EU:n Yleinen tietosuoja-asetus / General Data Protection Regulation (GDPR)

Tai sitten sun kannattaa opetella lukemaan, niin ei mene jokainen sinun mielipiteesi vastainen kommentti kiukkuiseksi vihapuheeksi? :rofl:

Kyllä sinä itsekin tiedät mistä puhun. Näissä ketjuissa olet murosta alkaen ja täällä jatkaen joka välissä ihmetellyt oikein isoon ääneen kun ihmiset tahtoo poistella viestejään ja kuinka kaikkien pitäisi osata postata netissä kuin parhaatkin neitsytmariat ilman että tarvii koskaan poistaa viestin viestiä.

Sujuvasti siinä moralisoidessasi (ehkä vähän piilossa, ettei kukaan voi suoraan sormella osoittaa) unohdat, että ehkäpä isoa osaa ihmisistä ei kiinnosta se mitä on aikaisemmin kirjoittanut, vaan se että ylipäätään saa tuottamansa sisällön pois palvelusta jonka käytön lopettaa.
Ihmetellyt ja kysellyt olen, se on totta. Vaan en ihmettele enää, kun ne keskustelut on jo käyty. Niiden perusteella tiedän että monet haluavat ne viestit pois, jokainen omista syistään, oli se syy sitten periaate, kiusanteko, huoli yksityisyydestä tai ihan mikä tahansa.

Sitä en kuitenkaan ymmärrä edelleenkään miksi ihmiset kuvittelevat niin kovasti olevansa oikeutettuja vaatimaan viestien poistoa? Turhautumisen asiaan kyllä ymmärrän hyvin, mutta syytön minä siihen olen mitä jossakin GDPR-asetuksessa oikeasti sanotaan tai ei sanota. Ei kannata ampua sanansaattajaa, kun ei sillä ole mitään tekemistä en viestin sisällön kanssa.

Veikkaan että tuossa on kyse turhautumisen lisäksi väärinkäsityksestä mm. juuri tämän tulevan GDPR:n ja yleisesti tietosuojakysymysten osalta ja sitä tilannetta tuossa edellisessäkin yritin osaltani selventää. Voi hyvin olla, että tietosuojavaltuutettu tosiaan ottaa jyrkemmän kannan asetuksen tulkinnassa sitten jossakin vaiheessa, mutta tällä hetkellä tilanne käsittääkseni menee noin miten sen kuvasin. Ihan mielelläni kuulen myös eriäviä näkemyksiä perusteluiden kera.

Edelleenkään en henkilökohtaisesti kannata Muron ottamaa linjaa, mutta samaan aikaan ymmärrän kyllä miten ja miksi ovat siihen tilanteeseen ajautuneet. Pääosin tietenkin omaa typeryyttään, mutta se on sivuseikka. En usko että murossa kukaan napisee vastaan jos pyytää selkeästi joidenkin tiettyjen viestien poistamista/sensuroimista, mutta suuremmissa massoissa se voisi olla monellakin tavalla ongelmallista koko foorumin tulevaisuudelle.
 
Vielä tuosta GDPR, niin kannattaa lukea mitä kaikkea aineistoa se pitää sisällään ja miten se suhtautuu esim. foorumeihin kuten tuossa aiemmin @jarp totesi. Käytännössä kaikki tieto joka pystytään identifioimaan käyttäjään on sen piirissä ja sillä ei ole merkitystä onko käyttäjä antanut esim. rekisteröitymisen yhteydessä käyttää näitä tietoja palvelussa vaiko ei. Jokainen foorumin viesti pystytään kohdentamaan käyttäjään esim. mailiosoitteella ja se tekee kaikesta foorumin datasta suoraan automaattisesti GPDR alaista ja fooruminpitäjästä henklilötietojen rekisterinpitäjän ja henkilötietojen käsittelijän.

Jos nyt vaikka menen katsomaan täältä taikka jostain muualta foorumista jonkun profiilisivun, niin siellä näkyy viimeisimmät viestit, ehkä milloin viimeksi paikalla, mahdollinen kauppiaspalaute jne paljon dataa mitä on kerätty. Tuo sivu koostuu käytännössä kaikesta siitä datasta mitä foorumi on kerännyt ja sen poistoon käyttäjällä on oikeus SEKÄ myös oikeus saada listaus KAIKISTA tiedoista mitä käyttäjästä on kerätty palveluun, eli siis kaikki viestit, tykkäykset, lokit vaikka siitä milloin käyttäjä on ollut linjoilla ja milloin ei jne. Eli siis ihan kaikki data mitä on kerätty käyttäjästä tulee saattaa käyttäjälle tietoon sekä myös poistaa jos näin pyydetään, ei pelkästään viestit taikka tunnus.

Eli kyllä, en näe tässä paljon mitään kiertoteitä.

Mielestäni @jarp ilmaisi asian hyvin viestissään:

minusta tuntuu, että eräiden foorumeiden omistajilta vielä hymy hyytyy
 
Vielä tuosta GDPR, niin kannattaa lukea mitä kaikkea aineistoa se pitää sisällään ja miten se suhtautuu esim. foorumeihin kuten tuossa aiemmin @jarp totesi. Käytännössä kaikki tieto joka pystytään identifioimaan käyttäjään on sen piirissä ja sillä ei ole merkitystä onko käyttäjä antanut esim. rekisteröitymisen yhteydessä käyttää näitä tietoja palvelussa vaiko ei. Jokainen foorumin viesti pystytään kohdentamaan käyttäjään esim. mailiosoitteella ja se tekee kaikesta foorumin datasta suoraan automaattisesti GPDR alaista ja fooruminpitäjästä henklilötietojen rekisterinpitäjän ja henkilötietojen käsittelijän.

Jos nyt vaikka menen katsomaan täältä taikka jostain muualta foorumista jonkun profiilisivun, niin siellä näkyy viimeisimmät viestit, ehkä milloin viimeksi paikalla, mahdollinen kauppiaspalaute jne paljon dataa mitä on kerätty. Tuo sivu koostuu käytännössä kaikesta siitä datasta mitä foorumi on kerännyt ja sen poistoon käyttäjällä on oikeus SEKÄ myös oikeus saada listaus KAIKISTA tiedoista mitä käyttäjästä on kerätty palveluun, eli siis kaikki viestit, tykkäykset, lokit vaikka siitä milloin käyttäjä on ollut linjoilla ja milloin ei jne. Eli siis ihan kaikki data mitä on kerätty käyttäjästä tulee saattaa käyttäjälle tietoon sekä myös poistaa jos näin pyydetään, ei pelkästään viestit taikka tunnus.

