EU:n ja euron tulevaisuus?

[jussi_j]

Vaikka EU kuinka välillä vituttaisi - kuten esim juuri nyt typerien ja hyödyttömien GDPR-lainsäädäntöjen takia, jotka aiheuttavat suurta tarpeetonta haittaa, niin silti isossa kuvassa vaihtoehdot ovat vielä huonompia. Yksin emme tästä maailmassa pärjää ja mitä monikeskeisempää ja laaajempaa yhteistyö on niin sitä parempi meidän kannalta. Kaikkine turhauttavuuksineenkin.

GDPR on haitallinen ja hyödytön? Mielenkiintoinen tulkinta, enkä ole kuullut aiemmin kenenkään tulkinneen noin.

GDPR nimenomaan on hyvä esimerkki EU:n hyödyllisyydestä. EU voi säätää lakeja koskemaan koko aluetta ja tällä alueella on merkitystä vaikkapa facebookin, google tms. jättien toimintaan. EU on niin iso alue, että kyllä se kiinnostaa kaupallisia toimijoita vaikka vähän tietosuojaa joutuukin ottamaan huomioon. Vaihtoehtona olisi suomen itse määrittelemät lait, jotka eivät kiinnosta ketään, ovat jonkun missin suunnittelmia suihinoton suomalla mandaatilla, suuryritysten vahvasti lobbaamia ja loppuvaikutuksiltaan arvaamattomia.

Itse näen kuluttajan aseman yhtenä suurimmista eu:n hyödyistä. Näkyvää ja ymmärrettävää se ainakin on myös sille persulle. Toki siinäkin on paljon parannettavaa ja kun EU:sta äänestettiin, niin oma uskoni oli, että suomalaisten poliitikkojen perseily omien puolueiden eturyhmien hyväksi saataisiin loppumaan ja kaiken maailman idiootit monopolit saisivat kyytiä. Myöskään automarkkinat eivät ole yhtenäiset ja EU on munaton kun ei pysty pistämään suomalaisia ruotuun. Ehkä joskus ja vähitellen.

 

[dana77]

GDPR on haitallinen ja hyödytön? Mielenkiintoinen tulkinta, enkä ole kuullut aiemmin kenenkään tulkinneen noin.

Periaate hyvä ja kannatettava, toteutus toimimaton ja byrokraattinen. Vähän niinkuin nyt lähes joka vitun www-sivuilla tuleva pop-up, että käytämme evästeitä. Nyt laki vaikuttaa ihan naurattaviin asioihin alkaen pikkutyttöjen harrastuksista, kun ei voida kerätä listaa ruoka-aineallergioista ettei vaan rikota lakia. muutamien kymppien budjeteila ei lakimiehiä ja järjestelmiä hankita tai uusita.

Toimin alalla jossa henkilötietoja käsitellään kiinteästi. Niiden suojaukseen ja käsittelyyn on aina kiinnitetty huomiota ja lainsäädännön myötä ei ole tullutt vielä vastaan ensimmäistäkään konkreettista parannusta asiakkaiden oikeusturvaan. Sen sijaan lainsäädäntö on aiheuttanut valtavasti kustannuksia, että lain kirjaimet täyttyvät. Minun oli eilen helpompi jättää parikymmenen tuhannen euron työt tekemättä kuin alkaa GDPR-lainsäädännön vaatimaan sopimusjumppaan joka olisi vaatinut useamman toimijan lakimiehiä. Tuossa oli helposti mennyt koko työhön tarvittava aika lakimiesten pöydällä ja käteen olisi jäänyt vain lasku (en tosin sitä itse olisi maksanut, mutta jonkun sen olisi ollut maksettava. Tietyllä tavalla järjevintä olisi ollut rikkoa lain kirjainta, mutta vähintään toiseksi järkevintä oli antaa koko paskan alla.

GDPR nimenomaan on hyvä esimerkki EU:n hyödyllisyydestä. EU voi säätää lakeja koskemaan koko aluetta ja tällä alueella on merkitystä vaikkapa facebookin, google tms. jättien toimintaan. EU on niin iso alue, että kyllä se kiinnostaa kaupallisia toimijoita vaikka vähän tietosuojaa joutuukin ottamaan huomioon. Vaihtoehtona olisi suomen itse määrittelemät lait, jotka eivät kiinnosta ketään, ovat jonkun missin suunnittelmia suihinoton suomalla mandaatilla, suuryritysten vahvasti lobbaamia ja loppuvaikutuksiltaan arvaamattomia.

Voidaanko käsi sydämmellä oikeasti sanoa, että google ja facebook eivät näitä haitallisimpia tapojaan jatka? Minä en uskaltaisi veikata, etteikö heidän lakimiehensä keksisi tapaa jatkaa toimintaa nykyisellään.

EU ei myöskään ole niin iso alue, että se kaikkia toimijoitakaan kiinnostaa. Kaveri juuri hetki sitten sai ilmoituksen yhdysvaltalaiselta toimijalta, että he ilmoittivat, että heitä ei kiinnosta alkaa kalliita gdpr-vaatimuksia toteuttamaan, helpompaa on vain todeta, että palvelua ei tarjota alueilla, joilla lainsäädäntö on voimassa. Näin kyseinen asiakas jäi ilman. En tiedä saako hän jollain VPN:llä kierrettyä lainsuojan.

