EU:n Yleinen tietosuoja-asetus / General Data Protection Regulation (GDPR)

[JHMK]

Miten nuo evästeet sitten, jos on tylsät staattiset sivut jotka ei hyödynnä evästeitä mihinkään, niin mitä kerrottavaa evästeistä on?

Paitsi että... tuli mieleen että itselläkin on ollut about aina Google Analytics lisäkilke sivun koodissa, ja tästä ei kerrota sivulla missään. Tämä lienee tuota gdpr mukaista tiedonkeruuta. Kuvitellaampa skenaario että henkilö a:lla on nettisivut joissa Google Analytics. Tästä ei mainita sivuilla mitään. Henkilö b huomaa tämän koodista ja ottaa yhteyttä sivuston omistajaan pyytääkseen tietojaan. Omistaja a laittaa emailin roskakoriin. Kuukauden päästä b haasta a:n oikeuteen. Mitä tämän jälkeen tapahtuu? Kuinka pitkäksi aikaa tulee linnaa tästä hirveästä rikoksesta

Yrityksillähän oli se max 20miljoonaa tai 4% liikevaihdosta. Mutta entä yksityisellä?

 

[Kautium]

Miten nuo evästeet sitten, jos on tylsät staattiset sivut jotka ei hyödynnä evästeitä mihinkään, niin mitä kerrottavaa evästeistä on?

Tuon pari viestiä aiemman linkin takaa löytyy se viestintäviraston ohje, josta asia selviää -->

Evästeistä ei tarvitse tiedottaa,

• jos niiden ainoana tarkoituksena on toteuttaa viestin välittäminen teknisesti
• jos niiden ainoana tarkoituksena on helpottaa palvelun käyttöä tai
• jos käyttäjä on pyytänyt evästeiden käyttöön perustuvaa palvelua (esimerkiksi verkkopankkipalvelut).

Paitsi että... tuli mieleen että itselläkin on ollut about aina Google Analytics lisäkilke sivun koodissa, ja tästä ei kerrota sivulla missään. Tämä lienee tuota gdpr mukaista tiedonkeruuta. Kuvitellaampa skenaario että henkilö a:lla on nettisivut joissa Google Analytics. Tästä ei mainita sivuilla mitään. Henkilö b huomaa tämän koodista ja ottaa yhteyttä sivuston omistajaan pyytääkseen tietojaan. Omistaja a laittaa emailin roskakoriin. Kuukauden päästä b haasta a:n oikeuteen. Mitä tämän jälkeen tapahtuu? Kuinka pitkäksi aikaa tulee linnaa tästä hirveästä rikoksesta

Yrityksillähän oli se max 20miljoonaa tai 4% liikevaihdosta. Mutta entä yksityisellä?

Luetteko te näitä viestejä lainkaan? GDPR ei koske yksityishenkilöitä.

GDPR koskettaa sekä EU:n sisäisiä, että ulkopuolisia yrityksiä, jotka käsittelevät EU-alueella olevien ihmisten henkilötietoja.

 

[JHMK]

Luetteko te näitä viestejä lainkaan? GDPR ei koske yksityishenkilöitä.

Ahaa, selvä juttu. Olkitu ylempänä vaan kertoi että on hyvä sitä tätä tuota, niin siitä jatkoin.


Mielenkiintoisenhan tuo 'ei koske yksityishenkilöitä' tekee et entäs sit just jos joku pyörittää foorumia harrastuksena. Viimekädessä asia ratkaistaisi kai oikeudessa että voiko yksityishenkilö olla vastuussa pyörittämänsä saitin gdpr asioista.

 

[olkitu]

Ahaa, selvä juttu. Olkitu ylempänä vaan kertoi että on hyvä sitä tätä tuota, niin siitä jatkoin.


Mielenkiintoisenhan tuo 'ei koske yksityishenkilöitä' tekee et entäs sit just jos joku pyörittää foorumia harrastuksena. Viimekädessä asia ratkaistaisi kai oikeudessa että voiko yksityishenkilö olla vastuussa pyörittämänsä saitin gdpr asioista.

Minusta lähtökohtaisesti yksityisenäkin sovellan GDPR:ää niin että huolehdin kaikista tallennetuista tiedoista ja tietoturvasta. GDPR ei ole pelkkää lakitekstiä vaan yleisesti tapa toimia. Ei sitä sanktiotakaan saa oikeasti mistään lakitekstivirheestä sivuilla tai ilmoittamatta jäämisestä. Varmasti tulee sanomista, mutta tärkeintä on huolehtia että kerätty tieto on suojattu tarpeeksi hyvin ja mikäli tietoturvaloukkaus tulisi on todella hyvä ilmoittaa siitä käyttäjille ketä tietoturvaloukkaus koskee, jotta voivat suojata tietonsa.

Eli ei kannata tätä ottaa ongelmana, vaan yleisenä hyötynä kaikille.

Sitten kun nämä perusteet on kunnossa kerrotaan mielellään avoimesti mitä tehdään näillä kerätyillä tiedoilla jne...

 

[HarhaanJohtaja]

Mä oon ihan ulkona tän tietosuoja-asetuksen kanssa. Meidän firmalle tulee esim. tietoja meidän asiakaiden henkilöstöstöstä. Voi sisältää palkkatietoja, sotuja ja yms. Jos mä saan vaikka jonkun 10 000 tiedoston paketin jostain yrityksestä. Ja siellä voi olla jossain seassa sen firman työntekijöiden henkilötietoja ja vastaavia. Ja myös tulee kaikeinlaisia nimilistoja.

Pitääkö miedän käyttää aivan helvetisti aikaa näiden tietojen etsimiseen, jos siellä sattuu olemaan näitä tietoja, ja tehdä vielä jotain rekistereitä ehkä kymmenistä tuhansista ihmisistä, jos me halutaan säilyttää nämä tiedostot? Aivan kaikkea tietoa ei voida poistella, mitä saadaan sen jälkeen kun työ on tehty.

Ja jos esimerkiksi meillä on meidän asiakkaiden henkilöstön työsopimuksia ja vastaavia, niin pitääkö niistäkin laatia joku rekisteri?

