdNo skrev:

Interessant emne.

Jeg krever herved å få de av mine innlegg som dere har 'slettet', dvs. skjult fra visning, umiddelbart slettet under GDPR sine retningslinjer.

Et svar på dette bes om innen en uke.

Hei

Du må sende meg en pm for å få innsyn. I følge norsk lov har vi forøvrig 30 dager på å gi innsyn.

Vi kan beholde lagrede innlegg så lenge du er bruker av forumet for å kunne moderere og drive forumet. 

Hanne Mari, forumansvarlig

  • Liker 1
Lenke til kommentar
Del på andre sider

9 hours ago, HanneMari Egmont said:

Hei

Du må sende meg en pm for å få innsyn. I følge norsk lov har vi forøvrig 30 dager på å gi innsyn.

Jeg var ikke klar over at GDPR var så spesifikk mtp henvendelseskanal at den eksplisitt fastslo at henvendelsen måtte komme igjennom en personlig melding på et forum.
Dessuten var det ikke innsyn jeg ba om. Fint om du leser det jeg skriver og forholder deg til det, i dine tilsvar.

Videre hadde det vært fint om du gjengav ditt inntrykk av hva norsk lov sa, med henvisning til spesifikk lov.

Quote

Vi kan beholde lagrede innlegg så lenge du er bruker av forumet for å kunne moderere og drive forumet.

Så for at dette forumet skal respektere mine rettigheter under GDPR, som bruker av forumet, om å få slettet innlegg, så... må jeg slutte å være bruker av forumet?

Har du spurt pappa om dette høres lurt ut?

Forresten en liten due-sjakk triumf-vals:

Endret av OhGawdNo
top that
  • Liker 1
Lenke til kommentar
Del på andre sider

Vi har legitim grunn til å ivareta innlegg som har brutt med regelverket når en bruker benytter forumet. Hvis ikke ville det ikke være mulig å drifte forumet på fornuftig måte. For eksempel ville vi da ikke kunne utestenge brukere som kom med trusler, trakasserende innlegg, gjenttatte grove personangrep og lignende, fordi vi ikke ville visst at det var den samme brukeren som gjorde dette. Vi hadde ikke kunnet stenge ute brukere som gjentatte ganger benyttet forumet på en måte som er i strid med vårt regelverk.

Vi er avhengig av å ha historikk av regelbrudd for å kunne moderere på en forsvarlig måte. 

Dette går da innunder personvernsprinsippene, og spesifikt formålsbegrensning, der man må ha en legitim grunn til å lagre informasjon: https://www.datatilsynet.no/rettigheter-og-plikter/personvernprinsippene/ og da konkret: 

  • Personopplysninger skal kun behandles for spesifikke, uttrykkelige, angitte og legitime formål. Det betyr at ethvert formål med behandling av personopplysninger skal identifiseres og beskrives presist. Alle formål skal være forklart på en måte som gjør at alle berørte har samme forståelse av hva personopplysningene skal brukes til. At formålet skal være legitimt innebærer at det i tillegg til å ha et rettslig grunnlag også skal være i samsvar med øvrige etiske og rettslige samfunnsnormer. Personopplysninger kan ikke gjenbrukes til formål som er uforenelig med det opprinnelige formålet.

Vi har for eksempel kunnet benytte lagrede regelbrudd dersom politiet tar kontakt med oss i forbindelse med innlegg skrevet på forumet.

I dette tilfellet er det altså nødvendig å ivareta regelbrudd som er fjernet fra forumet for å kunne sikre et godt debattmiljø og kunne være i stand til å utføre sanksjoner mot brukere som gjentatte ganger bryter regelverket de har godtatt når de registrerte seg.

Gjør forøvrig oppmerksom på at lagrede regelbrudd ikke kan knyttes opp til hvem en bruker er i virkeligheten.

Så ja, for at innlegg som er fjernet fra forumet, men lagret på bruker, skal bli slettet, kan du ikke lenger være bruker av forumet.

Disse blir imidlertid ikke lagret til evig tid. Viser til regelverket:

 Alt lagret innhold bestående av regelbrudd som er fjernet fra forumet (og lagret på bruker) eldre enn tre år slettes permament. Dette innebærer at vi kun vil lagre regelbrudd som er nyere enn tre år.
- IP-adresser eldre enn tre år slettes permanent.
- Koblingen mellom AnonymBruker og brukeren som skrev innlegget slettes permanent etter et år. 
- I tillegg slettes ulike kontohandlinger, som bytte av device eller at brukeren har endret visningsnavn etter tre måneder. 