Eli kyllä, en näe tässä paljon mitään kiertoteitä.

Mielestäni @jarp ilmaisi asian hyvin viestissään:
Edelleen tuossa on kuitenkin aika olennaista se onko se nimimerkki ja/tai ne muut tiedot yhdistettävissä lain tarkoittamaan luonnolliseen henkilöön. Silloinkin saattaa tietoja poistettaessa lain täyttämiseksi riittää kun poistetaan pelkästään ne käyttäjän tiedot taustapalveluista, mutta ei viestejä.

Kuten oli puhetta, GDPR on uusi asia ja sen tulkinnoissa ei rajanveto ole ollenkaan niin selkeää ja siksi näihin pitäisi saada jotain ennakkotapauksia, tai vähintään tietosuojavaltuutetun näkemys.
 
Viimeksi muokattu:
GDPR tulee varmasti olemaan mielenkiintoinen vääntö ja erilaisissa yhteyksissä tullaan varmasti vääntämään siitä, että mikä on yksilöivää henkilötietoa ja mikä ei ole. Foorumeilla yksilöivä henkilötietoja voi olla esimerkiksi nimi, ip-osoite tai vaikka käyttäjätunnus salasanoineen.

Eräs tulkinta GDPR:n mukaisesta yksilöivästä tiedosta on seuraava:

"Tietosuoja-asetus ei yksityiskohtaisesti määrittele, mikä on henkilötietoa, vaan asetuksen mukaan kaikki henkilöä yksilöivä tieto on henkilötietoa. Henkilötietoja ovat näin ollen esimerkiksi nimi, kotiosoite, valokuva, sähköpostiosoite, sosiaalisen median päivitykset, tilaukset ja ostokset, pankkitiedot, käyttäjätunnus ja salasana, maksukorttinumero sekä IP-osoite."

Lähde: https://blog.crasman.fi/mita-sinun-tulee-tietaa-gdpr-tietosuoja-asetuksesta

Mikäli tämä on se oikea tapa tulkita GDPR:ää, niin jokainen foorumi on velvollinen, käyttäjän niin halutessa, unohtamaan käyttäjän ja näin ollen velvollinen poistamaan kaikki käyttäjään liittyvät tiedot sekä viestit, jotka käyttäjä on kirjoittanut (myös lainaukset, jotka ovat toisen kirjoittajan viesteissä).
 
Edelleen tuossa on kuitenkin aika olennaista se onko se nimimerkki ja/tai ne muut tiedot yhdistettävissä lain tarkoittamaan luonnolliseen henkilöön. Silloinkin saattaa tietoja poistettaessa lain täyttämiseksi riittää kun poistetaan pelkästään ne käyttäjän tiedot taustapalveluista, mutta ei viestejä.

Kuten oli puhetta, GDPR on uusi asia ja sen tulkinnoissa ei rajanveto ole ollenkaan niin selkeää ja siksi näihin pitäisi saada jotain ennakkotapauksia, tai vähintään tietosuojavaltuutetun näkemys.

Sähköposti on riittävä yksilöivä tunniste ja myös riittää että se sähköposti on ainoastaan ylläpidon nähtävissä, eli sillä ei ole merkitystä pystyykö muut käyttäjät yksilöimään ne tiedot, vaan pystyykö rekisterinpitäjä. Olen työn puitteissa näitä käynyt lävitse kyllä, ihan lakiosaston kanssa.
 
Edelleen tuossa on kuitenkin aika olennaista se onko se nimimerkki ja/tai ne muut tiedot yhdistettävissä lain tarkoittamaan luonnolliseen henkilöön. Silloinkin saattaa tietoja poistettaessa lain täyttämiseksi riittää kun poistetaan pelkästään ne käyttäjän tiedot taustapalveluista, mutta ei viestejä.
Mutta jos viesteissä on tietoa, josta helposti pääteltävissä henkilö, niin silloin on.

Itse käytin aikanaan mikrobitin kotisivutilaa kuvien postailuun esim murossa. Mikrobitin sivuilta taas löytyi aakkosellinen lista mikä nimimerkki oli kukakin, koko nimellä. Lasketaan 1+1 = helposti tunnistettavissa, vaikkei koskaan "mitään itsestään" paljastaisi.

Rupeaako foorumin adminit käymään jokaisen viestini läpi ja tutkimaan jokaisten tällaisen linkin, koska osa niistä on selvästi tiettyyn henkilöön yhdistettäviä. Jos ei, pitää koko viestihistoria poistaa. Nimimerkin poistaminen ei vielä poista viestien sisällön linkitystä henkilöön.
 
Omankin duunin puolesta on tätä GDPR ruljanssia tullut seurattua vähän "sivusta", mutta kuten on jo mainittu niin se sähköpostiosoite riittää yksilöiväksi tiedoksi ja muodostaa täten direktiivin tarkoittaman rekisterin ja täten taas velvoittaa ylläpitäjän poistamaan kaikki henkilöön viittaava palvelustaan hänen sitä pyytäessään.

Oikeasti tuo tulee vielä aiheuttamaan melkoisia aaltoja kun se todellisuus iskee naamalle...
 
GDPR tulee varmasti olemaan mielenkiintoinen vääntö ja erilaisissa yhteyksissä tullaan varmasti vääntämään siitä, että mikä on yksilöivää henkilötietoa ja mikä ei ole. Foorumeilla yksilöivä henkilötietoja voi olla esimerkiksi nimi, ip-osoite tai vaikka käyttäjätunnus salasanoineen.

Eräs tulkinta GDPR:n mukaisesta yksilöivästä tiedosta on seuraava:

"Tietosuoja-asetus ei yksityiskohtaisesti määrittele, mikä on henkilötietoa, vaan asetuksen mukaan kaikki henkilöä yksilöivä tieto on henkilötietoa. Henkilötietoja ovat näin ollen esimerkiksi nimi, kotiosoite, valokuva, sähköpostiosoite, sosiaalisen median päivitykset, tilaukset ja ostokset, pankkitiedot, käyttäjätunnus ja salasana, maksukorttinumero sekä IP-osoite."

