GDPR

[Mocca]

Otsikko sen jo lyhyesti kertookin, on tämä nykyään tehty vaikeaksi, jos haluaisin esim. laittaa sivuilleni yksinkertaisen rekisteröitymisen, niin nimimerkki + salasana = on mukamas jo henkilötieto = muodosta henkilörekisteri. Jos nuo vielä salattuna laittaisi tietokantaan, niin miten ihmeessä tuosta muka voisi kehenkään mitään yhdistää? edes välillisesti.

 

[ojisama]

Otsikko sen jo lyhyesti kertookin, on tämä nykyään tehty vaikeaksi, jos haluaisin esim. laittaa sivuilleni yksinkertaisen rekisteröitymisen, niin nimimerkki + salasana = on mukamas jo henkilötieto = muodosta henkilörekisteri. Jos nuo vielä salattuna laittaisi tietokantaan, niin miten ihmeessä tuosta muka voisi kehenkään mitään yhdistää? edes välillisesti.

Nimimerkki + salasana -yhdistelmä ei kyllä nähdäkseni muodosta yhdistelmää joiden perusteella voi tunnistaa henkilön. Sähköposti sitten erikseen..?

Ehkä joku lähde ajatukselle, että noista muodostuu henkilörekisteri olisi hyvä keskustelun pohjaksi?

 

[AkiL]

Pelkkä nimimerkki (edes salasanaan yhdistettynä) ei ole henkilötieto. Henkilötietoa on sellainen tieto, josta voi tunnistaa henkilön. GDPR:stä on nykyään materiaalia niin paljon, että runsaudenpula saattaa vähän hankaloittaa koko asian hahmottamista, mutta tietoa kyllä löytyy.

Sähköpostikin on vähän niin ja näin, netin ollessa täynnä mailipalveluita joihin voit rekisteröityä ilman oikeita henkilötietoja.

 

[Mocca]

Nimimerkki + salasana -yhdistelmä ei kyllä nähdäkseni muodosta yhdistelmää joiden perusteella voi tunnistaa henkilön. Sähköposti sitten erikseen..?

Ehkä joku lähde ajatukselle, että noista muodostuu henkilörekisteri olisi hyvä keskustelun pohjaksi?

Tällainen oli kanta, kun soitin ja kysyin asiasta, tietosuojavaltuutetun toimistosta.

 

[ojisama]

Sähköpostikin on vähän niin ja näin, netin ollessa täynnä mailipalveluita joihin voit rekisteröityä ilman oikeita henkilötietoja.

Juu. Sähköposti ei välttämättä ole henkilötieto, ja 'yleiset' onkin rajattu pois esimerkeissä, mutta noin yleisesti ottaen jos käyttäjä rekisteröityy, niin joutuu olettamaan, että se on juuri kyseisen henkilön henkilökohtainen sähköpostiosoite (jota käyttää muuallakin).

Mikä on henkilötieto? | Tietosuojavaltuutetun toimisto

tietosuoja.fi

Tällainen oli kanta, kun soitin ja kysyin asiasta, tietosuojavaltuutetun toimistosta.

Hyvin jännä vastaus kyllä. Hatusta tulee mieleen, että olisi ymmärtänyt väärin, ja tehnyt jonkun piilo-oletuksen sähköpostilla tehtävästä rekisteröimisen vahvistamisesta.

 

[AkiL]

Juu. Sähköposti ei välttämättä ole henkilötieto, ja 'yleiset' onkin rajattu pois esimerkeissä, mutta noin yleisesti ottaen jos käyttäjä rekisteröityy, niin joutuu olettamaan, että se on juuri kyseisen henkilön henkilökohtainen sähköpostiosoite (jota käyttää muuallakin).

Juu, näinhän se ikävä kyllä on. Lukaisin itsekin muistin virkistykseksi (vaikka juuri pari kk sitten on taas vuosittainen GDPR -muistinvirkistys käyty läpi ) tuon postaamasi linkin ennenkuin vastasin. Tokihan se virallisesti on juuri noin, että sähköpostikin lasketaan henkilötiedoksi, mutta IMHO se on kyllä ihan harmaata aluetta. Jos rekisteröityy johonkin random-mailipalveluun ja antaa nimekseen "Suomen Tietosuojavaltuutettu" ja ottaa mailikseen "suomen.tietotuojavaltuutettu@[whatever mailipalvelu onkaan]" niin vaikea sitä on yhdistää henkilöön. IP:kin on vähän niin ja näin, koska jos käyttää julkista avointa verkkoa, proxya, vpn:ää tai jotain muuta metodia, ei IP johda henkilöön.