 

[TheMeII]

Mä oon ihan ulkona tän tietosuoja-asetuksen kanssa. Meidän firmalle tulee esim. tietoja meidän asiakaiden henkilöstöstöstä. Voi sisältää palkkatietoja, sotuja ja yms. Jos mä saan vaikka jonkun 10 000 tiedoston paketin jostain yrityksestä. Ja siellä voi olla jossain seassa sen firman työntekijöiden henkilötietoja ja vastaavia. Ja myös tulee kaikeinlaisia nimilistoja.

Pitääkö miedän käyttää aivan helvetisti aikaa näiden tietojen etsimiseen, jos siellä sattuu olemaan näitä tietoja, ja tehdä vielä jotain rekistereitä ehkä kymmenistä tuhansista ihmisistä, jos me halutaan säilyttää nämä tiedostot? Aivan kaikkea tietoa ei voida poistella, mitä saadaan sen jälkeen kun työ on tehty.

Ja jos esimerkiksi meillä on meidän asiakkaiden henkilöstön työsopimuksia ja vastaavia, niin pitääkö niistäkin laatia joku rekisteri?

Juu. Kuka teillä on gdpr vastaava?

Myös teidän asiakasyritysten pitää pitää kirjaa tiedoista mitä teille luovutetaan ja mohdollisesti puhdistaa niitä jos niissä on jotain mikä ei teille kuulu.

 

[Kautium]

Minusta lähtökohtaisesti yksityisenäkin sovellan GDPR:ää niin että huolehdin kaikista tallennetuista tiedoista ja tietoturvasta.

Ihan kiva ja näin toki soisi kaikkien toimivan muutenkin. Nyt on kyse kuitenkin siitä mihin GDPR ja henkilötietolaki velvoittaa ja ketä.

Jos tarkkoja ollaan, niin eihän GDPR itse asiassa edes tuo sanktioiden lisäksi mitään kovin suuria muutoksia siihen mitä henkilötietolaki edellyttää jo nyt.

Mä oon ihan ulkona tän tietosuoja-asetuksen kanssa. Meidän firmalle tulee esim. tietoja meidän asiakaiden henkilöstöstöstä. Voi sisältää palkkatietoja, sotuja ja yms. Jos mä saan vaikka jonkun 10 000 tiedoston paketin jostain yrityksestä. Ja siellä voi olla jossain seassa sen firman työntekijöiden henkilötietoja ja vastaavia. Ja myös tulee kaikeinlaisia nimilistoja.

Pitääkö miedän käyttää aivan helvetisti aikaa näiden tietojen etsimiseen, jos siellä sattuu olemaan näitä tietoja, ja tehdä vielä jotain rekistereitä ehkä kymmenistä tuhansista ihmisistä, jos me halutaan säilyttää nämä tiedostot? Aivan kaikkea tietoa ei voida poistella, mitä saadaan sen jälkeen kun työ on tehty.

Ja jos esimerkiksi meillä on meidän asiakkaiden henkilöstön työsopimuksia ja vastaavia, niin pitääkö niistäkin laatia joku rekisteri?

Haiskahtaa vähän siltä, että teillä ei noudateta nykyistäkään henkilötietolakia, mutta siis tiivistetysti homma menee niin että saatte kerätä ja säilyttää vain niitä tietoja mitä perustellusti asiakkaista ja yhteistyökumppaneista tarvitsette (ja minkä laki mahdollistaa) ja tietosuojaselosteet pitää löytyä kaikista rekistereistä.

EU:n tietosuojauudistus - Tietosuojavaltuutettu

Tietosuoja-asetukseen valmistautuminen
Valmistautuessasi tietosuoja-asetukseen:

1. Selvitä, pitääkö organisaatioosi nimittää tietosuojavastaava.

2. Selvitä, miten organisaatiossasi käsitellään henkilötietoja. Käy läpi kaikki henkilötietojen käsittelyn vaiheet keräämisestä hävittämiseen ja dokumentoi ne. Varmista, että organisaatiosi noudattaa nykyisin sovellettavaa henkilötietolakia.

3. Selvitä, millä perusteella organisaatiosi käsittelee henkilötietoja. Henkilötietojen käsittelylle on oltava aina laista löytyvä peruste.

4. Arvioi, millaisia riskejä henkilötietojen käsittelyyn liittyy organisaatiossasi. Selvitä, miten riskejä voitaisiin minimoida. Ryhdy toimenpiteisiin, jotka vastaavat henkilötietojen käsittelyyn liittyvää riskiä. Esimerkiksi silloin, kun henkilötietojen käsittelyyn kohdistuu todennäköisesti korkea riski, on rekisterinpitäjän tehtävä tietosuojaa koskeva vaikutustenarviointi.

5. Selvitä, miten organisaatiosi noudattaa tietosuoja-asetuksessa määriteltyjä rekisteröityjen oikeuksia. Selvitä myös, miten rekisteröityjen pyyntöihin tällä hetkellä vastataan. Päivitä prosessit tietosuoja-asetuksen vaatimusten mukaisiksi.

6. Huolehdi tietoturvasta. Valmistaudu ilmoittamaan henkilötietojen tietoturvaloukkauksista.

7. Varmista, että toimeksiantosopimukset vastaavat asetuksessa säädettyjä ehtoja, jos organisaatiosi on ulkoistanut henkilötietojen käsittelyyn liittyviä tehtäviä. Ota tietosuoja-asetus huomioon myös muissa sopimuksissa ja hankinnoissa.

8. Määrittele johtava valvontaviranomainen, jos organisaatiosi toimii usean EU:n jäsenmaan alueella.

9. Selvitä, miten organisaatiosi on huomioitava lasten erityisasema. Jatkossa lapsi tarvitsee huoltajan tai muun vanhempainvastuunkantajan suostumuksen tai valtuutuksen tietoyhteiskunnan palveluiden käyttöön. Suomessa ikäraja ei ole vielä selvillä, mutta se on vähintään 13 ja enintään 16 vuotta.