 

[jussi_j]

@dana77 Miksi jouduitte tekemään ylimääräistä työtä GDPR:n takia, jos teillä oli jo asiat kunnossa? GDPR ei sinänsä tuonut mitään uutta jos asiat olivat loistavalla tolalla jo aiemmin. Veikkaan vaan, ettei ollut.

Kaikki ei tietenkään voi mennä sukkana. Maailma ei ole täydellinen, mutta kun vertailukohtana on tuo mitä sanoin, suomalaisten poliitikkojen pelleily, niin tämä on paljon parempi. Jos face ja google jatkavat omiaan, niin saavat lisää sakkoja, nythän ne jo niitä maksavat. Suomi jos pistäisi niille sakkoja, niin sulkisivat palvelun suomessa, kuten youtube kerran jo teki.

Oletko sitä mieltä, että jos joku palveluntarjoaja ei halua noudattaa hyviä tietosuojastandardeja, vaan haluaa mm. vapaasti jakaa eteenpäin sinusta kermäämiään tietoja, niin se on sinusta ok ja heidän pitäisi jatkaa palvelun tarjoamista euroopassa? Minusta on aivan oikein, että jos haluat käyttää väärin asiakastietoja, niin et tee sitä eurooppalaisten tiedoilla. Jos jonkun palveluntarjoajan mielestä on tärkeää, että heillä on vapaat kädet asiakastietojen kanssa, niin sitten he eivät tarjoa palvelua euroopassa. Syntyyhän sisämarkkinoille sitten kysyntää omille palveluntuottajille, joilla on sitten lähtökotaisesti parempi kilpailuasema maailmanmarkkinoilla, koska huolehtivat asiakkaan tiedoista.


Kerro toki myös se, että miksi ruoka-allergioista ei voi kerätä listaa?

 

[Hatchetman]

Ruotsidemokraatit ovat, brexitin takia, päättäneet, että puolue ei enää halua kansanäänestystä, tai eroa EU:sta.

Saa nähdä onko muissakin maissa vastaavaa kehitystä. Brexit on ehkä juuri se, mitä Eurooppa kaipasi

Linkki SVT:n uutiseen, jossa puolueen johto kertoo muuttuneesta kannastaan:

Sverigedemokraterna byter fot – vill inte längre ha folkomröstning om EU

 

[dana77]

@dana77 Miksi jouduitte tekemään ylimääräistä työtä GDPR:n takia, jos teillä oli jo asiat kunnossa? GDPR ei sinänsä tuonut mitään uutta jos asiat olivat loistavalla tolalla jo aiemmin. Veikkaan vaan, ettei ollut.

Veikkaat väärin. Tietyt uudet vaatimukset ovat olleet 7 kuukautta täysin käyttämättömiä. Kukaan ei ole niitä kysynyt tai ollut niistä kiinnostunut, vaikka heillä olisi siihen lain mukaan oikeus. Laki joka ne vaati oli siis kuollut kirjain ja näin jälkikäteen arvioituna olisi pitänyt jättää täyttämättä eikä olla mallioppilas, kuten varmasti kaikki fiksut italialaiset, espanjalaiset ja muut ovat tehneet.

Jos face ja google jatkavat omiaan, niin saavat lisää sakkoja, nythän ne jo niitä maksavat.

Mitähän sakkoja he GDPR:ään liittyen maksavat? joskus uutisissa oli, että heitä uhkaa sakko jos asetukset eivät ole helpommin yhdessä paikassa, mutta siitä he eivät ainakaan mitään maksaneet. Toki tuo oli muutoksena, että se heidän kannatti tehdä, joten jee.

Oletko sitä mieltä, että jos joku palveluntarjoaja ei halua noudattaa hyviä tietosuojastandardeja, vaan haluaa mm. vapaasti jakaa eteenpäin sinusta kermäämiään tietoja, niin se on sinusta ok ja heidän pitäisi jatkaa palvelun tarjoamista euroopassa? Minusta on aivan oikein, että jos haluat käyttää väärin asiakastietoja, niin et tee sitä eurooppalaisten tiedoilla. Jos jonkun palveluntarjoajan mielestä on tärkeää, että heillä on vapaat kädet asiakastietojen kanssa, niin sitten he eivät tarjoa palvelua euroopassa. Syntyyhän sisämarkkinoille sitten kysyntää omille palveluntuottajille, joilla on sitten lähtökotaisesti parempi kilpailuasema maailmanmarkkinoilla, koska huolehtivat asiakkaan tiedoista.

Jos GDPR:n ja lauseen "voi vapaasti jakaa sinusta keräämiä tietoja" tai hyvien tietosuojastandardien välillä voitaisiin vetää yhtenäisyysmerkit, niin sitten se olisi ok, etteivät jatka. Nyt niin vaan ei voida tehdä, vaan vaatimukset ovat monissa tapauksissa järjettömät. Jos facebookia ja maken puotia koskee samat säädökset, niin toinen tukahtuu byrykratiaan ja toinen löytää niistä tarvitsemansa porsaanreiät. Eri toimialoilla, liiketoimintamalleilla ja sektoreilla on erilaiset tarpeet ja sama lippalakki ei niille kaikille sovi.

Kerro toki myös se, että miksi ruoka-allergioista ei voi kerätä listaa?