Hanne Mari, forumansvarlig

  • Liker 1
Lenke til kommentar
Del på andre sider

  • 3 uker senere...

@HanneMari Egmont: det med sletting av koblingen mellom AB og brukeren som skrev innlegget: gjelder det kun de dataene som lagres ved regelbrudd? Eller slettes alle koblinger mellom AB og bruker etter et år, også ved helt lovlige innlegg? Betyr det f.eks at hvis jeg skrev et innlegg som anonym i en tråd for over et år siden, og vil skrive et nytt innlegg i samme tråd i dag, så vil jeg få en annen AB-kode? 

  • Liker 1
Lenke til kommentar
Del på andre sider

17 timer siden, Ullvott skrev:

@HanneMari Egmont: det med sletting av koblingen mellom AB og brukeren som skrev innlegget: gjelder det kun de dataene som lagres ved regelbrudd? Eller slettes alle koblinger mellom AB og bruker etter et år, også ved helt lovlige innlegg? Betyr det f.eks at hvis jeg skrev et innlegg som anonym i en tråd for over et år siden, og vil skrive et nytt innlegg i samme tråd i dag, så vil jeg få en annen AB-kode? 

Det der er egentlig to spørsmål. Først: Koblingen mellom anonym bruker og brukernavn forsvinner uansett etter et år, uavnhengig av om innlegget er slettet, fjernet og lagret eller fortsatt ligger på forumet.

Om du får en annen kode vet jeg faktisk ikke, da dette er to ulike koblinger: Den ene koblingen er den bare moderatorene kan søke seg fram til, for å ved regelbrudd se hvilken bruker som står bak et anonymt innlegg. (jmf det første spørsmålet ditt). Den andre koblingen er den som gjøres av systemet for å skille de anonyme brukerne fra hverandre, og som alle brukerne kan se. En moderator kan ikke ved hjelp av anonymkodene finne koblingen tilbake til brukernavnet. 

Så koblingen brukernavn/innlegg skrevet som anonym forsvinner uansett etter et år, av personvernshensyn, men om systemet da vet at det er den samme likevel og vil gi lik kode vet jeg ikke, ettersom dette ikke avslører noen brukernavn og dermed ikke bryter personvernsregler, man får jo bare beskjed om at "denne koden tilsier at det er samme bruker", ikke hvilken bruker det er. Jeg kan selvsagt forsøke å finne ut av det. Kanskje @TSP vet?

Hanne Mari, forumansvarlig

  • Liker 2
Lenke til kommentar
Del på andre sider

  • 2 måneder senere...

Nå dukker igjen "Ditt personvern" opp som enbu ntekst der man må klikke "Jeg forstår" for å få den vekk. 

Nå er ikke "Jeg forstått" noe aksept på noe v i s, vare en bekreftelse på at man forstår hva Egmont forteller oss om sin håndtering av personvernet. 

Vel, jeg klikket på "Mer informasjon" linken for å lese. Det er da det blir klart at Egmont ikke har forstått GDPR. 

Under avsnittet "Hvordan bruker vi opplysningene og hva er det rettslige grunnlaget for bruken" listes opp 9 delområder hvor man beskriver hva som samles inn, hvorfor og med hvilken lovhjemmel man bruker. For tre av punktene er begrunnelsen "Det rettslige grunnlaget for denne bruken er fordi det er nødvendig for å oppfylle våre rettslige forpliktelser/avtale". Dette er i grunnen greit. Men for de seks andre punktene blir det straks uforståelig "Det rettslige grunnlaget for denne bruken er vår berettigete interesse i å ..." (min utheving). 

Vel Egmo t har gjerne en interesse i å ta vare på disse dataene, men når dataene ikke er nødvendig for å levere tjenesten så skal innhenting av disse data være frivillig fra brukerens side. Da skal brukeren kunne reservere seg mot at Egmont samler inn disse dataene, uavhengig av Egmont interesse av å samle de inn. Brukeren har i følge GDPR rett til å kunne reservere seg fra ikke-nødvendige data og det skal Egmont legge til rette for på en enkel og forståelig måte. 

Her svikter det totalt, slik som det er påvist gjennom flere innlegg og tilbakemeldinger. 

  • Liker 9
Lenke til kommentar
Del på andre sider

  • 1 måned senere...