 

[HarhaanJohtaja]

Haiskahtaa vähän siltä, että teillä ei noudateta nykyistäkään henkilötietolakia, mutta siis tiivistetysti homma menee niin että saatte kerätä ja säilyttää vain niitä tietoja mitä perustellusti asiakkaista ja yhteistyökumppaneista tarvitsette (ja minkä laki mahdollistaa) ja tietosuojaselosteet pitää löytyä kaikista rekistereistä.

EU:n tietosuojauudistus - Tietosuojavaltuutettu

Sitä en tiedä noudatetaanko, mutta siis jos leikitään, että meillä on vaikka Yhtiön Möröbbs Oy:n(ja vaikka 1 000 muun yrityksen) Myyntisaamisluettelo 31.12.2017 ja siinä on vaikka 500 000 nimeä? Meidän pitää laittaa nää kaikki ihmiset johonkin rekisteriin, jos me halutaan säilyttää se, koska ei me muuten voida tietää, että sellainen tieto meillä on noista ihmisistä? Jos mä huomaan siitä, että vaikka henkilö Zamba Zurri on velkaa Möröbbs Oy:lle 100 000 euroa ja eräpäivä on mennyt jo vuosia sitten, niin mun on pakko kirjata tämä jotenkin koneelle. Eli tässä tapauksessa mun pitää laitta tää johonkin erilliseen rekisteriin, että Zamba Zurrin on velkaa Möröbbs Oy:lle? Sitten meillä on vaikka myös Möröbbs Oy:n osakeluettelo, jossa on miljoona nimeä ja nämäkin pitää kerätä johonkin rekisteriin, jos sen haluaa säilyttää?

Peiaateessa nämä voisi poistaa(paitsi muistiinpanoni(jota en voi useaan vuoteen poistaa) töistä, joka ilmeisesti voi muodostaa henkilörekisterin), kun työ saatu tehtyä, mutta vosii hankaloitata työntekoa.

Miten erottelen kaikki Matti Meikäläiset toisistaan näissä rekistereissä? Jos mä päätän tehdä tollaisen hullun rekisterin. Vai voinko edes tehdä tuollaisia rekistereitä?

Ja leikitään, että meillä olisi vaikka nämä rekisterit, joissa vaikka miljoonia nimiä ja meidät hakkeroitaisiin. Pitääkö meidän ilmoittaa näille kaikille ihmisille, että joo meidät hakkeroitiin ja meillä oli tietona, että omistat Möröbbs Oy:tä? Ei ole mitenkään mahdollista selvittää näiden osoitetietoja.

Voiko Zamba Zurri sanoa meille, että unohtakaa hänen tietonsa? Mä en voi ainakaan tehdä sitä lain mukaan useaan vuoteen.

 

[Kautium]

Sitä en tiedä noudatetaanko, mutta siis jos leikitään, että meillä on vaikka Yhtiön Möröbbs Oy:n(ja vaikka 1 000 muun yrityksen) Myyntisaamisluettelo 31.12.2017 ja siinä on vaikka 500 000 nimeä? Meidän pitää laittaa nää kaikki ihmiset johonkin rekisteriin, jos me halutaan säilyttää se, koska ei me muuten voida tietää, että sellainen tieto meillä on noista ihmisistä? Jos mä huomaan siitä, että vaikka henkilö Zamba Zurri on velkaa Möröbbs Oy:lle 100 000 euroa ja eräpäivä on mennyt jo vuosia sitten, niin mun on pakko kirjata tämä jotenkin koneelle. Eli tässä tapauksessa mun pitää laitta tää johonkin erilliseen rekisteriin, että Zamba Zurrin on velkaa Möröbbs Oy:lle? Sitten meillä on vaikka myös Möröbbs Oy:n osakeluettelo, jossa on miljoona nimeä ja nämäkin pitää kerätä johonkin rekisteriin, jos sen haluaa säilyttää?

Peiaateessa nämä voisi poistaa(paitsi muistiinpanoni(jota en voi useaan vuoteen poistaa) töistä, joka ilmeisesti voi muodostaa henkilörekisterin), kun työ saatu tehtyä, mutta vosii hankaloitata työntekoa.

Miten erottelen kaikki Matti Meikäläiset toisistaan näissä rekistereissä? Jos mä päätän tehdä tollaisen hullun rekisterin. Vai voinko edes tehdä tuollaisia rekistereitä?

Ja leikitään, että meillä olisi vaikka nämä rekisterit, joissa vaikka miljoonia nimiä ja meidät hakkeroitaisiin. Pitääkö meidän ilmoittaa näille kaikille ihmisille, että joo meidät hakkeroitiin ja meillä oli tietona, että omistat Möröbbs Oy:tä? Ei ole mitenkään mahdollista selvittää näiden osoitetietoja.

Voiko Zamba Zurri sanoa meille, että unohtakaa hänen tietonsa? Mä en voi ainakaan tehdä sitä lain mukaan useaan vuoteen.

Tarpeettomia tietoja ei saa kerätä eikä säilyttää, mutta jos jollekin kerätylle tiedolle löytyy perustelu ja sitä tarvitaan yritystoiminnassa, niin sitten ne voi toki säilyttää, kunhan tekee rekisteriselosteen (tai siis tietosuojaselosteen) ja huolehtii asianmukaisesta tietoturvasta tietojen säilyttämisessä ja käsittelyssä.

Jos joku toinen laki edellyttää kerättyjen tietojen säilyttämistä x vuotta, niin ei GDPR mitenkään maagisesti mene sen yli, eikä kukaan voi myöskään tulla vaatimaan tietojensa poistoa tällaisessa tapauksessa. Tai voi, mutta sille pyynnölle voi sanoa että ime parsaa.

 

[JHMK]

Tarpeettomia tietoja ei saa kerätä eikä säilyttää

Tämäkin on taas täysin suhteellinen käsite. Ajatelkaas joku K-plussa tai S-etukortti tai vaikka pankkisi. Tod näk ne tallentaa kaiken mitä vaan suinkin kykenevät tallentamaan.