Muoks: ja siis en mitenkään ole GDPR:ää vastaan, päinvastoin. Mutta siinä on selkeitä teknisiä harmaita alueita. Toki parempi noissakin on kallistua käyttäjän oikeuksien puolelle, kuin toiseen suuntaan.

 

[kolistelija]

Se että käyttäjä voi mahdollisesti tehdä kyseisestä kentästä anonyymin (IP-osoite, sähköpostiosoite jne.) ei tietenkään tee siitä muuta kuin henkilötietoa. Voithan antaa keksityn nimen ja hetunkin jos niin haluat, näin kärjistääkseni.

 

[ojisama]

Juu, näinhän se ikävä kyllä on. Lukaisin itsekin muistin virkistykseksi (vaikka juuri pari kk sitten on taas vuosittainen GDPR -muistinvirkistys käyty läpi ) tuon postaamasi linkin ennenkuin vastasin. Tokihan se virallisesti on juuri noin, että sähköpostikin lasketaan henkilötiedoksi, mutta IMHO se on kyllä ihan harmaata aluetta. Jos rekisteröityy johonkin random-mailipalveluun ja antaa nimekseen "Suomen Tietosuojavaltuutettu" ja ottaa mailikseen "suomen.tietotuojavaltuutettu@[whatever mailipalvelu onkaan]" niin vaikea sitä on yhdistää henkilöön. IP:kin on vähän niin ja näin, koska jos käyttää julkista avointa verkkoa, proxya, vpn:ää tai jotain muuta metodia, ei IP johda henkilöön.

Muoks: ja siis en mitenkään ole GDPR:ää vastaan, päinvastoin. Mutta siinä on selkeitä teknisiä harmaita alueita. Toki parempi noissakin on kallistua käyttäjän oikeuksien puolelle, kuin toiseen suuntaan.

Näinhän se on, ja olen samaa mieltä, että nuo ei välttämättä ole yksittäisen tiedon kohdalla henkilötietoja. Olen silti itse harmaudesta enimmäkseen eri mieltä, koska kyllä yhä voidaan olettaa, että suurin osa sähköpostiosoitteista on 'oikeita', ja jopa anonyymit sähköpostiosoitteet sinänsä liittyy siihen yhteen henkilöön, kun se on kommunikaatioväylä juuri tälle henkilölle (kun pitäisi tehdä aika monta oletusta muuten).

Tuossa ehdittiinkin väliin sanomaan osin sama asia.

 

[Mocca]

Juu. Sähköposti ei välttämättä ole henkilötieto, ja 'yleiset' onkin rajattu pois esimerkeissä, mutta noin yleisesti ottaen jos käyttäjä rekisteröityy, niin joutuu olettamaan, että se on juuri kyseisen henkilön henkilökohtainen sähköpostiosoite (jota käyttää muuallakin).

Mikä on henkilötieto? | Tietosuojavaltuutetun toimisto

tietosuoja.fi

Hyvin jännä vastaus kyllä. Hatusta tulee mieleen, että olisi ymmärtänyt väärin, ja tehnyt jonkun piilo-oletuksen sähköpostilla tehtävästä rekisteröimisen vahvistamisesta.

Oli minullekkin yllätys. Tätä harmaata aluetta tuntuu nyt olevan tässä paljon ja tuon puhelun, joka kesti yli puoli tuntia, aikana tuli hyvin selväksi se, että tietosuojavaltuutetun kannalta, melkeinpä mistä vain voi tulla henkilötieto. Oma alkuperäinen idea oli laittaa sivustolleni rekisteröitymiseen nimimerkki + salasana + fingerprintJS combo, jossa tuo jälkimmäinen vähän itseäni arvelutti GDPR:n kannalta, mutta yllätys olikin suuri, että pelkkä nimimerkki + salasana voitaisiin katsoa jo henkilötiedoksi. Miten näitä palveluita pystyy enää tekemään, kun joka paikkaan pitäisi olla perustamassa henkilörekisteri ja oma nimi tietysti jokaisessa vielä sivulla esillä.

