EU:n Yleinen tietosuoja-asetus / General Data Protection Regulation (GDPR)

Ajatellaan että on vaikka Indonesialainen firma joka pyörittää dropboxin paikallista kilpailijaa Indonesialaisen teleoperaattorin salissa Indonesiassa. Nettisivut on paikallisella kielellä ja englanniksi, maksuvaihtona jotain paikallisia ja esim Visa.

Tarvitseeko tämän firman lotkauttaa korvaansa GDPRlle? Itse olen sitä mieltä että ei tarvisi. Jos minä suomalaisena käyttäisin tätä palvelua, en odota että kyseinen palvelu noudattaa suomen tai EUn tietoturvajuttuja, vaan Indonesian.

Mikä tässä logiikassa nyt sit eroaa esim noihin USAn lehtiin? Onko noilla USAn lehtien emofirmalla toimintaa EUssa?

Ei EU voi vaatia että joku Australialainen hotelli vaikka joka tarjoaa online bookingia ottaa GDPRn huomioon...
Niinhän se on, että ei voisi luulla mutta koska olet EU:n kansalainen ja käytät mitä vain palvelua on heidän tehtävä GDPR:n vaatimat asiat.

Tämähän on vähän samanlainen juttu missä Suomen verottaja vaati, että ulkomaisten verkkokauppojen piti maksaa Suomeen verot.

Ulkomaisten verkkokauppojen alv-maksujen seuranta tiukkenee
 
Järkyttävä määrä tullut viimeaikoina noita GDPR -maileja sähköpostiin. Osaakohan noistakin joku huijari ottaa onkeensa ja alkaa spämmimään jotain feikkilinkkejä...
 
Järkyttävä määrä tullut viimeaikoina noita GDPR -maileja sähköpostiin. Osaakohan noistakin joku huijari ottaa onkeensa ja alkaa spämmimään jotain feikkilinkkejä...

Tietysti. Spämmiä huijareilta liittyen GDPR:ään... Ei olisi uutta jos kukaan ei haluaisi tarttua tähän onkeen.
 
Nyt, kun tuo GDPR on voimassa, kai poliisi/supo luovuttaa kaikki tietonsa pyytämättä, mitä he ovat keränneet ihmisistä vuosien aikana?
 
Nyt, kun tuo GDPR on voimassa, kai poliisi/supo luovuttaa kaikki tietonsa pyytämättä, mitä he ovat keränneet ihmisistä vuosien aikana?
Ei tietenkään. Ihan sama luovutusvelvollisuus siellä on pyytäessä kuin ennenkin. Itse en ainakaan haluaisi että poliisi yhtäkkiä pyytämättä lähettäisi kaikkien suomalaisten tiedot postilaatikoihin

Tuossa tarkastusoikeus
Laki henkilötietojen käsittelystä… 761/2003 - Ajantasainen lainsäädäntö - FINLEX ®

Ja tuossa ne viitatut 26. ja 28. pykälä henkiltietolaista
Henkilötietolaki 523/1999 - Ajantasainen lainsäädäntö - FINLEX ®
 
Jos nyt lopputuloksena jokaiselle sivulle tulee valmiiksi hyväksyttynä kasa nappeja keskelle ruutua ennen kuin sivulle pääsee (esim tori.fi) niin olisin mieluusti ilman koko GDPR evästesotkua.
Vaihtoehdot ovat 1) hyväksy tai 2) käytä koko päivä satojen trackerien disabloimiseen, eihän tässä ole mitään järkeä.

EDIT: ilmeisesti tori.fi lisäasetusten 'salli kaikki' nappulan funktio on 'disabloi kaikki', ok... Voisko napin nimetä esim 'disabloi kaikki', hienoa harhaanjohtamista. :tup:

 
noyb.eu - Wikipedia
noyb.eu, also called noyb (from the colloquial "none of your business") or NOYB – European Center for Digital Rights, is a non-profit organization based in Vienna, Austria established in 2017. Founded by Austrian lawyer and privacy activist Max Schrems, noyb.eu aims to launch strategic court cases and media initiatives in support of the General Data Protection Regulation, the proposed ePrivacy Regulation, and information privacy in general.[1][2][3] While many privacy organizations focus attention on governments, noyb.eu puts its focus on privacy issues and privacy violations in the private sector.