Lähde: https://blog.crasman.fi/mita-sinun-tulee-tietaa-gdpr-tietosuoja-asetuksesta

Mikäli tämä on se oikea tapa tulkita GDPR:ää, niin jokainen foorumi on velvollinen, käyttäjän niin halutessa, unohtamaan käyttäjän ja näin ollen velvollinen poistamaan kaikki käyttäjään liittyvät tiedot sekä viestit, jotka käyttäjä on kirjoittanut (myös lainaukset, jotka ovat toisen kirjoittajan viesteissä).
Taas kerran sama juttu -->
Jos siitä foorumin nimimerkistä (tai sähköpostista) ei voi suoraan vetää viivaa johonkin tiettyyn henkilöön, niin en minä ainakaan uskaltaisi väittää kyseessä olevan henkilötieto.

Sähköposti on riittävä yksilöivä tunniste ja myös riittää että se sähköposti on ainoastaan ylläpidon nähtävissä, eli sillä ei ole merkitystä pystyykö muut käyttäjät yksilöimään ne tiedot, vaan pystyykö rekisterinpitäjä.
Nimeen perustuva sähköposti voi ollakin, mutta entäs jos se on joku geneerinen gmail-osoite, mahdollisesti sama kuin se foorumin nimimerkki?

En ainakaan pureksimatta usko että mikä tahansa altteritunnus123@gmail.com on asetuksessa kuvattu henkilötieto.

Olen työn puitteissa näitä käynyt lävitse kyllä, ihan lakiosaston kanssa.
Niin minäkin. Ja olen huomannut että noita tulkintoja on yhtä paljon kuin lakimiehiäkin. :D

Vasta olin yhdessä aihetta käsittelevässä seminaarissa, jossa todettiin hyvinkin arvovaltaisen edustuksen puolelta, että Suomessa ei ole ainuttakaan henkilöä joka voisi varmuudella sanoa hallitsevansa GDPR:n ja tietävänsä miten sitä tulee tulkita missäkin yhteydessä.

Aika hurjaa mielestäni, että tällä tasolla eteneviä asetuksia ollaan edes ottamassa käyttöön, mutta se on taas kokonaan eri ketjun asia.

Mutta jos viesteissä on tietoa, josta helposti pääteltävissä henkilö, niin silloin on.
Totta, ei siitä ole ollut mitään epäselvyyttä missään vaiheessa.

Rupeaako foorumin adminit käymään jokaisen viestini läpi ja tutkimaan jokaisten tällaisen linkin, koska osa niistä on selvästi tiettyyn henkilöön yhdistettäviä. Jos ei, pitää koko viestihistoria poistaa. Nimimerkin poistaminen ei vielä poista viestien sisällön linkitystä henkilöön.
Maalaisjärjellä ajatellen on käyttäjän itsensä tehtävä etsiä ne viestit joissa on tuonut ilmi sitä yksilöivää tietoa ja ilmoittaa niiden poistosta. Tämä on kuitenkin ristiriidassa tuon edellisen tilanteen kanssa ja siitä päästäänkin taas siihen, ettei asia ole niin mustavalkoinen kuin voisi kuvitella.
 
Maalaisjärjellä ajatellen on käyttäjän itsensä tehtävä etsiä ne viestit joissa on tuonut ilmi sitä yksilöivää tietoa ja ilmoittaa niiden poistosta. Tämä on kuitenkin ristiriidassa tuon edellisen tilanteen kanssa ja siitä päästäänkin taas siihen, ettei asia ole niin mustavalkoinen kuin voisi kuvitella.

Mutuillaan nyt kun muutkin kerran. Ainakin Suomen lainsäädäntö yleensä noudattaa periaatetta, jossa heikommalla osapuolella on vahvempi suoja. Sama periaate pätenee useimmissa euroopan maissa, ja tämä tullee luultavasti olemaan direktiivinkin lähestymistapa käytännön toteututukseen. Siten maalaisjärjellä ajatellen, jos säädöksen lähtökohta on, että käyttäjällä on oikeus saada tietonsa poistettua, ja palveluntarjoaja yrittää jollain perusteella saada tiedot pidettyä, niin vahva veikkaus ainakin kotimaisen oikeuskäytännön näkökulmasta on, että tällöin palveluntarjoajan tulee huolehtia tiedon anonymisoinnista/poistamisesta eikä käyttäjän.
 
Maalaisjärjellä ajatellen on käyttäjän itsensä tehtävä etsiä ne viestit joissa on tuonut ilmi sitä yksilöivää tietoa ja ilmoittaa niiden poistosta. Tämä on kuitenkin ristiriidassa tuon edellisen tilanteen kanssa ja siitä päästäänkin taas siihen, ettei asia ole niin mustavalkoinen kuin voisi kuvitella.
Maalaisjärki kaukana GDPR:n säännöistä.

Jos ilmoitan että minut voi tunnistaa kymmenistä, ellei sadoista viesteistä niin kyllä silloin olisi perusteltua poistaa ne kaikki. Viestit on kirjoitettu palveluun sellaiseen aikaan, ettei säännöt/käytänteet estäneet poistopyyntöjä. Jos säännöt oleellisesti muuttuvat, on vanhoihin tapahtumiin sovellettava silti vanhoja sääntöjä. Ei lakejakaan voida tehdä jälkikäteen ja sakottaa kaikkia jotka ovat joskus "tulevaisuuden lakeja" rikkoneet.

Nyt murossa on sopimusta (sääntöjä) muutettu yksipuolisesti ja niihin vedoten estetään vanhojen sisältöjen poisto. Poisto, joka on ollut koko palvelun siihenastisen historian ajan mahdollista ja sallittua.

En silti jaksa aiheesta vääntää. Uppoava laiva, niin eiköhän ne viestitkin sieltä kohta katoa bittiavaruuteen. Maksaa liikaa pitää vanhoja viestejä syömässä palvelun resursseja. ;)
 
Taas kerran sama juttu -->
Jos siitä foorumin nimimerkistä (tai sähköpostista) ei voi suoraan vetää viivaa johonkin tiettyyn henkilöön, niin en minä ainakaan uskaltaisi väittää kyseessä olevan henkilötieto.