Joku oli tilannut tietonsa K-plussalta, niin sieltä tuli 58 sivua tekstiä. He mmm tekevät sinun ostohistorian perusteella kuukausittaisen arvion oletko sinkku/dinkku vai lapsiperhe. Tästä voisi olla monta mieltä onko tämä tarpeellinen vai tarpeeton tieto. Loppupeleissä kai hovioikeudessa asia katsottaisiin.

 

[Kautium]

Tämäkin on taas täysin suhteellinen käsite. Ajatelkaas joku K-plussa tai S-etukortti tai vaikka pankkisi. Tod näk ne tallentaa kaiken mitä vaan suinkin kykenevät tallentamaan.

Joku oli tilannut tietonsa K-plussalta, niin sieltä tuli 58 sivua tekstiä. He mmm tekevät sinun ostohistorian perusteella kuukausittaisen arvion oletko sinkku/dinkku vai lapsiperhe. Tästä voisi olla monta mieltä onko tämä tarpeellinen vai tarpeeton tieto. Loppupeleissä kai hovioikeudessa asia katsottaisiin.

Mutta kannattaa huomata, että ennen kuin mitään tietoja on kerätty, on käyttäjältä kysytty siihen lupa.

Mikään metallipaja ei voi laillisesti kerätä ja säilöä tietoa viereisen R-Kioskin asiakkaista jne, kun ei sille yksinkertaisesti ole mitään perustetta.

GDPR auttaa tässäkin mm. juuri siinä, että näiden tulee tehdä tietosuojaseloste, jossa kerrotaan mitä kerätään. Ikävä puoli on siinä että sen sisältö voi olla kohtuullisen ympäripyöreää sananhelinää.

 

[leffo]

Vähän ihmetyttää että porukka jaksaa tuollaisia veivata. Onhan yksityisyys kiva asia mutta se on nykypäivänä ihan toisenlainen juttu kuin 20 vuotta sitten.

Tää GDPR on mulle lähinnä tuonut vain hitosti turhaa postia eri palveluista. Ihan niinkuin mulla olisi mitään realistista mahdollisuutta katsoa noiden kaikkien GDPR sääntöihin ja miettiä miten ne soveltuvat minuun ja onko kaikki OK. Ja kuitenkin FB ja Google keräävät kaiken mahdollisen tiedon ja hämärimmän touhun ne varmasti pyrkii naamioimaan viattomampana kuin mitä se on, kunhan nimellisesti toimivat soveltuvan lain mukaan.(siis yrittäen välttää julkista painetta epämääräisimmän toiminnan osalta)

 

[Lexy]

*snip*

GDPR koskettaa sekä EU:n sisäisiä, että ulkopuolisia yrityksiä, jotka käsittelevät EU-alueella olevien ihmisten henkilötietoja.

Korjataan sen verran, että ei koske vain yrityksiä vaan myös erinäisiä tahoja kuten yhdistykset, säätiöt ja muutkin voittoa tavoittelemattomat organisaatiot.

edit. ja pointtina miksi nostin on se, että turhan usein (enkä peilaa nyt viestiisi) GDPR kuvitellaan koskevaksi vain sellaisia tahoja, jotka hakevat liiketoiminnallistahyötyä henkilötiedosta.

 

[runboy93]

Sähköposti tukossa kun tullut niin paljon noita viestejä eri paikoista liittyen tähän muutokseen D:

 

[Kautium]

Korjataan sen verran, että ei koske vain yrityksiä vaan myös erinäisiä tahoja kuten yhdistykset, säätiöt ja muutkin voittoa tavoittelemattomat organisaatiot.

edit. ja pointtina miksi nostin on se, että turhan usein (enkä peilaa nyt viestiisi) GDPR kuvitellaan koskevaksi vain sellaisia tahoja, jotka hakevat liiketoiminnallistahyötyä henkilötiedosta.

Ihan ok huomautus. Tuossa aiemmassa oli pointtina kuitenkin se että GDPR ei koske yksityishenkilöitä, niin tuli hieman liian suoraviivaisesti oikaistua sitä eroa.

 

[Kautium]

Vähän ihmetyttää että porukka jaksaa tuollaisia veivata. Onhan yksityisyys kiva asia mutta se on nykypäivänä ihan toisenlainen juttu kuin 20 vuotta sitten.

Päinvastoin, yksityisyys on tänä päivänä paljon tärkeämpi asia kuin joskus 20v sitten internetin alkuaikoina. Silloin aikoinaan tietovuodot olivat pahimmillaankin paikallisia, mutta nyt kyse on tavalliselle tallaajallekin helposti globaalista ongelmasta.

GDPR:n idea on suojata juuri sitä tavallista tallaajaa, samalla kun se mahdollistaa yritysten toiminnan aiempaa selkeämmissä raameissa. Ei ole tarkoituskaan, että jokainen itse selvittelee missä ja miten omia tietoja on saatavilla, vaan että niiden tietojen haltijat käsittelevät niitä riittävällä huolellisuudella ja että halutessaan jokainen voi poistattaa tietonsa eri rekistereistä, oletettaen ettei sitä mikään muu pykälä estä.

Sähköposti tukossa kun tullut niin paljon noita viestejä eri paikoista liittyen tähän muutokseen D:

I call bullshit. Sen verran harva yritys on markkinointinsa puolesta lupia kysellyt, että se viestintä ei varmasti ole ongelma kenellekään millään tasolla.

 

[JHMK]

I call bullshit. Sen verran harva yritys on markkinointinsa puolesta lupia kysellyt, että se viestintä ei varmasti ole ongelma kenellekään millään tasolla.

Sellaiset ~7kpl tullut itsellekin jo 'spämmiä' liittyen GDPR.

 

[Kautium]

Sellaiset ~7kpl tullut itsellekin jo 'spämmiä' liittyen GDPR.

Ja "postilaatikko on tukossa"? OK.

 

[sm81]

Mites ukko.fin asiakkaani? Täytyykö lähteä lähettämään kyselyä? Asiakkaita siis alle 10

 

[afroilee]

Ihan ok huomautus. Tuossa aiemmassa oli pointtina kuitenkin se että GDPR ei koske yksityishenkilöitä, niin tuli hieman liian suoraviivaisesti oikaistua sitä eroa.