Lista jota säilytetään on henkilöstörekisteri ja silloin pitäisi pystyä dokumentoimaan kuka sitä on sitä on tarkastellut, muuttanut (jäljitettävyys) jne. Toki tämä vain edellytyksellä, että joku on niin tyhmä, että lain vaatimuksia noudattaa.

Onhan toki vastaavia järjettömyyksiä ollut aiemminkin. Kouluissa ei pidetä hankalia oppilaita koskevista palavereista pöytäkirjoja, koska henkilöstörekisterilain mukaan kaikilla jotka ovat rekisterissä pitää olla oikeus päästä tarkastelemaan itseään koskevia tietoja. Niinpä on helpompaa ja varmempaa, että asiat ovat vain ulkomuistissa.

 

[jussi_j]

.... Kouluissa ei pidetä hankalia oppilaita koskevista palavereista pöytäkirjoja, koska henkilöstörekisterilain mukaan kaikilla jotka ovat rekisterissä pitää olla oikeus päästä tarkastelemaan itseään koskevia tietoja. Niinpä on helpompaa ja varmempaa, että asiat ovat vain ulkomuistissa.

Olen kanssasi vahvasti eri mieltä, vaikka toki joku totuuden siemen jutuissasi on. Mutta kuten sanoin, maailma ei ole täydellinen.

Jään edelleen miettimään, että miksi sitä allergialistaa ei voi tallentaa exceliin ja kertoa kysyjälle, että mitä siellä hänestä lukee.

Tuo lainaamani kohta on ehkä se mistä tässä periaatteessa eniten on kyse. Mielestäsi on siis ongelma, että "hankalista" oppilaista ei saa pitää salaista rekisteriä. Minusta se on ihan helvetin hyvä ettei saa.

 

[dana77]

Jään edelleen miettimään, että miksi sitä allergialistaa ei voi tallentaa exceliin ja kertoa kysyjälle, että mitä siellä hänestä lukee.

GDPR:n vaatimusten mukaan henkilötietojen muuttaminen ja kriittisten tietojen tarkastelu pitää pystyä jäljittämään. Exceliin ei tallennu aukottomasti merkintää, että kuka sitä on lukenut tai muuttanut, aikaleimaa, ja tietoa mikä arvo on ollut ennen muutosta (tiedon eheys). Se pitäisi pystyä myös suojaamaan henkilökohtaisella salasanalla. Ja tokihan prosessit, joilla dataa käsitellään pitäisi olla dokumentoitu ja saatavilla. Nämä ovat perusteltuja vaatimuksia niissä yhteyksissä missä minä toimin ja näistä en omalta kohdaltani valita, mutta kun puhutaan hippokerhon kevätretkestä niin lain rikkominen on usein tarpeen.

Toki sitten GDPR:n tulkinnoissa on järjettömyyksiä työhommissakin, kuten esim että joku mittarin yksilöivä id-tulkitaan henkilötiedoksi koska se on vain yhdellä asiakkaalla käytössä on jo ihan posketon.

 

[jussi_j]

@dana77 Esimerkkisi on juuri tuollainen käsittämätön tulkinta, minkä voi toki tehdä, mutta ei mikään asetus tuommoista edellytä. Asetus edellyttää, että et kirjoita sinne exceliin mitään tietoja, mitä et tarvitse ja että käsittelet tietoja huolella, mikä taasen on hyvin tulkinnanvaraista ja teknisesti eri asia sinun tapauksessa ja pankilla. Voit hyin tehdä excelin missä ekalla sivulla pidä lokia siitä, kenelle olet tietoja näyttänyt ja toisella sivulla vaikka nimet ja tarvitsemasi tiedot. Toki EU:sta saa ison paholaisen, jos tulkitsee kaikkea vaikeimman kautta, mutta se on ihan omaa typeryyttä. GDPR sanktiot ovat muuten prosentteja liikevaihdosta, että tiedä sitten paljon se olisi teidän liikevaihdolla.

 

[dana77]

@dana Esimerkkisi on juuri tuollainen käsittämätön tulkinta, minkä voi toki tehdä, mutta ei mikään asetus tuommoista edellytä. Asetus edellyttää, että et kirjoita sinne exceliin mitään tietoja, mitä et tarvitse ja että käsittelet tietoja huolella, mikä taasen on hyvin tulkinnanvaraista ja teknisesti eri asia sinun tapauksessa ja pankilla. Voit hyin tehdä excelin missä ekalla sivulla pidä lokia siitä, kenelle olet tietoja näyttänyt ja toisella sivulla vaikka nimet ja tarvitsemasi tiedot. Toki EU:sta saa ison paholaisen, jos tulkitsee kaikkea vaikeimman kautta, mutta se on ihan omaa typeryyttä.