Aika monella foorumilla tallennetaan kirjoittajan IP osoite ja IP:n avulla pystytään yhdistämään nimimerkki yhden pisteen kautta kirjoittajan oikeaan henkilöllisyytensä. Aika selkeä reitti ja näin ollen yksilöivä henkilötieto. Lisäksi oli mm. se sähköpostiosoite, tunnus ja salasana pari.

Lisäksi useilla foorumeilla on mahdollista tehdä kauppaa, jolloin foorumilta löytyy tietoja mahdollisesti oikeasta nimestä osoitteeseen sekä vielä pankkitilin numero. Ja nämä tiedot on lähetetty luonnollisesti yksityisviestein toiselle käyttäjälle, mutta tiedot on tallennettu foorumien taustalla pyöriviin tietokantoihin. Ei siis riitä, että nämä yksilöivät tiedot poistetaan, vaan henkilöllä on oikeus tulla unohdetuksi.
 
Viimeksi muokattu:
Noh näkemyksiä on monia, mutta itse kyllä pysyn siinä että sähköposti ja myös IP on yksilöivää tietoa.
 
Se rajanveto tuleekin olemaan se ensimmäinen mihin tuon uuden lain tultua voimaan törmätään.

Toisaalta kun tuota ajatuksella lukee niin aika harvassa on ne perustelut millä esim. Otava fooruminpyörittäjänä voisi perustella miksi käytännössä omivat muitten tuotokset.

Puhutaan vaikka fooruminkäyttäjien artikkeleista, ei otavalla ole kuin julkaisuoikeus foorumilla ykityisten käyttäjän tuottamiin artikkeleihin esim.tuotetestit, rakentelutriidit, ynnä muut.varsinaiset "tuotetut sisällöt" jo tekijänoikeuslaki tulee vastaan.

Suurin seikka mikä varmasti suurimpaa osaa entisiä murottajia ärsyttää on juurikin tekosyyt millä verukkeella niitä sääntöjä rukattiinn milloin mitenkin päin ja se ylimielinen asenne omistajavaihdoksen yheydessä, se käyttäjäkunta minkä piti olla se kantava voima muuttuikin rangaistuspataljoonaksi ja samalla uusien osin täysin kelvottomien moderaattoreiden voimanosoitukset ja tämä yhdistettynä täysin tunteettomaan kulmään jmutta samalla läpinäkyvän ammattitaidottomaan johtajaportaaseen...
 
Viimeksi muokattu:
Maalaisjärjellä ajatellen on käyttäjän itsensä tehtävä etsiä ne viestit joissa on tuonut ilmi sitä yksilöivää tietoa ja ilmoittaa niiden poistosta. Tämä on kuitenkin ristiriidassa tuon edellisen tilanteen kanssa ja siitä päästäänkin taas siihen, ettei asia ole niin mustavalkoinen kuin voisi kuvitella.

Tietenkään mitään varmaa ei voi sanoa tulkinnasta, koska koko direktiivi ei ole vielä tullut voimaan. Maallikot, kuten minä, kaikkein vähiten. Mutta koko GDPR direktiivi on erittäin rankasti niiden henkilöiden, joista tietoa kerätään, suojaksi kirjoitettu (joba absurdeissa määrin kuten sanoit, yrityksiä lyödään kuin vierasta sikaa), että en minä ainakaan yrityksenä uskaltaisi ottaa mitään riskiä sen puolesta, etteikö esim. sähköpostiosoite, tai yleisesti tiedossa oleva nimimerkki olisi direktiivin tarkoittamaa henkilötietoa.

Esimerkiksi minut voi hyvinkin pienellä vaivalla tunnistaa pelkästä nimimerkistä, tosin ei tämän foorumin, vain muiden. Ihan vaikka Googlella, ensimmäinen osuma tuottaa täydelliset henkilö- ja yhteystiedot ja foorumipostauksista löytyy vielä erityisesti GDPR:n suojaamaa sensitiivistä tietoa esim. poliittisesti suuntautumisestani, sekä terveydentilastani. En kuitenkaan itse tiedä, miten GDPR suhtautuu tietojen yhdistelemiseen useista eri järjestelmistä, vai onko siihen jäänyt porsaanreikä, että henkilötietoa ei ole tieto, joka ei juuri kyseisessä rekisterissä yksilöi henkilöä.

Meillä asiakkaat panikoi ihan oikeasti aiheesta, kun ongelmat lähtee jo siitä, että mikään maailmassa oleva tietojärjestelmä ei ole suunniteltu niin, että sieltä saisi kaiken tiedon pois, kun kukaan ei edes oikeasti tiedä missä henkilötietoa tallennetaan. Kukaan ei ole edes yrittänyt kyseenalaistaa, etteikö kaikkea tietoa pitäisi välittömästi poistaa tai anonymisoida pyydettäessä - myös nimimerkkien ynnä muiden.
 
Mediassa ja foorumeilla on ollut kovasti puhetta mm. "oikeudesta tulla unohdetuksi".

Tuon osalta tietosuojavaltuutetun oppaassa on mainittu näin:

7.3 Oikeus tietojen oikaisemiseen ja oikeus tulla unohdetuksi

Tietosuoja-asetus takaa rekisteröidylle tietyin poikkeuksin oikeuden tietojen oikaisemiseen sekä oikeuden tietojen poistamiseen eli niin kutsutun oikeuden tulla unohdetuksi. Vastaavat oikeudet sisältyvät myös henkilötietolakiin, vaikka oikeutta tulla unohdetuksi ei ole kirjattu lakiin nimenomaisesti. Asetuksessa säädetään rekisterinpitäjälle velvollisuudesta ilmoittaa henkilötietoja käsitteleville rekisterinpitäjille, että rekisteröity on pyytänyt poistamaan henkilötietoihin liittyvät linkit tai näiden henkilötietojen jäljennökset tai kopiot. Myös henkilötietolakiin sisältyy velvollisuus ilmoittaa tiedon korjaamisesta sille, jolle rekisterinpitäjä on luovuttanut tai jolta rekisterinpitäjä on saanut henkilötiedon.