Eikös asetus suoraan koske myös yksityishenkilöitä?
Eli jos keräät dataa, jota et käytä henkilökohtaisessa tai kotitaloutta koskevassa toiminnassa.

Vai onko jossain kohdassa asetuksessa muutoin sanottu, ja mennyt ohi?

Spoileri

2. Tätä asetusta ei sovelleta henkilötietojen käsittelyyn,

c) jonka luonnollinen henkilö suorittaa yksinomaan henkilökohtaisessa tai kotitalouttaan koskevassa toiminnassa;

 

[Kautium]

Eikös asetus suoraan koske myös yksityishenkilöitä?
Eli jos keräät dataa, jota et käytä henkilökohtaisessa tai kotitaloutta koskevassa toiminnassa.

Vai onko jossain kohdassa asetuksessa muutoin sanottu, ja mennyt ohi?

Spoileri

2. Tätä asetusta ei sovelleta henkilötietojen käsittelyyn,

c) jonka luonnollinen henkilö suorittaa yksinomaan henkilökohtaisessa tai kotitalouttaan koskevassa toiminnassa;

Mitä yleinen tietosuoja-asetus kattaa?

Asetuksella (EU) 2016/679, joka on Euroopan unionin ('EU') uusi yleinen tietosuoja-asetus ('yleinen tietosuoja-asetus')1, säädetään siitä, miten yksityiset henkilöt, yritykset ja organisaatiot käsittelevät henkilötietoja EU:ssa.

Sitä ei sovelleta vainajien tai oikeushenkilöiden henkilötietojen käsittelyyn.

Sääntöjä ei sovelleta, jos yksityishenkilö käsittelee henkilötietoja yksinomaan henkilökohtaisiin tarkoituksiin tai omassa kotitaloudessaan eikä käsittely liity ammatilliseen tai kaupalliseen toimintaan. Kun yksityishenkilö käsittelee henkilötietoja yksityiselämän ulkopuolella esimerkiksi kulttuuri- tai rahoitustoiminnassa, tietosuojalainsäädäntöä on noudatettava.

Vaan eipä siinä, olisihan se huvittavaa jos tavan tallaajien pitäisi alkaa tuottamaan tietosuojaselosteita kaikkien saataville mm. puhelimiensa osoiteluetteloista jne. Jossakin lestaperheessa tietomäärät olisivat sitä luokkaa, että pitäisi nimetä tietosuojavastaavakin.

 

[afroilee]

Mitä yleinen tietosuoja-asetus kattaa?



Vaan eipä siinä, olisihan se huvittavaa jos tavan tallaajien pitäisi alkaa tuottamaan tietosuojaselosteita kaikkien saataville mm. puhelimiensa osoiteluetteloista jne. Jossakin lestaperheessa tietomäärät olisivat sitä luokkaa, että pitäisi nimetä tietosuojavastaavakin.

Tuohan on ollut jo ennen asetuta, eikä tosiaan siihen myöskään nyt asetus vaikuta.

Enemmän tarkoitan mm. yllämainitun kuusitunnelin kaltaista palvelua, jossa yksityinen henkilö ylläpitää jotakin palvelua tai vastaavaa, joka ei yksinomaan silloin ole henkilökohtaista tai kotitaloutta koskevaa toimintaa.
Silloinhan yksityishenkilön pitäisi noudattaa asetusta?

 

[Tomak89]

Bussissa meinasi tulla käsirysy, kun keski-ikäinen suomalainen mies otti valokuvaa maisemasta ja joku nigerialainen sitten hermostui, kun kamera ehkä osoitti vähän sinnepäin.
"What you doing, we're in Europe! New law soon, don't take photograph of me! I sue you."
Onpahan tällainen tilanne GDPR:ään viitaten todistettu.

Meinasi itelläkin palaa käpy, kun tyyppi siinä yski keuhkonsa pihalle, ja puhelimeen ei voinut puhua normaalilla äänellä vaan huutaen.
Bussissa oli kyllä sen verran pimeä, ettei tuo tainnut siinä valossa näkyä taustasta.

 

[Kautium]

Bussissa meinasi tulla käsirysy, kun keski-ikäinen suomalainen mies otti valokuvaa maisemasta ja joku nigerialainen sitten hermostui, kun kamera ehkä osoitti vähän sinnepäin.
"What you doing, we're in Europe! New law soon, don't take photograph of me! I sue you."
Onpahan tällainen tilanne GDPR:ään viitaten todistettu.

Samaahan se tuntuu olevan melkein kaikilla foorumeillakin. Osa porukasta kuvittelee sokeasti että GDPR koskee melkein mitä tahansa ja aivan kaikkia ja että sen varjolla voi vöyhöttää, valittaa ja vaatia vaikka kuun taivaalta.

 

[Joksu78]

Kuinkas menee asiakkaan ja yrityksen välinen sposti. Tai mikäli yritys on sisäisesti keskustellut asiakkaasta spostin välityksellä?

 

[ssg]

Tuli muuten sellainen hauska juttu mieleen kun tänään Bonnierilta tuli sähköpostia asiasta. Voisi noihin kaikkiin kustannuksiin laittaa viestiä että unohtavat tiedot ja kieltää käyttämästä tai jos oikeen haluaa vaivata niitä niin pyytää lähettämään kaikki tiedot.

Mutta se asia mikä tuli mieleen on puhelinmyyjät. Kun ne soittavat niin voisi alkaa jauhaa niille GDPR:stä. Pyytää niiltä kaikkia tietoja mitä ne on keränneet jotka niiden tulee toimittaa veloituksetta sekä tietenkin unohtamaan. Lieköhän on noissa firmoissa asiaan valmistauduttu kovin hyvin. Voi tulla mielenkiintoisia keskusteluita.

GDPR:ssä taisi tosin olla jokin pykälä suoramarkkinmointiin liittyen. Kuulin termin aikaisemmin tällä viikolla mut millään ei tule kyllä mieleen mikä se oli.