Soon after General Data Protection Regulation rules went into effect on 25 May 2018, noyb filed complaints against Facebook and subsidiaries WhatsApp and Instagram, as well as Google LLC (targeting Android), for allegedly violating Article 7(4) by attempting to completely block use of their services if users decline to accept all data processing consents, in a bundled grant which also includes consents deemed unnecessary to use the service.[4][5][6][7][8]
:D
 
On kyllä yllättävän usein tullut törmättyä viestiin: "You are currently not able to access this website in the EU" Tänäänkin jo kolmesti tullut vastaava ilmoitus eteen. Eikä ole kaikki ulkomaiset sivustot vielä edes reagoinut tähän EU paskeeseen, joten tullee moiset ilmoitukset vain lisääntymään :mad:
Tuohan tarkoittaa, että ovat reagoineet ja eivätkä näe, että EU:sta tulisi tarpeeksi käyttäjiä.
 
https://myanimelist.net/

Ei näköjään myöskään pitänyt GDPR muutoksista, kun ollut tämän viikon alhaalla. Väittävät että korjaavat tietoturvaa, mutta veikkaan että jtn muutakin tuossa taustalla.
 
Tänään töissä perehdytettiin vähän asiaan yksi asia mitä jäi mieleen: muut lait ajavat edelleen gdpr edelle esim. kirjanpitolaki, sähköisen viestinnän laki, yhdistyslaki jne. Esim. kirjanpitolaki taitaa edellyttää säilyttämään laskut sen 6 vuotta ja näistä ei saa henkilötietoja poistaa millään perusteella.
 
Mites se nyt meneekään foorumiviestien poistojen kanssa kun tämä GDPR on voimassa? Jos foorumin päättävä henkilö sanoo, että viestit jäävät, mutta tili poistetaan ja nimimerkki anonymisoidaan, niin onko käyttäjällä mitään takaisin vikisemistä?

Yksi asia mikä tuli mieleen, että pelkästä tekstistä, jos sitä on tarpeeksi paljon, ilmeisesti pystyy koneellisesti kohtuullisen helposti tunnistamaan henkilöitä (hämärästi muistelen, että olen lukenut tällaisia uutisia joskus). Eli siis esim. kahdella eri foorumilla olevat tekstit voitaisiin yhdistää saman henkilön kirjoittamiksi.
 
Nyt taisi Neste Ralli appi 2018 vetää pohjat gdpr ehdoissa. Ok, appi on vielä ilmeisen keskeneräinen, mutta antaa mahdollisuuden rekisteröityä rallietuja varten.

https://play.google.com/store/apps/details?id=fi.akk.nesterallyfinland

Screenshot_20180624-114144.png
 
Onnistuuko omien tietojen poisto Fonectasta? Tai mistä ne sinne joutuvat
 
Mites se nyt meneekään foorumiviestien poistojen kanssa kun tämä GDPR on voimassa? Jos foorumin päättävä henkilö sanoo, että viestit jäävät, mutta tili poistetaan ja nimimerkki anonymisoidaan, niin onko käyttäjällä mitään takaisin vikisemistä?
Ei siitä ole mitään ennakkotapauksia vielä olemassa, mutta olettaen ettei viesteissä ole mitään yksilöiviä henkilötietoja, niin maalaisjärjen mukaan tämä on riittävä toimenpide.
 
Onnistuuko omien tietojen poisto Fonectasta? Tai mistä ne sinne joutuvat

Mikäli olet antanut operaattorin julkaista tiedot, niin operaattoreilta ne tiedot Fonectalle siirretään. Tämä on jo ennen GDPR:ää pystynyt kieltämään ja nyt voit myös erikseen kieltää tai poistaa tämän. Ottamalla yritykseen tietysti poistaminen aina onnistuu - siis henkilötiedot tietysti, mutta Fonectallahan sitä on :)
 
Mikäli olet antanut operaattorin julkaista tiedot, niin operaattoreilta ne tiedot Fonectalle siirretään. Tämä on jo ennen GDPR:ää pystynyt kieltämään ja nyt voit myös erikseen kieltää tai poistaa tämän. Ottamalla yritykseen tietysti poistaminen aina onnistuu - siis henkilötiedot tietysti, mutta Fonectallahan sitä on :)