7.4 Oikeus käsittelyn rajoittamiseen ja rekisterinpitäjän velvollisuus ilmoittaa rajoituksesta

Tietosuoja-asetuksessa säädetään myös oikeudesta käsittelyn rajoittamiseen. Rekisteröidyllä on asetuksessa luetelluissa neljässä eri tilanteessa oikeus saada aktiivinen käsittely rajoitetuksi. Oikeus on olemassa muun muassa silloin, kun rekisteröity esittää henkilötietojen oikaisua tai poistoa koskevan pyynnön ja näin ollen kiistää henkilötietojen paikkaansa pitävyyden. Henkilötietojen käsittelyn rajoittamista koskevia menetelmiä voivat olla esimerkiksi valittujen tietojen siirtäminen toiseen käsittelyjärjestelmään tai käyttäjien pääsyn estäminen valittuihin henkilötietoihin. Käsittelyn rajoittaminen on ilmaistava järjestelmässä selkeästi ja varmistettava teknisesti niin, etteivät henkilötiedot enää myöhemmin joudu käsittelytoimenpiteiden kohteeksi.

Rekisterinpitäjä saa edelleen säilyttää tietoja, muttei muutoin käsitellä niitä ilman rekisteröidyn suostumusta. Rekisterinpitäjä saa käsitellä rekisteröidyn henkilötietojamyös esimerkiksi oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi tai tärkeää jäsenvaltion etua koskevista syistä. Ennen kuin käsittelyn rajoitus poistetaan, rekisterinpitäjän on ilmoitettava siitä rekisteröidylle.
 
Tähän ketjuun nyt siirretty tuolta:

https://bbs.io-tech.fi/threads/hyvi...lua-uutisista-artikkelista-ja-foorumista.2973

GDPR-aiheinen sekä MuroBBS:n käyttäjätunnuksiin ja viesteihin ja niiden poistamiseen keskustelu.

Hyvä siirto. Vielä kun tämän saisi aloituspostaukseksi:
GDPR (General Data Protection Regulation), eli EU:n yleinen tietosuoja-asetus tulee, eikä vastaan auta pyristellä, oletko valmis!?

Tietosuoja-asetus (General Data Protection Regulation, GDPR) sisältää asetuksen "luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta" ja se on jo voimassa, mutta sitä aletaan soveltamaan kaikkeen henkilötietojen käsittelyyn vasta siirtymä-ajan päätyttyä 25.5.2018. lähtien. Tietosuoja-asetusta täydennetään ja täsmennetään kansallisella lainsäädännöllä. Käytännössä tietosuoja-asetus korvaa nykyisen henkilötietolain.

Tietosuoja-asetuksen rinnalla on kehitteillä myös tietosuojadirektiivi, jota sovelletaan poliisin ja muiden viranomaisten suorittamaan henkilötietojen käsittelyyn rikosasioissa. Tietosuojadirektiivi on pantava täytäntöön 6.5.2018 mennessä.

GDPR ei ole leikin asia ja se asettaa yrityksille ja organisaatioille monentasoisia vaatimuksia koskien henkilötietojen käsittelyä. Tietosuoja-asetuksen rikkomisesta voi seurata muun muassa sakkoja tai henkilötietojen käsittelykielto.

Yksi GDPR:n olennaisimpia tarkoituksia on yhtenäistää henkilötietojen käsittelyä EU-alueella ja sitä kautta helpottaa unionin sisällä tapahtuvaa kaupankäyntiä, kun kaikkien toimijoiden ei tarvitse huomioida jokaisen maan omaa henkilötietolakia.

Lisäksi asetuksen taustalla on tarve yksilöiden fyysisen ja digitaalisen identiteetin suojelemisesta tuhatta ja sataa kiitävän digitalisaatiokehityksen rinnalla. Aika näyttää miten hyvin asetuksen laatimisessa ja soveltamisessa lopulta onnistutaan. Soveltamisen alkuun on aikaa tätä kirjoitettaessa aikaa 5kk ja edelleen suuri joukko asiantuntijoista on eri mieltä siitä miten asetusta pitäisi tulkita ja soveltaa missäkin yhteydessä.

Henkilökohtaisena kommenttina olen sitä mieltä, että osa vaatimuksista on suorastaan naurettavia, koska niitä ei voida välttämättä järjellisin resurssein ja annetussa aikataulussa kaikkialla toteuttaa. Samaten valvonta on näin laajassa kokonaisuudessa käytännössä mahdotonta ja ilmeisesti juuri sen vuoksi laiminlyönneistä uhkaillaan merkittävillä sakoilla, joka sitten toimii osaltaan kannustimena.

Yksilön kannalta tilanteen pitäisi olla jossakin vaiheessa turvallisempi, mutta kolikon kääntöpuolella GDPR aiheuttaa yrityksille merkittäviä kustannuksia, kun nämä joutuvat rakentamaan prosesseja uusiksi, selvittämään pykäläviidakkoa lakimiesarmeijan kanssa ja hankkimaan uusia tietojärjestelmiä tallentamaan ja suodattamaan tapahtumia ja logeja jne.

Tietosuojavaltuutetun sivut ja ohjeet aiheesta:
EU:n tietosuojauudistus - Tietosuojavaltuutettu
Miten valmistautua tietosuoja-asetukseen?

Tietosuoja-asetus kokonaisuudessaan:
EUR-Lex - 32016R0679 - EN - EUR-Lex

Mielipiteitä, kommentteja, kysymyksiä...

Edit:
Jaa Tegen postaus onkin jo nostettu ekaksi. Hyvä niinkin. :)
 
Joku selvittävä johdanto aloituspostauksen ja siirrettyjen viestien väliin olisi hyvä laittaa. Nyt keskustelu alkaa todella luonnottomasti muroantipatioilla vaikka aihe on paljon laajempi. "Hyvin menee murossa" oli parempi ketju noille.
 
Hyvä siirto. Vielä kun tämän saisi aloituspostaukseksi:

Jaa Tegen postaus onkin jo nostettu ekaksi. Hyvä niinkin. :)

Joku selvittävä johdanto aloituspostauksen ja siirrettyjen viestien väliin olisi hyvä laittaa. Nyt keskustelu alkaa todella luonnottomasti muroantipatioilla vaikka aihe on paljon laajempi. "Hyvin menee murossa" oli parempi ketju noille.