 

[Rantakemisti]

Tuli muuten sellainen hauska juttu mieleen kun tänään Bonnierilta tuli sähköpostia asiasta. Voisi noihin kaikkiin kustannuksiin laittaa viestiä että unohtavat tiedot ja kieltää käyttämästä tai jos oikeen haluaa vaivata niitä niin pyytää lähettämään kaikki tiedot.

Mutta se asia mikä tuli mieleen on puhelinmyyjät. Kun ne soittavat niin voisi alkaa jauhaa niille GDPR:stä. Pyytää niiltä kaikkia tietoja mitä ne on keränneet jotka niiden tulee toimittaa veloituksetta sekä tietenkin unohtamaan. Lieköhän on noissa firmoissa asiaan valmistauduttu kovin hyvin. Voi tulla mielenkiintoisia keskusteluita.

GDPR:ssä taisi tosin olla jokin pykälä suoramarkkinmointiin liittyen. Kuulin termin aikaisemmin tällä viikolla mut millään ei tule kyllä mieleen mikä se oli.

Unohtaminen on aika huono vaihtoehto kun silloin yrityksen CRM:ssä ei ole mitään tietoa henkilöstä ja joku myyjä voi vahingossa soittaa uudestaan. Paljon järkevämpää on kieltää kaikki markkinointiviestit yritykseltä.

 

[Tege]

Tuli muuten sellainen hauska juttu mieleen kun tänään Bonnierilta tuli sähköpostia asiasta. Voisi noihin kaikkiin kustannuksiin laittaa viestiä että unohtavat tiedot ja kieltää käyttämästä tai jos oikeen haluaa vaivata niitä niin pyytää lähettämään kaikki tiedot.

Mutta se asia mikä tuli mieleen on puhelinmyyjät. Kun ne soittavat niin voisi alkaa jauhaa niille GDPR:stä. Pyytää niiltä kaikkia tietoja mitä ne on keränneet jotka niiden tulee toimittaa veloituksetta sekä tietenkin unohtamaan. Lieköhän on noissa firmoissa asiaan valmistauduttu kovin hyvin. Voi tulla mielenkiintoisia keskusteluita.

GDPR:ssä taisi tosin olla jokin pykälä suoramarkkinmointiin liittyen. Kuulin termin aikaisemmin tällä viikolla mut millään ei tule kyllä mieleen mikä se oli.

Suoramarkkinoinnista en ole varma mutta ainakin sähköpostispämmiä varten pitää pyytää nyt uudelleen lupa, että saavatko jatkaa spämmäystä vai eivät.

Kuinkas menee asiakkaan ja yrityksen välinen sposti. Tai mikäli yritys on sisäisesti keskustellut asiakkaasta spostin välityksellä?

Tarkoitatko, että jos yritys ja asiakas keskustelevat keskenään? Tällöin ainakin jos lähetetään henkilötietoja kuten esim. henkilötunnus, niin sähköposti pitää olla salattua.
Saako henkilötietoja lähettää sähköpostilla salaamattomana? - Tietosuojavaltuutettu

Mikäli henkilötunnusta on tarkoitus käsitellä, suositeltavaa on joko salatun sähköpostin käyttäminen tai esim. rekisteröidyn suostumuksen hankkiminen, jonka yhteydessä on riittävällä tavalla informoitu sähköpostin tietoturvallisuuden tasosta, esim. ettei sähköpostia ole suojattu. Mikäli asiakas haluaa asiakassuhdettaan hoidettavan sähköpostitse, ei minulla ole huomauttamista tällaisesta menettelystä.

Aika ympäripyöreästi on siis vastattu. Tarkemmin en osaa sanoa, että miten pitäisi menetellä jos sähköpostissa esiintyy asiakkaan tai yrityksen omien työntekijöiden henkiötietoja esim. nimi, puhelinnumero jne.
Saahan näitä ulkoisia sähköpostipalveluita mitkä salaavat viestit end to end.

Vai tarkoitatko tällä tätä, että jos asiakas haluaa tulla unohdetuksi? Niin pitääkö etsiä sähköpostit ja tuhota ne?

 

[Grazer]

Mitenkä pitäisi toimia sähköpostilistojen kanssa? Osa firmoista on laittanut mailia, että jos et hyväksy ehtoja, niin sinut poistetaan listoilta.

Itse olen toiveikas sen suhteen, että tällaisen "roskapostin" määrä vähenee työsähköpostissa. Itse olen ignoorannut nuo kaikki ja toivon että tosiaankin käy niin että minut poistetaan listoilta.

 

[Tege]

Itse olen toiveikas sen suhteen, että tällaisen "roskapostin" määrä vähenee työsähköpostissa. Itse olen ignoorannut nuo kaikki ja toivon että tosiaankin käy niin että minut poistetaan listoilta.

Saman itsekin tehnyt. Ne missä haluan pysyä olen hyväksynyt mutta muut roskiin.

 

[Myrkky]

Huomenna kun on se suuri päivä, 25.5 - niin mistähän lähtis liikkeelle, kun otavamedian eräältä keskustelupalstalta haluan tunnukseni pois ja hävittää koko viestihistorian?
Niitä viestejä on vuosien varrella kertynyt melkoinen määrä mutta pariin vuoteen en ole postannut enää mitään. Vanhoja viestejä kai voisi muokkailla pois, mutta niiden löytäminen on aivan toivotonta. Enkä nyt tarkoita muroa...

Kenelläkään parempaa ennakkotietoa, vai huomenna viisaampi?

 

[Tege]

Tietosuojaselosteesta on hyvä aloittaa.

 

[Myrkky]

Tietosuojaselosteesta on hyvä aloittaa.

Täytyy kattoa/ettiä... tullu vähän monta emailia vaikka mistä, joten... no kunhan kerkee ja jaksaa.

 

[jarif]

Itse kun lopetan jonkun palvelun käytön niin poistamalla tunnukseni oletan että kaikki tunnuksen mukana häviää julkisesta jakelusta.

Muropaketti on ensimmäinen palvelu omalla kohdallani jossa näin ei ole.

Jotain on aika pahasti pielessä.