No katos, enpä ollut huomannut asetusta oma elisassa kun tietenkin viimeisen välilehden viimeisessä kulmassa. Pitkästä aikaa erehdyin vastaamaan puhelinmyyjälle ja se kertoi tiedon lähteeksi Fonectan.
 
https://www.kauppalehti.fi/uutiset/...usti-virheen--huomattava-sakko-uhkaa/7UGWHjFv

Nordealla tuntuisi olevan homma hallussa? Avaat pankkitilin omalla hetulla yhdistykselle, muut tilinkäyttöoikeudelliset näkee myös sinun hetun muut pankkitilit? Muutenhan tuossa uutisessa ei olisi järkeä.

Käsittämätön on Nordean tilinkäyttöoikeushimmeli jos tuo oikeasti on totta, eikä oikeuksia per pankkitili määritellä kuten Osuuspankin järjestelmässä tehdään.
 
Käsittämätön on Nordean tilinkäyttöoikeushimmeli jos tuo oikeasti on totta, eikä oikeuksia per pankkitili määritellä kuten Osuuspankin järjestelmässä tehdään.

Ilmeisesti ongelma koskee vain Tanskan Nordeaa, ja sielläkin vain tietynlaista hyvin rajallista kohderyhmää jos ”uhreja” on kaikki 160. Ei ainakaan täällä Suomen päässä mulla näy vaimon yksityistili vaikka yhteiset lainat ja taloustili onkin pankissa. Kummallakin näkyy vain ne tilit ja lainat mihin oikeudet on määritelty.

Vaikea kyllä nähdä kenenkään suunnittelevan käyttöoikeuslogiikkaa joka antaisi tuollaisen virheen tapahtua :beye:
 
Hei tietäjät! Nyt kun on pöly vähän laskeutunut aiheen tiimoilta niin olisiko teillä näkemystä seuraavan kaltaiseen skenaarioon:

Striimaan muksun lätkämatsin julkisella paikalla lätkäseuran Youtube-sivulle ja olen mukana ko. seuran toiminnassa. Jonkin muksun vanhemmat kieltävät oman muksunsa näkymästä videolla vedoten GDPR:ään. Kuinka toimia, kyseessä siis julkinen paikka, seuratoiminta vetoaminen GDPR:ään. Voiko tuo olla henkilötietolain alaista materiaalia? Muuttuuko tilanne jos matsin striimaisi seuran ulkopuolinen henkilö ja lisäisi seuran sivuille vai miten tämä nyt oikein menee?

Apuja kaivataan! Ja mieluusti ihan faktoilla :D
 
Hei tietäjät! Nyt kun on pöly vähän laskeutunut aiheen tiimoilta niin olisiko teillä näkemystä seuraavan kaltaiseen skenaarioon:

Striimaan muksun lätkämatsin julkisella paikalla lätkäseuran Youtube-sivulle ja olen mukana ko. seuran toiminnassa. Jonkin muksun vanhemmat kieltävät oman muksunsa näkymästä videolla vedoten GDPR:ään. Kuinka toimia, kyseessä siis julkinen paikka, seuratoiminta vetoaminen GDPR:ään. Voiko tuo olla henkilötietolain alaista materiaalia? Muuttuuko tilanne jos matsin striimaisi seuran ulkopuolinen henkilö ja lisäisi seuran sivuille vai miten tämä nyt oikein menee?

Apuja kaivataan! Ja mieluusti ihan faktoilla :D

Ottelutapahtuma julkisella paikalla. Voi kuvata ja striimata.

Joukkueen harjoitustapahtumat ovat varmaankin teilläkin vain maksaville jäsenille, eli suljettu tapahtuma. Niissä annettua kuvauskieltoa tulee noudattaa.

Kävin keväällä SUL:n koulutustilaisuudessa liittyen urheiluseurojen toimintaan. Ei siellä varsisnaisesti tätä käsitelty. Päällimmäisenä jäi mieleen se, ettei kansallista lainsäädäntöä vielä ole, ja sen voimaan tulon jälkeen tietosuojavaltuutetun toimisto ei varmaan ihan ensimmäiseksi ehdi urheiluseuroja ohjeistamaan. Eli toistaiseksi toimitaan kuten ennenkin, toki maalaisjärkeä käyttäen.