Siellä on nyt kaksi ensimmäistä viestiä @Tege ja @Kautium nostettu keskustelua avaaviksi
 
Onhan tässä jo asiaa nyt vain pitää katsoa, että pyöritään GDPR:ssä. Odotan itse näitä tapauksia mitkä realisoituu ja näkee miten tämä vaikuttaa yrityksiin.
 
Ilmeisesti tuo uus tietosuojalaki on jotenki hankala kun Huawei lakkautti kaikki erilliset henkilörekisterit eussa ja perusti irlantiin tytärfirman hallinnoimaan asiakastietojaan.
 
Ilmeisesti tuo uus tietosuojalaki on jotenki hankala kun Huawei lakkautti kaikki erilliset henkilörekisterit eussa ja perusti irlantiin tytärfirman hallinnoimaan asiakastietojaan.

Palvelimet kuitenkin säilyvät esim Saksassa joten mitenlie tuo sitten oikeasti vaikuttaa.
 
Vuosi sitten kun katselin EU:n kaavailuja alkoi jo hirvittämään ja onnittelin itseäni kun en ollut enää tietosuojavastaava.

Nykytilanne, jossa veikkaukseni mukaan aika usean organisaation systeemit ja toimintatavat eivät täytä edes Suomen tietosuojalain velvotteita, on varsin kaukana uusista säännöistä.

Parhaillaan tyrkytetään kaikista kanavista luentoa ja koulutusta tulevista muutoksista eli ensimmäinen rahastajaporras on herännyt.

Sitten kun paniikki ja shitstorm iskee kunnolla, nähdään kuinka kalliiksi tietosuoja lopulta tuleekaan. Tai siis varautumattomuus. Elämme mielenkiintoisia aikoja.
 
Henkilötietojesi käsittely Varmassa

Siinä vähän selontekoa työeläkeyhtiön käytännöistä. Työeläkeyhtiöissä kuitenkin säilötään tietoa ihan tajuttomia määriä.
Tuossa on käytännössä vain se asiakkaille näkyvä rekisteriselosteiden osuus. Todellinen selvitysten ja muutosten aiheuttama työmäärä on tuhatkertainen verrattuna tuollaisten pr-lippusten täyttämiseen verrattuna. Ja tuskinpa tuollakaan ollaan likimainkaan valmiita niiden muiden vaatimusten osalta.
 
Mitä tuosta piti nähdä? Sanoin että eun sisäiset on nyt yhdellä irkku firmalla halinnassa että saavat keskitetysti hoidetua ne eikä tartte tätä gdpr paskaa pyörittää useassa firmassa. Ja jos rikkovat jotain ja korvaukset on prosentteja liikevaihosta niin epäilen että tuon puljun liikevaihto on alle 100k€ vuodessa.
Olisikohan siinä viitattu siihen että myös Irlanti kuuluu Euroopan Unioniin? Irlanti ei ole edes eroamassa siitä brittien tavoin, joten sekään ei auta.

Alkuperäisessä kommentissasi olit sitä mieltä, että "Huawei lakkautti erilliset asiakasrekisterinsä EU:ssa" ja siirsivät ne Irlantiin (jonka et selvästikään tiennyt kuuluvan Euroopan Unioniin). Jos et tarkoittanutkaan sitä, niin sitten teksti ei vastannut ajatusta.

Sitä paitsi Huawei on Kiinalainen firma, joten voivat varmaan tarvittaessa kierrättää niitä rekistereitään sitäkin kautta, jos oikein innostuvat kikkailemaan. Siellä ei yksilönsuoja paljon paina.
 
Olisikohan siinä viitattu siihen että myös Irlanti kuuluu Euroopan Unioniin? Irlanti ei ole edes eroamassa siitä brittien tavoin, joten sekään ei auta.

Alkuperäisessä kommentissasi olit sitä mieltä, että "Huawei lakkautti erilliset asiakasrekisterinsä EU:ssa" ja siirsivät ne Irlantiin (jonka et selvästikään tiennyt kuuluvan Euroopan Unioniin). Jos et tarkoittanutkaan sitä, niin sitten teksti ei vastannut ajatusta.
Tarkoitin että "Huawei lakkautti erilliset asiakasrekisterinsä EU:ssa ja teki tytäryhtiön jolle antoi ne kaikki hoidettavaksi". Laitoin vain irlantiin lisäksi koska se lause vaikutti keskeneräiseltä kirjoitettuna noin koska tuosta voisi kuvitella että se tytäryhtiö olisi eu:n ulkopuolella eikä esimerkiksi irlannissa.
 
Kai GDPR on sorvattu ensisijaisesti Google, Facebook ym firmat mielessä jotka säilyttävät valtavia määriä dataa EU kansalaisista eivätkä suostu kertomaan mitä. Ja sakko sitten sen mukaan että nämäkin "joutuvat" asiaan perehtymään. Valtavalta byrokraattiselta sotkulta tuntuu ja asia varmaan selkenee vasta ensimmäisten oikeudenkäntien, jotka varmaan ovat pitkiä ja piinallisia (lakimiehille tuottoisia), jälkeen.

Suomessa taas tuntuu konsultit vipeltävän tulessa firmasta toiseen ja firmat turailee kuka mitäkin omiaan dokumentteja datoista, alkaen "meidän palvelin on Peran autotallissa Keravalla joten datat on suomessa ja kaikki säädökset täyttyy"
 
Sain tällaisen sähköpostin (pätkän) eräältä yritykseltä tähän liittyen:
Toukokuussa 2018 voimaan astuva EU:n tietosuojalaki edellyttää kirjallisen luvan kysymistä sähköpostimarkkinoinnin jatkamiseksi.

Te jotka olette tähän perehtyneet, pitääkö paikkansa?

Pääseekö siis vihdoin eroon kaikenmaailman roskapostittajista helposti? :rolleyes:
 
Ainakin Rimmer Bros kyseli lupaa säilyttää minut postituslistalla tänään.

Sain tällaisen sähköpostin (pätkän) eräältä yritykseltä tähän liittyen:


Te jotka olette tähän perehtyneet, pitääkö paikkansa?

Pääseekö siis vihdoin eroon kaikenmaailman roskapostittajista helposti? :rolleyes:
 
Kuinkas GDPR suhtautuu hash:eihin?