Näin laki on kirjoitettu ja vaikka se on suhteellisen epämääräisesti kirjoitettu, niin juridisesti pidän huonona, että sitä pitä tulkita niin että jos laissa ei ole järkeä, niin sitten sitä ei tarvitse kirjaimellisesti noudattaa:
Laki henkilötietojen käsittelystä rikosasioissa… 1054/2018 - Säädökset alkuperäisinä - FINLEX ®
19 §
Lokitiedot
Rekisterinpitäjän ja henkilötietojen käsittelijän on huolehdittava lokitietojen säilyttämisestä automaattisessa tietojenkäsittelyjärjestelmässään suoritetusta henkilötietojen keräämisestä, muuttamisesta, kyselystä, luovuttamisesta, siirtämisestä, yhdistämisestä ja poistamisesta. Kyselyjä ja luovutuksia koskevien lokitietojen avulla on pystyttävä selvittämään kyselyn ja luovutuksen peruste, toteutuspäivä ja -aika sekä mahdollisuuksien mukaan henkilötietoja hakeneen tai niitä luovuttaneen henkilön tiedot ja näiden henkilötietojen vastaanottajien henkilöllisyys

Toki tuo, että mikä tulkitaan automaattiseksi tietojenkäsittelyjärjestelmäksi on tulkinnallista, eli joku ruoka-allergia-excel ei täyttäne, mutta pekan valinnan asiakasrekisteri jo täyttää. Ruoka-allergiat taas voitaisiin tulkita terveydentilaa koskevaksi tiedoksi, jota taisivat rajoittaa kokonaan omat momenttinsa.

GDPR sanktiot ovat muuten prosentteja liikevaihdosta, että tiedä sitten paljon se olisi teidän liikevaihdolla.

Tiedän että sakon suuruudeksi on määritelty 4% liikevaihdosta, mutta kun minimisakko on 20 miljoonaa euroa, niin köyhälle sekin on jo paljon.

 

[Tadu]

Periaate hyvä ja kannatettava, toteutus toimimaton ja byrokraattinen. Vähän niinkuin nyt lähes joka vitun www-sivuilla tuleva pop-up, että käytämme evästeitä. Nyt laki vaikuttaa ihan naurattaviin asioihin alkaen pikkutyttöjen harrastuksista, kun ei voida kerätä listaa ruoka-aineallergioista ettei vaan rikota lakia. muutamien kymppien budjeteila ei lakimiehiä ja järjestelmiä hankita tai uusita.

Toimin alalla jossa henkilötietoja käsitellään kiinteästi. Niiden suojaukseen ja käsittelyyn on aina kiinnitetty huomiota ja lainsäädännön myötä ei ole tullutt vielä vastaan ensimmäistäkään konkreettista parannusta asiakkaiden oikeusturvaan. Sen sijaan lainsäädäntö on aiheuttanut valtavasti kustannuksia, että lain kirjaimet täyttyvät. Minun oli eilen helpompi jättää parikymmenen tuhannen euron työt tekemättä kuin alkaa GDPR-lainsäädännön vaatimaan sopimusjumppaan joka olisi vaatinut useamman toimijan lakimiehiä. Tuossa oli helposti mennyt koko työhön tarvittava aika lakimiesten pöydällä ja käteen olisi jäänyt vain lasku (en tosin sitä itse olisi maksanut, mutta jonkun sen olisi ollut maksettava. Tietyllä tavalla järjevintä olisi ollut rikkoa lain kirjainta, mutta vähintään toiseksi järkevintä oli antaa koko paskan alla.

Voidaanko käsi sydämmellä oikeasti sanoa, että google ja facebook eivät näitä haitallisimpia tapojaan jatka? Minä en uskaltaisi veikata, etteikö heidän lakimiehensä keksisi tapaa jatkaa toimintaa nykyisellään.

EU ei myöskään ole niin iso alue, että se kaikkia toimijoitakaan kiinnostaa. Kaveri juuri hetki sitten sai ilmoituksen yhdysvaltalaiselta toimijalta, että he ilmoittivat, että heitä ei kiinnosta alkaa kalliita gdpr-vaatimuksia toteuttamaan, helpompaa on vain todeta, että palvelua ei tarjota alueilla, joilla lainsäädäntö on voimassa. Näin kyseinen asiakas jäi ilman. En tiedä saako hän jollain VPN:llä kierrettyä lainsuojan.

Aamen! Yritin samaa sanoa aikaisemmin ja minut tyrmättiin. Itse toimin alalla ja valtionhallinnon toimijassa, jossa on melko vähän henkilötietoja eikä oikeastaan ollenkaan kansalaisten henkilötietoja. Kaikki arkaluonteinen tieto liittyy työsopimuksiin yms, jotka ovat joka tapauksessa lukitussa kaapeissa HR:n näpeissä. Silti sisäisiä järjestelmiä tehdään vaikeammaksi, koska siellä saattaa olla jokin henkilötieto jossain piilossa. Aivan älyttömiä satojen tuhansien eurojen panostuksia on tehty. Ymmärrän kun on kyse Facebookista, Googlesta jne., mutta ainakin oman laitoksen tietosuojavastaava tulkitsee gdpr aivan pilkulleen.

Kaikki tehty työ ei ole ollut typerää, mutta monelta osin vedetty asia aivan överiksi. Sama tulee meillä tapahtumaan kun uusi tiedonhallintalaki tulee voimaan. Vituttaa jo etukäteen kun tietä kuinka paljon veronmaksajien rahoja saadaan tuhlattua ylitulkintojen takia.

Sakkojakaam ei julkisille organisaatioille voi antaa.

Miten muuten luulette, että gdpr:ää tulkitaan muissa EU-maissa? Mitä olen paria asiantuntijaa haastanut, niin edes Ruotsi ei tulkitse yhtä tiukasti kuin Suomi. Välimeren maita ei tässä tarvitse edes mainita.