Tapahtumien järjestäminen ja EU:n tietosuoja-asetus
 
Mites tällainen kun yrityksellä on suojaamaton API, josta saa henkilötunnuksella asiakasnumeron kyseisessä firmassa?
 
Mites tällainen kun yrityksellä on suojaamaton API, josta saa henkilötunnuksella asiakasnumeron kyseisessä firmassa?

Kannattaa ainakin olla kyseiseen yritykseen yhteydessä tästä asiasta. Mikäli suostuvat korjaamaan itse sen niin hyvä ja he ovat itse velvollisia ilmoittamaan tietovuodoista eteenpäin. Tokihan voit ilmoittaa tästä KTK koska tässä voi olla tietovuoto mahdollisuus. Sitä ei tiedetä tietenkään mutta hyvähän viranomaisenkin olla kärryillä.
 
Miten evästeistä (cookies) pitäisi antaa käyttäjälle mahdollisuus opt-outiin? GDPR:n mukaan pitää antaa selkeä tapa jolla käyttäjä voi laittaa haluamansa evästeet päälle/pois.

Tuli vastaan yksi suomalainen nettisivu, missä evästeiden opt-outiin oli vain ohjeistus miten selaimessa kytketään kaikki evästeet koko selaimesta päälle tai pois. Ei siis vain kyseisen sivuston, vaan kaikki evästeet kokonaan pois.

Heillä on käytössä paljon trackingiä (google, fb jne), joten tämä ei vaikuta kovin "helpolta" tavalta valita evästeitä pois käytöstä. En löytänyt tästä kuitenkaan suoraa mainintaa että tämä olsi kielletty tapa toimia.
 
Miten evästeistä (cookies) pitäisi antaa käyttäjälle mahdollisuus opt-outiin? GDPR:n mukaan pitää antaa selkeä tapa jolla käyttäjä voi laittaa haluamansa evästeet päälle/pois.

Tuli vastaan yksi suomalainen nettisivu, missä evästeiden opt-outiin oli vain ohjeistus miten selaimessa kytketään kaikki evästeet koko selaimesta päälle tai pois. Ei siis vain kyseisen sivuston, vaan kaikki evästeet kokonaan pois.

Heillä on käytössä paljon trackingiä (google, fb jne), joten tämä ei vaikuta kovin "helpolta" tavalta valita evästeitä pois käytöstä. En löytänyt tästä kuitenkaan suoraa mainintaa että tämä olsi kielletty tapa toimia.
Muistaakseni Kanadassa oli jollain isolla firmalla, oisko Microsoft, ohjeistus että jos ei halua että kerätään käytöstä dataa niin sen voi estää olemalla kytkemättä tietokonetta nettiin ja se täytti lain kirjaimen siellä.
 
Muistaakseni Kanadassa oli jollain isolla firmalla, oisko Microsoft, ohjeistus että jos ei halua että kerätään käytöstä dataa niin sen voi estää olemalla kytkemättä tietokonetta nettiin ja se täytti lain kirjaimen siellä.
No aikamoista. Eli saa olla kiitollinen että yleensäkin joillain sivuilla on mahdollista ruksailla evästeet pois.
 
firefox+umatrix on aika näppärä konsti hallita kaikkea mitä sivulla tapahtuu. Voi antaa hyväksyä evästeet tai pyytää blokkaamaan kaikki semmoiset pois. Myöskin kolmansien osapuolten tunkeilevat yritykset saa blokattua helpolla. Vaatii vähä opettelua alkuun mutta nopeasti pääsee kyllä kärryille.

Edit: Niinjoo, se blokkaa vielä samalla mainoksetkin.
 
Tuli vastaan yksi suomalainen nettisivu, missä evästeiden opt-outiin oli vain ohjeistus miten selaimessa kytketään kaikki evästeet koko selaimesta päälle tai pois. Ei siis vain kyseisen sivuston, vaan kaikki evästeet kokonaan pois.

Heillä on käytössä paljon trackingiä (google, fb jne), joten tämä ei vaikuta kovin "helpolta" tavalta valita evästeitä pois käytöstä. En löytänyt tästä kuitenkaan suoraa mainintaa että tämä olsi kielletty tapa toimia.
No mitäs tämä testi sanoo, jos toimii: GDPR and cookie consent | GDPR and cookies | Is my use of cookies compliant?