Esim blockchainit, kun data about muutamalla miljoonalla kovolla ympäri palloa...
 
Kuinkas GDPR suhtautuu hash:eihin?

Esim blockchainit, kun data about muutamalla miljoonalla kovolla ympäri palloa...

Henkilötiedosta kun on kyse eli kun kyseessä henkilötietoa niin tulee pystyä osoittamaan että voidaan hävittää eikä tallenneta turhaan. Eli poistetaan kun ei tarvita.

Oisko jossain materiaalia GDPR:stä lähinnä yhdistysten kannalta?

Mikäli yhdistyksessä on henkilötietoa, niin yhdistys tulisi tästä tietenkin kertoa mitä kerätään (tietosuojaseloste) ja miksi. Lisäksi tietysti vanhat rekisteritiedot tulisi poistaa kun ei niitä tarvita. Samalla tavalla kuin yrityksillä asiakasrekisteri käytännössä.

Materiaalista ei tietoa mutta soveltaen yrityksille suunnatut varmasti toimii ihan yhdistyksissäkin.
 
Lasketaankohan sähköpostiohjelmaan tallennetut sähköpostiosoitteet henkilörekisteriksi?
 
Lasketaankohan sähköpostiohjelmaan tallennetut sähköpostiosoitteet henkilörekisteriksi?

Sähköpostiosoite itsestään ei varmaan luo rekisteriä mutta mikäli siis sielä enemmän tietoja niin voihan sitäkin luetella jollakin tapaa henkilörekisteriksi... Mutta ehkä joku järki hommaan että ei tätä ihan pilkun viilaukseksi kannata lähteä tekemään. Ei siitäkään mitään tule.

Pelkkä sähköpostiosoite ei minusta luo isoa rekisteriä mutta tokihan siinä voidan samantien päätellä usein etunimi.sukunimi yhdistelmästä nimi + sukupuoli yms...
 
Sähköpostiosoite itsestään ei varmaan luo rekisteriä mutta mikäli siis sielä enemmän tietoja niin voihan sitäkin luetella jollakin tapaa henkilörekisteriksi... Mutta ehkä joku järki hommaan että ei tätä ihan pilkun viilaukseksi kannata lähteä tekemään. Ei siitäkään mitään tule.

Pelkkä sähköpostiosoite ei minusta luo isoa rekisteriä mutta tokihan siinä voidan samantien päätellä usein etunimi.sukunimi yhdistelmästä nimi + sukupuoli yms...

Henkilötieto: Kaikki sellainen tieto, jolla voidaan tunnistaa ja yksilöidä henkilöitä. Näitä tietoja ovat muun muassa nimi, osoite, henkilötunnus, sähköpostiosoite sekä verkkotunnistetiedot.

Noin ainakin lukee hyvin monessa tietosuoja-asetus / gdpr sivustoilla, joten tuon perusteella kyllä sähköpostiosoite on henkilötietoa..
 
Henkilötieto: Kaikki sellainen tieto, jolla voidaan tunnistaa ja yksilöidä henkilöitä. Näitä tietoja ovat muun muassa nimi, osoite, henkilötunnus, sähköpostiosoite sekä verkkotunnistetiedot.

Noin ainakin lukee hyvin monessa tietosuoja-asetus / gdpr sivustoilla, joten tuon perusteella kyllä sähköpostiosoite on henkilötietoa..

Kyllä se tosiaan on henkilötietoa mikäli voidaan suoraan tai epäsuorasti yhdistää. Parempi sanoa että on henkilötietoa tällöin ettei joudu ongelmiin. Toisaalta kaikki sähköpostiosoitteet eivät liity henkilöön esim info (at) example.org tyyliset osotteet. Se on vähän hämärää monessa tapauksessa.
 
Seinäjoen Energiallakin näköjään herätty tähän, portal palvelussa mistä voi katsella laskuja, kulutus lukemia ynnämuuta
upload_2018-4-25_14-21-17.png
 
Mites muuten tälläisessa tapauksessa kun "rekisteröimätön aatteellinen yhdistys" kerää jäsentietoja niin kuka siellä on vastuussa jäsentiedoista?
 
Mitenkä pitäisi toimia sähköpostilistojen kanssa? Osa firmoista on laittanut mailia, että jos et hyväksy ehtoja, niin sinut poistetaan listoilta.
 
Mites muuten tälläisessa tapauksessa kun "rekisteröimätön aatteellinen yhdistys" kerää jäsentietoja niin kuka siellä on vastuussa jäsentiedoista?
Säätiön tulee nimetä vastuuhenkilö/tietosuojavastaava (en muista oliko tuo se virallinen titteli mikä tulee nimetä kun pääasiassa englanniksi asia ollut esillä) - muutenkin vaatimuksiin tulee vastata ihan samalla tavalla kuin muidenkin tahojen, jotka henkilötietoja käsittelevät (ilmoitusvelvollisuus, luvat tiedonkeruusta jne.)
 
Mitenkä pitäisi toimia sähköpostilistojen kanssa? Osa firmoista on laittanut mailia, että jos et hyväksy ehtoja, niin sinut poistetaan listoilta.
Onhan tuokin keino pyytää suostumus :D. Enemmän olisin huolissani niistä jotka tuollaista eivät edes tuolla tasolla ole hyväksyntää hakeneet.
 
Miten muuten tavalliset yksityishenkilön kotisivut ja gdpr ?

Mietin vaan kun itselläkin tainnut jäädä vanhat sivut jonnekkin palvelimen kulmalle, niin pitääkö ottaa alas kaiken varalta?

Omilla sivuilla ei siis käsitellä henkilötietoja, mutta aika monella käsitellään, esim vieraskirja, palautelomake jne. Niin jos jollakin yksityishenkilöllä olisi kotisivuilla joku vieraskirja systeemi, eikä päivittäisi tätä mitenkään, niin voisiko tälle henkilölle tulla ongelmia gdpr kautta?

Entäs sit se keksihomma? Kun eikö nykyään pidä kertoa kekseistäkin?

Onneksi itsellä yksinkertaiset html sivut niin ei ongelmaa, mutta paljon on kysymysmerkkejä ilmassa erilaisten amatöörisivujen suhteen
 
Miten muuten tavalliset yksityishenkilön kotisivut ja gdpr ?