 

[dana77]

Silti sisäisiä järjestelmiä tehdään vaikeammaksi, koska siellä saattaa olla jokin henkilötieto jossain piilossa. Aivan älyttömiä satojen tuhansien eurojen panostuksia on tehty. Ymmärrän kun on kyse Facebookista, Googlesta jne., mutta ainakin oman laitoksen tietosuojavastaava tulkitsee gdpr aivan pilkulleen.

Kaikki tehty työ ei ole ollut typerää, mutta monelta osin vedetty asia aivan överiksi. Sama tulee meillä tapahtumaan kun uusi tiedonhallintalaki tulee voimaan. Vituttaa jo etukäteen kun tietä kuinka paljon veronmaksajien rahoja saadaan tuhlattua ylitulkintojen takia.

Miten muuten luulette, että gdpr:ää tulkitaan muissa EU-maissa? Mitä olen paria asiantuntijaa haastanut, niin edes Ruotsi ei tulkitse yhtä tiukasti kuin Suomi. Välimeren maita ei tässä tarvitse edes mainita.

Näin ajattelen itsekin. Vaikka itse olen sillä pöydällä pöytää, joka noita satojatuhansia lapioi sisään ovista ja ikkuinoista, niin paljon mieluummin tekisin ratkaisuja jotka tuottaisivat lisäarvoa asiakkaille, enkä pakollisia lainsäätäjien vaatimuksia, joita kumpikaan osapuoli ei halua. Toki omaan suhtautumisenikin vaikuttaa teollisuudenalan liiton tarkemmat tulkintaohjeet, joita pidän juuri pilkuntarkkoina ylitulkintoja. Kaikki järjettömyydet eivät siis suoraan johdu itse laista, vaan sen tulkinnoista.

Olen melko varma, että tätä lainsäädäntöä ei monissa paikoissa noudateta. Olisi "mielenkiintoista" katsoa mitä tapahtuisi jos sanoisi, että minulla on oikeus ja tekisi määrän x tietynlaisia pyyntöjä kilpailijoiden järjestelmiä käyttäville asiakkaille. Ja toki jos ei vastausta saisi ilmoittaisi asiasta viranomaisille.

 

[Alfred E Neuman]

Tiedän että sakon suuruudeksi on määritelty 4% liikevaihdosta, mutta kun minimisakko on 20 miljoonaa euroa, niin köyhälle sekin on jo paljon.

20 miljoonaa ei ole minimi- vaan maksimisakko euromääräisesti. Itse asiassa maksimisakko GDPR vääryyksistä on 20 miljoonaa euroa TAI 4% liikevaihdosta, kumpi nyt sattuu olemaan suurempi. Näin varmistetaan se, että myös sellaiset suuryritykset, joille 20 miljoonaa on pikkuhiluja ottaa kunnolla osumaa jos käyttää henkilökohtaista dataa väärin.

 

[jussi_j]

...
Toki tuo, että mikä tulkitaan automaattiseksi tietojenkäsittelyjärjestelmäksi on tulkinnallista, eli joku ruoka-allergia-excel ei täyttäne, mutta pekan valinnan asiakasrekisteri jo täyttää.....


...minimisakko on 20 miljoonaa euroa, niin köyhälle sekin on jo paljon.

Pekka laittaa valintansa rekisterin tietokannan audit lokin päälle ja luopuu yhteiskäyttöisistä tunnareista ja case closed. Toki hänen pitää pystyä osoittamaan, että hoitaa hommansa kunnolla, mutta asiakas on varmasti olettanut aiemminkin näin olevan.

 

[Ollakseni]

Näin laki on kirjoitettu ja vaikka se on suhteellisen epämääräisesti kirjoitettu, niin juridisesti pidän huonona, että sitä pitä tulkita niin että jos laissa ei ole järkeä, niin sitten sitä ei tarvitse kirjaimellisesti noudattaa:
Laki henkilötietojen käsittelystä rikosasioissa… 1054/2018 - Säädökset alkuperäisinä - FINLEX ®
19 §
Lokitiedot
Rekisterinpitäjän ja henkilötietojen käsittelijän on huolehdittava lokitietojen säilyttämisestä automaattisessa tietojenkäsittelyjärjestelmässään suoritetusta henkilötietojen keräämisestä, muuttamisesta, kyselystä, luovuttamisesta, siirtämisestä, yhdistämisestä ja poistamisesta. Kyselyjä ja luovutuksia koskevien lokitietojen avulla on pystyttävä selvittämään kyselyn ja luovutuksen peruste, toteutuspäivä ja -aika sekä mahdollisuuksien mukaan henkilötietoja hakeneen tai niitä luovuttaneen henkilön tiedot ja näiden henkilötietojen vastaanottajien henkilöllisyys

Toki tuo, että mikä tulkitaan automaattiseksi tietojenkäsittelyjärjestelmäksi on tulkinnallista, eli joku ruoka-allergia-excel ei täyttäne, mutta pekan valinnan asiakasrekisteri jo täyttää. Ruoka-allergiat taas voitaisiin tulkita terveydentilaa koskevaksi tiedoksi, jota taisivat rajoittaa kokonaan omat momenttinsa.