Itse en käyttäjän laitteisiin tallennettuja keksejä ja muuta vastaavaa näkisi GDPR:n kannalta kovinkaan suurena asiana verrattuna palvelun toteutuspuoleen, josta siis ei todellakaan voi mitään poistaa tai edes nähdä mitä siellä on, paitsi vähintään GDPR:n suomia oikeuksia ja menettelytapoja käyttäen. Ja kaikki tämä siinäkin tapauksessa, että käyttäjä on estänyt kaikkien evästeiden tallennuksen, eikä koskaan palaa sivustolle poistamatta välillä kaikkea lokaalia tauhkaa siinäkin tapauksessa, että tallennusesto ei jostakin syystä toiminutkaan.
 
No mitäs tämä testi sanoo, jos toimii: GDPR and cookie consent | GDPR and cookies | Is my use of cookies compliant?

Itse en käyttäjän laitteisiin tallennettuja keksejä ja muuta vastaavaa näkisi GDPR:n kannalta kovinkaan suurena asiana verrattuna palvelun toteutuspuoleen, josta siis ei todellakaan voi mitään poistaa tai edes nähdä mitä siellä on, paitsi vähintään GDPR:n suomia oikeuksia ja menettelytapoja käyttäen. Ja kaikki tämä siinäkin tapauksessa, että käyttäjä on estänyt kaikkien evästeiden tallennuksen, eikä koskaan palaa sivustolle poistamatta välillä kaikkea lokaalia tauhkaa siinäkin tapauksessa, että tallennusesto ei jostakin syystä toiminutkaan.

Tämä menee läpi:
  • Personal data is transmitted to 'adequate countries' only (GDPR)

Failaa nämä:
  • Prior consent on other than strictly necessary cookies (ePR)
  • Prior consent on personal data (GDPR)
 
Whattsapp sai juuri Irlannilta 225M€ sakot GDPR-rikkumuksista
Suomeksi (koko uutinen maksumuurin takana)
...
Sakkopäätös koskee vuonna 2018 aloitettua tutkintaa, jossa on setvitty WhatsAppin tapaa käsitellä käyttäjätietoja. Viranomaiset ovat selvittäneet muun muassa sitä, onko WhatsApp tarjonnut käyttäjille tarpeeksi tietoa siitä, mitä se heistä keräämillään tiedoilla tekee. Lisäksi syynäyksen kohteena ovat olleet pikaviestimen yksityisyyskäytännöt ja niihin liittyneet epäselvyydet.
...
 
En vaan jaksa ymmärtää tätä gdpr asetusta. Peruskäyttäjä laittaa joka ikiseen salli kaikki, ja varmaan iso osa karttuneemmista käyttäjistä. Loppu tuloksena vaan pakollinen pop-uppi. Huonot toimijat jatkaa joka tapauksessa tietojen urkkimista, esim huijaussivustot, ei Facebookit tai vastaavat. Toisin sanoen mitään ei saatu aikaiseksi.
 
Onko ollut mitään isoa oikeusjuttua edes? Hämärästi muistaisin jotain että EU Facebookkia uhitteli mutta tulikohan siitä mitään. Taitaa direktiivi olevan enemmän tapa EUn hakea rahoitus ilman korkoja.
 
En tiedä miten luotettava kyseinen sivusto on, mutta tasaseen tahtiin noita näyttäisi olevan, vaikkakin summat monissa ei mitään hurjia ole. Mutta oletettavasti ihmiset kuitenkin valittaa noista ja korvauksia satelee...

Kyllähän noita syytöksiä tuntuu riittäneen ja eurojakin liikkuneen kovasti:
- there have been more than 281,000 data breach notifications since the application of GDPR on 25 May 2018

Pari isointa tapausta:

Ja koska siellä on lakimies armeijat aina firmoilla, niin piirileikit monesti venyy vuosien ajaksi kaikenlisäksi:

En tiedä onko oikeudessa käsitelty mitään isompaa loppuun saakka, vaan aina on rahalla kuitattu...
 
En kahlannut ketjua läpi ja pahoittelen jos asiaa on jo sivuttu.