En tiedä miten esim. tässä XenForon softassa, mutta muistaakseni ainakin SMF:ssä jää kaikki kirjoittajan viestit merkinnällä "- vieras" kun käyttäjän tili poistetaan. Siis nimimerkki jää lisämääreellä "vieras", sekä kaikki kirjoitukset.

 

[Obi-Lan]

Mitenhän tuo menee kun tuo GDPR koskee kuitenkin vain henkilötietoja ja henkilöllisyys pitäisi vielä vahvistaa ennen kuin päästetään / käsitellään tietoja..

 

[JHMK]

Melkoinen sähköpostipaukutus kyllä käynnissä, 7kpl GDPR viestejä tullut pelkästään _tänään_

 

[Rantakemisti]

Melkoinen sähköpostipaukutus kyllä käynnissä, 7kpl GDPR viestejä tullut pelkästään _tänään_

Kahden päivän sisällä tullut reippaasti yli 200 sähköpostia. Kyllähän noita kertyy kun jokainen verkkokauppa, uutiskirje ja ties mikä pikkupulju lähettää sähköpostia kaikille jotka löytyvät yrityksen tietokannoista.

 

[Tege]

Ei tuo sähköposti ole ongelma kunhan sitten tekevät kuten mainostavat.

 

[Kautium]

Kahden päivän sisällä tullut reippaasti yli 200 sähköpostia. Kyllähän noita kertyy kun jokainen verkkokauppa, uutiskirje ja ties mikä pikkupulju lähettää sähköpostia kaikille jotka löytyvät yrityksen tietokannoista.

Onhan tuo huvittavaa, varsinkin kun käytännössä missään niistä ei edellytetä mitään luvan antamista, vaan kerrotaan että "ollaan tässä vähän säädetty meidän tietosuojapolitiikkaa ja jos meno ei nappaa, ota yhteyttä asiakaspalveluun".

Tosin onhan se ihan ymmärrettävää, sillä jos joku onneton alkaa orjallisesti noudattamaan asetuksen edellytyksiä ja edellyttää tosiaan jatkomarkkinoinnille erillisen luvan antamisen, niin todennäköisesti ei tarvitse lähettää markkinointiviestejä jatkossa yhtään kenellekään.

 

[Zauberkraut]

 

[Pertti Kosunen]

Onhan tuo huvittavaa, varsinkin kun käytännössä missään niistä ei edellytetä mitään luvan antamista, vaan kerrotaan että "ollaan tässä vähän säädetty meidän tietosuojapolitiikkaa ja jos meno ei nappaa, ota yhteyttä asiakaspalveluun".

Muutamissa on sentään "klikkaa tätä linkkiä niin ilmoitukset jatkuu" tms. vahvistuspyyntö.

 

[ramram]

Naurettavaa pelleilyä. Muksujen Wilmaan tullut yhtenäiskoululta (vuoden alussa yhdistetty ala- ja yläkoulu) tiedote jossa tullaan kieltämään kevätjuhlassa kuvaaminen vedoten tuohon GDPR-asetukseen.

Yritin ensin kovasti googlata "virallista tietoa" aiheesta kuvauskielto ja GDPR mutta sitä en löytänyt. Vain mainintoja organisaatioiden henkilörekistereistä joten laitoin asiasta palautteen koulun rehtorille. Palautteessa pyysin lisäinfoa mihin tuo kielto perustuu (kun kerran erikseen mainittiin GDPR). Sitä en saanut. Sen sijaan tuli ympäripyörää selitystä vanhempien allekirjoittamista kuvauskielloista, joissakin kulttuureissa ei saa ottaa kuvia lainkaan sekä turvakiellot joihin perustuen eivät halunneet diskriminioda eikä leimata oppilaita. Kuvata voi juhlan jälkeenkin.

Kommenttiini julkisessa tilassa kuvaamisesta (yksityishlö yksityiseen käyttöön, ei julkaista) jollainen koulukin on vastattiin että "julkinen organisaatio voi järjestää yksityistilaisuuden (tietty kohderyhmä) ja määrittää em. käytänteet".

Vähän tuoksahtaa siltä että on painettu paniikkinappulaa kun ei oikein olla ymmärretty täysin mitä tuo GDPR tarkoittaa ja kielletty sitten kuvaaminen. En viitsinyt kysyä enää että onko oikeasti tullut joltain vähemmistöryhmältä pyyntö kuvauskieltoon vai miksi vuosi sitten sai kuvata samassa tilaisuudessa mutta nyt ei.

Mainittakoon että ko. rehtori on vuoden alussa siirtynyt Etelä-Suomesta Pohjanmaalle, liekö siellä sitten toinen meininki näissä (suvaitsevaisuus)asioissa.

Enhän mä nyt välttis olisi siellä mitään muutenkaan kuvannut mutta raivostuttaa tuollaiset perusteettomat kiellot.

Olenko totaalisen väärässä?

 

[JHMK]

Naurettavaa pelleilyä. Muksujen Wilmaan tullut yhtenäiskoululta (vuoden alussa yhdistetty ala- ja yläkoulu) tiedote jossa tullaan kieltämään kevätjuhlassa kuvaaminen vedoten tuohon GDPR-asetukseen.

Yritin ensin kovasti googlata "virallista tietoa" aiheesta kuvauskielto ja GDPR mutta sitä en löytänyt. Vain mainintoja organisaatioiden henkilörekistereistä joten laitoin asiasta palautteen koulun rehtorille. Palautteessa pyysin lisäinfoa mihin tuo kielto perustuu (kun kerran erikseen mainittiin GDPR). Sitä en saanut. Sen sijaan tuli ympäripyörää selitystä vanhempien allekirjoittamista kuvauskielloista, joissakin kulttuureissa ei saa ottaa kuvia lainkaan sekä turvakiellot joihin perustuen eivät halunneet diskriminioda eikä leimata oppilaita. Kuvata voi juhlan jälkeenkin.

Kommenttiini julkisessa tilassa kuvaamisesta (yksityishlö yksityiseen käyttöön, ei julkaista) jollainen koulukin on vastattiin että "julkinen organisaatio voi järjestää yksityistilaisuuden (tietty kohderyhmä) ja määrittää em. käytänteet".