Tiedän että sakon suuruudeksi on määritelty 4% liikevaihdosta, mutta kun minimisakko on 20 miljoonaa euroa, niin köyhälle sekin on jo paljon.

Mitä tekemistä tuolla lakipykälällä on ihmisille, jotka eivät toimi rikosasioiden parissa? Lakia sovelletaan 1.1 määriteltyjen tahojen kohdalla. Sen lisäksi tuo laki on asetettu voimaan miltei 6 kuukautta GDPR:n voimaantulon jälkeen.


"1) rikosten ennalta estämisestä, paljastamisesta, selvittämisestä tai syyteharkintaan saattamisesta;

2) syyteharkinnasta ja muusta rikokseen liittyvästä syyttäjän toiminnasta;

3) rikosasian käsittelemisestä tuomioistuimessa;

4) rikosoikeudellisen seuraamuksen täytäntöönpanemisesta;

5) yleiseen turvallisuuteen kohdistuvilta uhkilta suojelemisesta tai tällaisten uhkien ehkäisemisestä 1–4 kohdassa tarkoitetun toiminnan yhteydessä."

En tiedä mitä te teette omassa firmassanne, mutta melko korkean profiilin kamaa ilmeisesti jos tuo laki teitä koskee.

 

[dana77]

Pekka laittaa valintansa rekisterin tietokannan audit lokin päälle ja luopuu yhteiskäyttöisistä tunnareista ja case closed. Toki hänen pitää pystyä osoittamaan, että hoitaa hommansa kunnolla, mutta asiakas on varmasti olettanut aiemminkin näin olevan.

Jos hänen käyttämässään rekisterissä tuollainen ominaisuus on. Jos ei, niin sitten hän käyttää tuhansia tai kymmeniä tuhansia hankkiakseen uuden rekisterin joka ei tuota hänelle penniäkään lisäarvoa.
Silläkään case is closed, vaan säädännöstä löytyy muitakin vittumaisia vaatimuksia. Asiakkaat voivat pyytää tietojensa unohtamista, mikä ei useissa järjestelmissä ole niin helppoa kun se kuulostaa jos tietokantasisältää satoja tauluja, joissa on kymmenittäin primääri avaimia. Asiakas voi pyytää tietojensa jäädyttämistä, yhteenvetotietoja kaikista omista tiedoistaan ja vaatia niiden korjaamista.

 

[dana77]

Mitä tekemistä tuolla lakipykälällä on ihmisille, jotka eivät toimi rikosasioiden parissa? Lakia sovelletaan 1.1 määriteltyjen tahojen kohdalla. Sen lisäksi tuo laki on asetettu voimaan miltei 6 kuukautta GDPR:n voimaantulon jälkeen.

En tiedä miksi tuo on otsikoitu noin, mutta kuten eduskunnan sivuilta voi katsoa, niin EU:n tietosuojauudistuksen kansallinen täytäntöönpanon seurauksena nuo lait ovat päivitetty.

Tämä tietopaketti käsittelee hallituksen esitysten HE 9/2018 ja HE 31/2018 valmistelua ja eduskuntakäsittelyä.
Hankkeen pohjalta annettu laki: 1054/2018
Muut annetut lait: 1055/2018–1059/2018

https://www.eduskunta.fi/FI/tietoae...oikeus/LATI/Sivut/EUn-tietosuojauudistus.aspx

 

[BigRedCat]

Mitä tekemistä tuolla lakipykälällä on ihmisille, jotka eivät toimi rikosasioiden parissa? Lakia sovelletaan 1.1 määriteltyjen tahojen kohdalla. Sen lisäksi tuo laki on asetettu voimaan miltei 6 kuukautta GDPR:n voimaantulon jälkeen.


"1) rikosten ennalta estämisestä, paljastamisesta, selvittämisestä tai syyteharkintaan saattamisesta;

2) syyteharkinnasta ja muusta rikokseen liittyvästä syyttäjän toiminnasta;

3) rikosasian käsittelemisestä tuomioistuimessa;

4) rikosoikeudellisen seuraamuksen täytäntöönpanemisesta;

5) yleiseen turvallisuuteen kohdistuvilta uhkilta suojelemisesta tai tällaisten uhkien ehkäisemisestä 1–4 kohdassa tarkoitetun toiminnan yhteydessä."

En tiedä mitä te teette omassa firmassanne, mutta melko korkean profiilin kamaa ilmeisesti jos tuo laki teitä koskee.

En tiedä miksi tuo on otsikoitu noin, mutta kuten eduskunnan sivuilta voi katsoa, niin EU:n tietosuojauudistuksen kansallinen täytäntöönpanon seurauksena nuo lait ovat päivitetty.