Työpaikallani on ennen toteutettu tyytyväisyyskyselyt täysin anonyyminä. Käytännössä on valittu vain osasto ja sillä selvä. Olen tarkistanut muilta, niin kaikille on tullut aina sama linkki henkilökohtaiseen puhelimeen ja lähettäjä on ollut työnantaja. Nyt kuulemma halutaan vastaajia lisää ja halutaan lisätä tietoturvaa siten, että jokaiselle tulee yksilöity linkki josta voi vastata vain kerran. Siitä ei kuulemma tietenkään voi työnantaja tunnistaa vastaajaa, mutta mitä tietoja työnantaja tälle ulkopuoliselle toimijalle (webropol) antaa ja kenen luvalla? Puhelinnumerot ja nimet? Tuloksissa meidät on jaoteltu ainakin esimiehittäin.
Minulla on salainen puhelinnumero jonka olen uskonut vain läheisilleni, enkä todellakaan halua että työnantaja jakelee sitä milloin mihinkin... Onko tämä ihan laillista touhua?
 
Viimeksi muokattu:
Jos yritys lähettää markkinointisähköposteja asiakkailleen, jokaisessa viestissä pitää olla mahdollisuus viestien perumiseen, tämä on selvä homma.

Mutta saako tässä vaiheessa vaatia esimeriksi tunnuksille kirjautumista, asiakasnumeroita tai muuta vastaavaa? Olen ymmärtänyt että ei saa, vaan viestien peruminen pitää olla helppoa, mutta en löydä varmaa tietoa virallisilta sivuilta, esim tässä How does the GDPR affect email? - GDPR.eu sanotaan vain, että " that you can opt-out at any time and there is the option to unsubscribe in every communication. ".

K-kauppa lähettää palautekyselyjä, ja listalta poistuminen vaatii jonkun plussanumeron ja täydet nimi- ja osoitetiedot.
 
En tiiä onko oikea paikka mutta..

Emäntä osallistui joskus n.2018 Lämpöluxin johonkin arvontaan ikkunaremontista. No, siltä soitettiin sitten ja sovittiin ilmainen kartoitus. Ja perus painostava lestafirmahan se jonka esitteljällä kesti 3h että saatiin se pihalle. Sen jälkeen sieltä pari kertaa soitettiin ja tehtiin selväksi että me ei heidän kanssa tehdä yhtään mitään ja samalla myös että POISTAKAA NUMERO TIEDOISTANNE, ei haluta yhtään soittoa. Lupasivat tehdä, ja meni varmaan vuosi niin taas soitettiin ja taas sanottiin että poiskaa nyt se sieltä,

No, mennyt pari vuotta ja viime viikolla pihaan pelmahti Finluftin ilmanvaihtoesittelijä. Tuli niin puun takaa että ei ehditty siinä sen kummempia ja sovittiin että ens viikolla tulee käymään.
Sitten kilahti vaimon puhelimeen vahvistusviesti tapaamisesta. Ja siinä vaiheessa huomattiin että kumpikaan ei ollut antanut sille äijälle puhelinnumeroaan ja molemmilla salainen eikä niitä ole levitelty. Mistähän se tiesi vaimon numeron.
Tarkempi googlaus ja yllätys yllätys Lämpölxilla ja Finloftilla on sama toimari.

Soitin sille äijälle ja kysyin että mistä numero saatu niin änkytti ja lopuks sanoi että ollaanko tehty ikkunaremontti Lämpöluxin kanssa? Sanoin että ei. Meillä ei ole mitään halua tehdä yhtään mitään Lämpöluxin kanssa ja toisekseen meidän numero ollaan pyydetty useampaan kertaan poistamaan ja kolmanneksi, te ette ole Lämpölux. Miten teillä on Lämpöluxin asiakkaiden tietoja? Änkytti taas ja lupasi taas poistella numeroa.

Mutta sitten ne kysymykset:
a) miksi numeroa ei olla poistettu ja kuinka saadaan se vihdoin poistettua niilt?
b) kuinka laillista on asiakastietojen siirtäminen tuolla tavalla firmalta toiselle?
c) kannattaisiko tästä ilmoittaa jonnekkin ja jos, niin kuka on oikea taho?
 

Statistiikka

Viestiketjuista
258 389
Viestejä
4 489 658
Jäsenet
74 150
Uusin jäsen
JM11

Hinta.fi

Back
Ylös Bottom