Vähän tuoksahtaa siltä että on painettu paniikkinappulaa kun ei oikein olla ymmärretty täysin mitä tuo GDPR tarkoittaa ja kielletty sitten kuvaaminen. En viitsinyt kysyä enää että onko oikeasti tullut joltain vähemmistöryhmältä pyyntö kuvauskieltoon vai miksi vuosi sitten sai kuvata samassa tilaisuudessa mutta nyt ei.

Mainittakoon että ko. rehtori on vuoden alussa siirtynyt Etelä-Suomesta Pohjanmaalle, liekö siellä sitten toinen meininki näissä (suvaitsevaisuus)asioissa.

Enhän mä nyt välttis olisi siellä mitään muutenkaan kuvannut mutta raivostuttaa tuollaiset perusteettomat kiellot.

Olenko totaalisen väärässä?

Ihan hyvähän tuollainen kielto on, kun nykyään löytyy näitä ihmisiä joiden mielestä tuosta tilaisuudesta olisi hyvä tallentaa:
-15 kuvaa facebook / instagram
- editoitu video youtubeen piilotettuna mutta linkki koko suvulle
- pikavideoita snäppiin
- livestream faceen / youtubeen / periscopeen

Helpompi kun kielletään kokonaan jotta ns tavallisille ihmisille ei tule paha mieli.

Omasta piltistä voi toki ottaa ne 2-3 kuvaa, enempi on turhaa. Itsestäkin löytyy isän kuvaamana videota yhdestä ala-asteen joulujuhlasta, mutta arvaappa montako kertaa se video on katsottu? Kelattu pikaisesti läpi samana iltana, ja sen jälkeen ollut 12 vuotta tms ilman yhtään katselukertaa.


Niin ja huomasin kyllä et puhuit enemmän juridisesta puolesta. Tähän vois sanoa et tekosyy on paras syy. Miksi selitellä kuvauskieltoa muuten kun voi sanoa että EU kieltää

 

[Ormu]

Toisessa ketjussa jo ihmettelin asiaa, joka oikeastaan kuuluisi tänne. Eli millä oikeudella ja minkä sopimusten nojalla EU voi asettaa mitään sanktioita firmoille, jotka on kokonaisuudessaan EU:n ulkopuolella?

 

[Myrkky]

katso liitettä 104411

Kiitos EU! Nyt joutuu käyttämään VPN yhteyksiä, että pääsee ulkomaisille sivustoille

www.chicagotribune.com
www.nydailynews.com
www.latimes.com

No voi kilin v... Sikäli että harvoin tulee noita luettua. Mutta tuo nyt on kyllä jo liikaa, toivottavasti väliaikainen ratkaistavissa oleva ongelma jollain tasolla.

On sitä sensuuria venäjällä, kiinassa, PK:ssa, mutta toki tämä gdpr ei nyt asiaan liity sillä tavalla. mutinaa ja kiroilua....

 

[mustekylpy]

Tumblr tyrkytti katsomaan tietosuoja-asetukset, vaikka en ole ohjelmaa moneen kuukauteen käynnistänytkään. Tuli siis melkein kuin malware-popup, kun otin kännykän laturista.

Muutamalle taholle dataa myyvät, kaikki oletuksena valittuna, ...
https://bbs.io-tech.fi/attachments/screenshot_20180525-224902_tumblr-jpg.104502/

 

[Elvis Jagger]

katso liitettä 104411

Kiitos EU! Nyt joutuu käyttämään VPN yhteyksiä, että pääsee ulkomaisille sivustoille

www.chicagotribune.com
www.nydailynews.com
www.latimes.com

Nuo kuuluvat kaikki samalle mediayhtiölle. Ilmeisesti eivät ajattele, että kovin paljon olisi euroopasta lukijoita, mutta aika laiskaa toimintaa. Ilmeisesti kuitenkin lailliset seuraamukset pelottavat, kun tekivät noin sen sijaan etteivät olisi tehneet mitään.

 

[Elvis Jagger]

Toisessa ketjussa jo ihmettelin asiaa, joka oikeastaan kuuluisi tänne. Eli millä oikeudella ja minkä sopimusten nojalla EU voi asettaa mitään sanktioita firmoille, jotka on kokonaisuudessaan EU:n ulkopuolella?

Siinä tapauksessa tuskin voivatkaan, mutta jos jotain rahaliikennettä on EU:ssa, niin sitten voi antaa sanktioita ko. EU:n ulkopuolella olevan kanssa jotain liiketoimintaa harjoittaville.

Vähänkään isommista toimijoista aika harva taitaa olla kokonaan EU:n ulkopuolella ja viimeistään Irlannista löytyy joku postilaatikkoyhtiö verosuunnittelun vuoksi.

 

[JHMK]

Ajatellaan että on vaikka Indonesialainen firma joka pyörittää dropboxin paikallista kilpailijaa Indonesialaisen teleoperaattorin salissa Indonesiassa. Nettisivut on paikallisella kielellä ja englanniksi, maksuvaihtona jotain paikallisia ja esim Visa.

Tarvitseeko tämän firman lotkauttaa korvaansa GDPRlle? Itse olen sitä mieltä että ei tarvisi. Jos minä suomalaisena käyttäisin tätä palvelua, en odota että kyseinen palvelu noudattaa suomen tai EUn tietoturvajuttuja, vaan Indonesian.

Mikä tässä logiikassa nyt sit eroaa esim noihin USAn lehtiin? Onko noilla USAn lehtien emofirmalla toimintaa EUssa?

Ei EU voi vaatia että joku Australialainen hotelli vaikka joka tarjoaa online bookingia ottaa GDPRn huomioon...

 

[Tup3x]

katso liitettä 104411

Kiitos EU! Nyt joutuu käyttämään VPN yhteyksiä, että pääsee ulkomaisille sivustoille

www.chicagotribune.com
www.nydailynews.com
www.latimes.com

Kovasti tuntuu siltä, että noi tulkitsevat väärin asioita...