Annonse

På 13.7.2019 den 18.17, NBA skrev:

Virkelig ingen som skal besvare dette? @Egmont-HM

Hei
Brukeren du tagget er ikke meg, jeg har merket den som spammer. Den popupen er det ikke vi i forumet som styrer, så den får jeg dessverre ikke gjort noe med. Den kommer på alle Egmonts sider. Du kan ta kontakt med personvernavdelingen (via anonym mail om du ønsker det) for å få vite mer om det. https://personvern.egmont.no/kontakt-oss/

Forumansvarlig

Lenke til kommentar
Del på andre sider

  • 1 år senere...
Annonse

[1] Category widget

Gjest heimebane
4 minutter siden, Forumansvarlig skrev:

- IP-adresser eldre enn 56 uker (392 dager) slettes permanent.

Hvordan forsvarer dere å lagre IP-adresser over 18 ganger lenger enn hva teleselskapene har adgang til fra et juridisk perspektiv?

Lenke til kommentar
Del på andre sider

1 minutt siden, heimebane skrev:

Hvordan forsvarer dere å lagre IP-adresser over 18 ganger lenger enn hva teleselskapene har adgang til fra et juridisk perspektiv?

Det må du nesten sende en forespørsel til Egmont Publishing sitt GDPR-kontor om, da det er de som har ansvar for detaljene rundt det. https://personvern.egmont.no/kontakt-oss/

Tidligere hadde vi tre år, men vi har sett at det ikke er nødvendig. Vi har hatt våre jurister til å se over reglene og til å være med å avgjøre dette.

Jeg kjenner ikke til teleselskapenes regelverk.

Forumansvarlig

  • Liker 1
Lenke til kommentar
Del på andre sider

På 14.8.2020 den 23.34, Happy-Face skrev:

Hvorfor mener dere egentlig at det er "nødvendig" å lagre for eksempel IP-adresser så lenge?

Er det snakk om personer som begår gjentatte regelbrudd / lovbrudd (eller som mange ganger sletter seg, og deretter oppretter nye brukere) så kan jeg selvfølgelig forstå denne lange lagringen. 

Men hva er egentlig poenget med å lagre informasjon om samtlige brukere på denne måten?

Hei!
Det er fortrinnsvis av grunner som du sier, samt i tilfeller der politiet ber om utlevering av informasjon. Det kan for eksempel dreie seg om at noen har postet terrortrusler i forumet. Politiet må da via en politiadvokat be om utlevering av denne informasjonen. Vi sitter kun på selve Ip-adressen og i noen tilfeller generelt sted (som f.eks Oslo), og politiet må gå videre med denne informasjonen til teleselskapet for å få mer informasjon om brukeren. 

Årsaken til at vi må gjøre dette for samtlige er at vi rett og slett ikke kan vite hvem som kommer til å begå slike regelbrudd i fremtiden når en bruker registrerer seg. Hverken når det gjelder spam eller regelbrudd av alvorlig grad. Og i de aller fleste tilfellene brukes ikke Ip-adressen til noe som helst. Det er heller ikke mulig for oss med forumprogramvaren å finne ut noe om hvem vedkommende som sitter bak denne adressen er i virkeligheten.

Dersom en bruker sletter seg, vil også IP-adressen forsvinne fra vårt register. Den lagres kun innenfor det oppgitte tidsrommet dersom brukeren er registrert på forumet.

Forumansvarlig

  • Liker 2
Lenke til kommentar
Del på andre sider

Gjest heimebane
1 time siden, Forumansvarlig skrev:

Det er fortrinnsvis av grunner som du sier, samt i tilfeller der politiet ber om utlevering av informasjon. Det kan for eksempel dreie seg om at noen har postet terrortrusler i forumet. Politiet må da via en politiadvokat be om utlevering av denne informasjonen. Vi sitter kun på selve Ip-adressen og i noen tilfeller generelt sted (som f.eks Oslo), og politiet må gå videre med denne informasjonen til teleselskapet for å få mer informasjon om brukeren. 

Vent, hva?!

Lagrer dere IP-adresse i mer enn et år på bakgrunn av at politiet kan komme rekende, når teleselskapet uansett kun kan lagre i 3 uker?!

Man trenger ikke å være jurist for å høre hvor bakvendt dette er...

Lenke til kommentar
Del på andre sider

Gjest
Dette emnet er stengt for flere svar.
×
×
  • Opprett ny...