Tämä tietopaketti käsittelee hallituksen esitysten HE 9/2018 ja HE 31/2018 valmistelua ja eduskuntakäsittelyä.
Hankkeen pohjalta annettu laki: 1054/2018
Muut annetut lait: 1055/2018–1059/2018

https://www.eduskunta.fi/FI/tietoae...oikeus/LATI/Sivut/EUn-tietosuojauudistus.aspx

@Ollakseni jo asian nostikin esille ja tuo kyseinen laki koskee toimivaltaisia viranomaisia heidän käsitellessään henkilötietoja. Ainakaan tuon perusteella on turha väittää että joku tyttöjen harrastusporukan allergia-exceliin tulisi noita yllä luettelemiasi vaatimuksia soveltaa. Tietosuojalaki lienee oikeampi paikka: Tietosuojalaki 1050/2018 - Säädökset alkuperäisinä - FINLEX ®

 

[dana77]

@Ollakseni jo asian nostikin esille ja tuo kyseinen laki koskee toimivaltaisia viranomaisia heidän käsitellessään henkilötietoja. Ainakaan tuon perusteella on turha väittää että joku tyttöjen harrastusporukan allergia-exceliin tulisi noita yllä luettelemiasi vaatimuksia soveltaa. Tietosuojalaki lienee oikeampi paikka: Tietosuojalaki 1050/2018 - Säädökset alkuperäisinä - FINLEX ®

Nyt en osaa sanoa, miksi tuo laki oli linkattu sivuilla noin, mutta ihan totta. Samaa asiaa käsittelevä kohta löytyy tuoltakin hieman eri sanoin:
"Käsiteltäessä henkilötietoja 1 momentissa tarkoitetussa tilanteessa rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava asianmukaiset ja erityiset toimenpiteet rekisteröidyn oikeuksien suojaamiseksi. Näitä toimenpiteitä ovat:
1) toimenpiteet, joilla on jälkeenpäin mahdollista varmistaa ja todentaa kenen toimesta henkilötietoja on tallennettu, muutettu tai siirretty"

 

[BigRedCat]

Nyt en osaa sanoa, miksi tuo laki oli linkattu sivuilla noin, mutta ihan totta. Samaa asiaa käsittelevä kohta löytyy tuoltakin hieman eri sanoin:
"Käsiteltäessä henkilötietoja 1 momentissa tarkoitetussa tilanteessa rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava asianmukaiset ja erityiset toimenpiteet rekisteröidyn oikeuksien suojaamiseksi. Näitä toimenpiteitä ovat:
1) toimenpiteet, joilla on jälkeenpäin mahdollista varmistaa ja todentaa kenen toimesta henkilötietoja on tallennettu, muutettu tai siirretty"

Se vain että kun et voi lukea lakitekstiä noin että otat pätkän sieltä ja toisen täältä. Tuo kirjoittamasi kuuluu johonkin tiettyyn tilanteeseen ja soveltamisalueeseen. Vajavaisen ymmärrykseni nojalla tuo momentti 1 viittaa kohtaan jossa annetaan tietyille instansseille vapautukset tietosuoja-asetuksen artiklan 9 kohdasta 1. Ja tietosuoja-asetuksen artiklan 9 kohta1 kuuluu seuraavasti:

1. Sellaisten henkilötietojen käsittely, joista ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys sekä geneettisten tai biometristen tietojen käsittely henkilön yksiselitteistä tunnistamista varten tai terveyttä koskevien tietojen taikka luonnollisen henkilön seksuaalista käyttäytymistä ja suuntautumista koskevien tietojen käsittely on kiellettyä.


Jos tyttöjen harrastusporukan henkilörekisterissä pidetään kirjaa etnisestä taustasta ja poliittisista mielipiteistä yms. niin toki sitten olet ihan aiheestakin huolissasi. Ruoka-aineallergian toki voinee jossain määrin terveystiedoksi laskea, mutta sekään ei vielä johda ihan niin valtavaan taakkaan. Yksi ohje juuri harrastetoimintaa varten löytyikin Liikuttajasta:

EU:n yhteinen tietosuoja-asetus (GDPR) astuu voimaan 25.5.2018

"

• Arkaluonteiset henkilötiedot, joihin kuuluvat esimerkiksi terveystiedot ja ruoka-aine allergiat, tulee hävittää, kun niitä ei enää tarvita. Jos teillä on toistuvia tapahtumia samalle ryhmälle, silloin tietojen säilyttäminen seuraavaan tapahtumaan asti on perusteltua. Henkilön pitää kuitenkin tietää, että hänen arkaluonteisia tietojaan säilytetään.

Asetusta ei tarvitse kuitenkaan säikähtää! Maalaisjärki on yhä toimivan yhdistystoiminnan perusta. Jos henkilötietojen kerääminen ja säilyttäminen on perusteltua, silloin tietoja saa kerätä ja säilyttää. Omia toimintatapoja on kuitenkin hyvä tarkastella kriittisesti, olisiko jossain tietojen käsittelyn vaiheessa parannettavaa?"

Ja en edes ole kanssasi eri mieltä etteikö tuo asetus johtaisi ei-toivottuihin seurauksiin joita ei osattu ennakoida.

 

[dana77]

Se vain että kun et voi lukea lakitekstiä noin että otat pätkän sieltä ja toisen täältä. Tuo kirjoittamasi kuuluu johonkin tiettyyn tilanteeseen ja soveltamisalueeseen. Vajavaisen ymmärrykseni nojalla tuo momentti 1 viittaa kohtaan jossa annetaan tietyille instansseille vapautukset tietosuoja-asetuksen artiklan 9 kohdasta 1. Ja tietosuoja-asetuksen artiklan 9 kohta1 kuuluu seuraavasti:

1. Sellaisten henkilötietojen käsittely, joista ilmenee rotu tai etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys sekä geneettisten tai biometristen tietojen käsittely henkilön yksiselitteistä tunnistamista varten tai terveyttä koskevien tietojen taikka luonnollisen henkilön seksuaalista käyttäytymistä ja suuntautumista koskevien tietojen käsittely on kiellettyä.

