Spännande test av dina nya rättigheter

Resume testade 40 bolags rutiner kring GDPR och fick inte förvånande väldigt olika resultat.

https://www.resume.se/nyheter/artiklar/2018/06/28/vi-begarde-ut-var-data–mottes-av-gdpr-haveri-insikt/

De summerar undersökningen med ett antal frågor som jag skall försöka besvara här under.

Har aktörerna satt sina egna standarder för vad som ska skickas med och inte? Varför kräver till exempel vissa identifiering via ID och andra inte? De verkar ha tolkat GDPR på olika sätt.

Identifieringen är viktig för att säkerställa att man inte ”läcker” personuppgifter till nån annan än den som begär ut datat. Om man inte har nån teknisk lösning för verifikation av identitet så är det sätt man valt för att göra nästbästa lösningen.

Vad kan bolagen få för påföljder om de inte följer lagen?

Detta kommer visa sig när lagen prövas i domstol.

Varför är det lättare att bli kund än att radera sig som kund? Borde de inte motsvara varandra?

Håller med!

Varför måste vi gå till varje tredjepartslösning för att få ut vår data? Ett företag kan ha 40 olika samarbetspartners. Vem som helst förstår att det är orimligt. Varför tar inte företagen något ansvar för sina egna samarbetspartners? Det är ju de som lämnat ut datan.

Håller med även här, är övertygad för att denna nonchalanta inställningen till personuppgifter kommer över tid förändras.

Vissa av bolagen ignorerar att vi vill få våra uppgifter utlämnade, de raderar helt sonika uppgifterna innan vi fått ta del av dem. Får man göra så?

Även här kommer säkert provas i domstol men vid första anblick låter det orimligt.

Varför tar det upp till 30 dagar eller mer att skicka ett registerutdrag? Är det rimligt?

Troligtvis många bolag har dåliga integrationer mellan system och mycket data kan vara lagrat i svår-sökbara icke strukturerade register vilket gör detta jobb till ett dektektivarbete.

Kan ett företag hitta på egna regler kring hur ofta de ska lämna ut data, till exempel en regel om att de bara lämnar ut och raderar data en gång om året per konsument?

Man behöver inte lämna ut data mer än en gång per år, raderingen finns inte nämnd med vilken frekvens den skall ske.

Vi lever i en digital värld. Varför utnyttjar man inte digitala möjligheter utan tvingar konsumenterna att föra kontakten analogt?

Se punkten om att säkerställa identitet, kan tyckas lite komiskt att ”postnord” skall stå för ordning och reda men många har sett detta som enda sättet att på ett acceptabelt sätt se till att man inte läcker personuppgifter till ”fel” person.

Formulären är ofta väldigt långa. Varför behövs mer av min data för att få ta del av den redan existerande?

Detta har med stor sannorlikhet att göra med att man behöver många inparametrar när man söker i registrerna. Man behöver en ”hint” om att du nångång sökt jobb för att veta att man även behöver söka i HR-registret såväl som kundregistret.