Mietin vaan kun itselläkin tainnut jäädä vanhat sivut jonnekkin palvelimen kulmalle, niin pitääkö ottaa alas kaiken varalta?

Omilla sivuilla ei siis käsitellä henkilötietoja, mutta aika monella käsitellään, esim vieraskirja, palautelomake jne. Niin jos jollakin yksityishenkilöllä olisi kotisivuilla joku vieraskirja systeemi, eikä päivittäisi tätä mitenkään, niin voisiko tälle henkilölle tulla ongelmia gdpr kautta?

Entäs sit se keksihomma? Kun eikö nykyään pidä kertoa kekseistäkin?

Onneksi itsellä yksinkertaiset html sivut niin ei ongelmaa, mutta paljon on kysymysmerkkejä ilmassa erilaisten amatöörisivujen suhteen

GDPR ei koske yksityishenkilöitä. Mutta on hyvä on silti tiedottaa sivuston vierailijoita että kyseessä on yksityisen ylläpitämä sivu ja mikäli kerää tietoa on hyvä kertoa. Näin olen kertonut omasta kuusitunneli.fi palvelustani, joka on henkilökohtainen. Tajusin muuten että Rekisteriseloste pitää muuttaa tietosuojaselosteeksi itselläkin ja hieman päivittää :)

Evästeistä on pitänyt kertoa jo kauan ja mihin sitä käytetään. Entistä tarkemmin nyt tulisi kertoa ja on hyvän tavan mukaista kertoa avoimesti mihin tietoa käytetään sivustolla.

--

Useimmat pienet yritykset eivät tule tajuamaan mitä tietoja sivusto kerää. Tämä on ihan normaalia.
 
GDPR ei koske yksityishenkilöitä. Mutta on hyvä on silti tiedottaa sivuston vierailijoita että kyseessä on yksityisen ylläpitämä sivu ja mikäli kerää tietoa on hyvä kertoa. Näin olen kertonut omasta kuusitunneli.fi palvelustani, joka on henkilökohtainen. Tajusin muuten että Rekisteriseloste pitää muuttaa tietosuojaselosteeksi itselläkin ja hieman päivittää :)
Offtopic:
Kyseessä voi olla yksityinen sivusto, mutta koska tulit sitä täällä mainostaneeksi, niin mainittakoon että kannattaa keskittyä hieman enemmän kielenhuoltoon ja oikolukuun. Laskin pelkästään aloitussivulta 8 kirjoitusvirhettä ja 3 tarpeetonta täytesanaa tai muuta korjattavaa kohtaa.

Evästeistä on pitänyt kertoa jo kauan ja mihin sitä käytetään. Entistä tarkemmin nyt tulisi kertoa ja on hyvän tavan mukaista kertoa avoimesti mihin tietoa käytetään sivustolla.
Evästeistä pitää tosiaan kertoa hieman toteutuksesta riippuen, mutta jostain ihmeen syystä useimmat kotimaisetkin palvelut edellyttävät jonkin ärsyttävän sisältöä peittävän popupin tai vastaavan statusbarin klikkaamista, vaikka mitään sellaista typeryyttä ei meillä edellytetäkään.

Viestintävirasto - Evästeet
Suomessa evästeistä tiedottamista tai niiden hyväksymistä varten ei vaadita erillistä ponnahdusikkunaa. Evästekäytännöt on kuitenkin mainittava verkkosivuilla niin, että käyttäjän on mahdollista saada niistä lisätietoa.

Tulkintakäytäntö vaihtelee valtioittain. Ulkomaisissa palveluissa evästeitä saatetaankin kysyä sivustokohtaisesti.

Evästeistä ei tarvitse tiedottaa,
  • jos niiden ainoana tarkoituksena on toteuttaa viestin välittäminen teknisesti
  • jos niiden ainoana tarkoituksena on helpottaa palvelun käyttöä tai
  • jos käyttäjä on pyytänyt evästeiden käyttöön perustuvaa palvelua (esimerkiksi verkkopankkipalvelut).
 
Offtopic:
Kyseessä voi olla yksityinen sivusto, mutta koska tulit sitä täällä mainostaneeksi, niin mainittakoon että kannattaa keskittyä hieman enemmän kielenhuoltoon ja oikolukuun. Laskin pelkästään aloitussivulta 8 kirjoitusvirhettä ja 3 tarpeetonta täytesanaa tai muuta korjattavaa kohtaa.


Evästeistä pitää tosiaan kertoa hieman toteutuksesta riippuen, mutta jostain ihmeen syystä useimmat kotimaisetkin palvelut edellyttävät jonkin ärsyttävän sisältöä peittävän popupin tai vastaavan statusbarin klikkaamista, vaikka mitään sellaista typeryyttä ei meillä edellytetäkään.

Viestintävirasto - Evästeet

Juu - ei olo suomenkieli parhaimmillaan - kiitos paljon palautteesta.

Evästiessä on suostusmus pyydettävä sivustolla ja tiedotettava. Kyllä se jonkinlaisena dialogina vaan ilmoitettava tai jossakin selkeästi. Missä käyttäjä hyväksyy ne... Periaatteessa pitäisi saada kiellettyäkin ne.
 
Evästiessä on suostusmus pyydettävä sivustolla ja tiedotettava. Kyllä se jonkinlaisena dialogina vaan ilmoitettava tai jossakin selkeästi. Missä käyttäjä hyväksyy ne... Periaatteessa pitäisi saada kiellettyäkin ne.
Edellisessä viestissä juuri linkitin viestintäviraston sivulle, jossa todetaan ihan suoraan että "Suomessa evästeistä tiedottamista tai niiden hyväksymistä varten ei vaadita erillistä ponnahdusikkunaa. Evästekäytännöt on kuitenkin mainittava verkkosivuilla niin, että käyttäjän on mahdollista saada niistä lisätietoa".

Finlexissä asia on kuvattu hieman eri tavalla, joten pitäisi varmaan pyytää viestintävirastoa selkeyttämään tuota ohjetta perusteluiden kanssa.
 

Statistiikka

Viestiketjuista
261 296
Viestejä
4 534 279
Jäsenet
74 783
Uusin jäsen
subs

Hinta.fi

Back
Ylös Bottom