 

[Paapaa]

Miten näitä palveluita pystyy enää tekemään, kun joka paikkaan pitäisi olla perustamassa henkilörekisteri ja oma nimi tietysti jokaisessa vielä sivulla esillä.

Ei oikein pystykään. Mutta ei se rekisteri niin habkala asia ole toteuttaa oikein että sen takia pitää pistää projekti jäihin. Mutta kyllä GDPR on tehty hyvin voimakkaasti loppukäyttäjän ehdoilla ja suojelemiseksi.

 

[Mocca]

Ei oikein pystykään. Mutta ei se rekisteri niin habkala asia ole toteuttaa oikein että sen takia pitää pistää projekti jäihin. Mutta kyllä GDPR on tehty hyvin voimakkaasti loppukäyttäjän ehdoilla ja suojelemiseksi.

Entäs jos ei halua sitä omaa nimeään julkiseksi joka paikkaan netissä? Tässä ei oteta ollenkaan huomioon sen rekisterinpitäjän tietoturvaa, varsinkin jos yksityishenkilöstä kyse, eikä mistään firman tietosuojavastaavasta. En vaan vieläkään käsitä miten pelkkä nimimerkki + salasana riittää henkilötiedoksi, en sitten millään.

 

[ojisama]

Entäs jos ei halua sitä omaa nimeään julkiseksi joka paikkaan netissä? Tässä ei oteta ollenkaan huomioon sen rekisterinpitäjän tietoturvaa, varsinkin jos yksityishenkilöstä kyse, eikä mistään firman tietosuojavastaavasta. En vaan vieläkään käsitä miten pelkkä nimimerkki + salasana riittää henkilötiedoksi, en sitten millään.

Kirjoita nimimerkin ohjeeksi, että älä käytä henkilötietoa tässä, kirjoita selosteeseen, että et keräät vain nimimerkit, ja laita oma nimimerkki tekijäksi, ja joku anonyymi maili yhteysosoitteeksi.

Eiköhän tuo olisi tarpeeksi lähellä vaatimuksia, kun et kerran henkilötietoja kerää, mutta sait tuollaisen vastauksen.

 

[Mocca]

Kirjoita nimimerkin ohjeeksi, että älä käytä henkilötietoa tässä, kirjoita selosteeseen, että et keräät vain nimimerkit, ja laita oma nimimerkki tekijäksi, ja joku anonyymi maili yhteysosoitteeksi.

Eiköhän tuo olisi tarpeeksi lähellä vaatimuksia, kun et kerran henkilötietoja kerää, mutta sait tuollaisen vastauksen.

Kysyin itseasiassa tästäkin ja kerroin, että entäs jos laitan ohjeeksi, rekisteröitymisen yhteyteen. että "älä käytä omaa oikeaa nimeäsi nimimerkiksi" ja että salasana vielä vahvasti salataan tietokantaan, eikä mitään muuta tietoa sinne käyttäjästä tallenneta, tuli pitkä sepustus siitä, että jos kuitenkin välillisesti ehkäjottakoskakunmahdollisesti tunnistaakin käyttäjän siitä ja aina silti joku voi laittaa sen oman nimensä kuitenkin. Tulipa vielä sekin, että emme voi tietää millaisia tekniikoita tulevaisuudessa on näiden salaustenkin purkuun jne....että aika epätoivoista alkaa olemaan tämä meininki jos tähän on tultu.

Googlehan joutui tekemään isoja muutoksia GDPR:n takia Analytics 4 (GA4) käytäntöihin, jotka liittyivät henkilötietojen käsittelyyn. Joutuivat muuttamaan esim radikaalisti miten IP osoitteet anonymisoidaan täysin, eikä enää tallenneta niitä.

 

[tjkoo]

Otsikko sen jo lyhyesti kertookin, on tämä nykyään tehty vaikeaksi, jos haluaisin esim. laittaa sivuilleni yksinkertaisen rekisteröitymisen, niin nimimerkki + salasana = on mukamas jo henkilötieto = muodosta henkilörekisteri. Jos nuo vielä salattuna laittaisi tietokantaan, niin miten ihmeessä tuosta muka voisi kehenkään mitään yhdistää? edes välillisesti.

Siis minkälainen bisnes sulla on tuossa mihin käytät henkilötietoja?

Ethän sä varmaan kännykkäsi yhteystietoluettelostakaan yksityishenkilönä laadi rekisteriselostetta, miksi siis kotisivusi vierailijoista?