Olen samaa mieltä alkuosasta. Minä en kuitenkaan tätä asiaa ole lakikirjoista opetellut, vaan saanut lakimiehiltä ohjeet miten tuota pitää tulkita ja toiminut sitten sen mukaan ja samanlaiset käsittelysäännöt ovat koskeneet muitakin tapauksia kuin mitkä tuossa on lueteltu.

Ruoka-aineallergian toki voinee jossain määrin terveystiedoksi laskea, mutta sekään ei vielä johda ihan niin valtavaan taakkaan. Yksi ohje juuri harrastetoimintaa varten löytyikin Liikuttajasta:

EU:n yhteinen tietosuoja-asetus (GDPR) astuu voimaan 25.5.2018
"Arkaluonteiset henkilötiedot, joihin kuuluvat esimerkiksi terveystiedot ja ruoka-aine allergiat, tulee hävittää, kun niitä ei enää tarvita. Jos teillä on toistuvia tapahtumia samalle ryhmälle, silloin tietojen säilyttäminen seuraavaan tapahtumaan asti on perusteltua. Henkilön pitää kuitenkin tietää, että hänen arkaluonteisia tietojaan säilytetään.

Tämä esimerkki ei ollut tosiaan itse keksimäni, vaan kuulin että näin oli toimittu. Siinä mielessä on tietenkin positiivista, jos vallitseva tulkinta on tuollainen, joskaan en tiedä mikä auktoriteetti suomen ladulla asiassa on ja mihin pykälään tuo tulkinta perustuu.

 

[Vahva tunne]

Suomalaisissa on se ongelma, että täällä yritetään aina tosissaan sitä, mikä on sovittu. Se on ihan jees homma, mutta kun kulttuuri tuolla muualla, varsinkin etelässä on se, että tehdään niin, kuin meille sopii, vallitsee, niin aina jää meille se hölmistyneen sivustakatsojan rooli. Suomalaisten poliitikkojen pitää vihdoin ymmärtää se peli, mitä pelataan isoilla kentillä.
Suomessa yritetään saada eurooppaa paremmaksi, mutta monet maat vetävät ainoastaan omaan piikkiin jokaisen päätöksen. Se vaikeuttaa työtä jumalattomasti eikä siitä mitään tulekaan.
No, aletaanko vetää omaan pussiin? Ei käy, koska Suomi on niin pieni maa, ettei meidän teoilla ole mitään merkitystä euroopan unionissa. Hyväntahtoisesti naurahtavat,,kun jotain yrittää ehdottaa. Sen vuoksi tuossa paskaliitossa on aivan turha notkua niin kauan, kuin siellä noita vapaamatkustajia riittää.
Parempi olisi pohjoisen euroopan vapaakauppaliitto, jossa sovitu asiat pitävät, ja kaikki niihin sitoutuvat. Kaiken lisäksi se rahallinen valta olisi edes jotenkuten hallittavissa.

 

[jussi_j]

Tuohon lakikeskusteluun sen verran, että gdpr on asetus, mikä ajaa kansallisen lain yli ja voimassa sellaisenaan kaikissa jäsenmaissa. Suomen lakia ei ymmärtääkseni ole päivitetty ajan tasalle.

 

[jussi_j]

Jos hänen käyttämässään rekisterissä tuollainen ominaisuus on. Jos ei, niin sitten hän käyttää tuhansia tai kymmeniä tuhansia hankkiakseen uuden rekisterin ...

Haet hakemalla ongelmia sieltä missä niitä ei ole. Joku kauppias käyttää softaa mikä on 100% varmuudella ajan tasalla. Jos hän on tehnyt oman softan, niin kaikissa tietokannoissa on loki, mikä riittää. Kerro yksikin reaalimaailman esimerkki noista ongelmista. Se ei ole ongelma, että joutuu käsittelemään asiakastietoja huolella, paitsi ehkä sinun yrityksessä, mutta en halua asioida siellä.

 

[dana77]

Haet hakemalla ongelmia sieltä missä niitä ei ole. Joku kauppias käyttää softaa mikä on 100% varmuudella ajan tasalla. Jos hän on tehnyt oman softan, niin kaikissa tietokannoissa on loki, mikä riittää. Kerro yksikin reaalimaailman esimerkki noista ongelmista.

Softa voi olla ajantasalla mutta ei se itsestään vaatimuksia täyty ja se kauppias sen kehityksen maksaa. En ole ainoa joka asiasta on ketjussa puhunut ja tiedän hyvin mitä vaikutuksia muutoksella on ollut asiakkaissa ja kilpailijoissa. Se että jos sinä et asiasta tiedä ei asiaa muuta mihinkään. Lue nyt vaikka tuo:
https://www.kauppalehti.fi/uutiset/...-gdpr-on/0c8a6181-054b-37e3-a57c-54d067f99403

 

[jussi_j]

@dana77 tuossa jutussa sanottiin, että yrityksillä meni rahaa kun varmistivat, että käsittelevät ihmisten tietoja huolella. Tiedän tämän toki itsekin, kun pari vuotta olin mukana tuossa. Mikä siinä on huono juttu?