Hei,
Minulla on ollut jo useita useita vuosia henkilökohtaisia palvelimia käytössä, olen näissä palvelimissa ylläpitänyt omaa elämää ja iloa olevia peli sivustoja.
Minulla on nyt kuitenkin toimet vakavoitumassa, kun sallin ihmisten kirjautua sivustoilleni ja pelata kirjautuneena muita vastaan :).
Mikä minun asemani taikka minun statukseni on, olenko minä netti sivuston ylläpitäjä vaiko valvoja vaiko mikä minun statukseni sitten on, mikä nimitys minulle tästä ylläpidosta tulee ?
Myös mistä minä saan ihan kaikki tietää, kun käsittelen muitten ihmisten salasanoja ja käyttäjätunnuksia ja emaileja, mitä täytyy tietää ja mistä tietoa saa ?
Minä olen tätä jo hieman täällä puhuna, mutta, en omaa tällä hetkellä kunnon tieto taitoja, minusta ei kuitenkaan tule yrittäjää, eli tämä on harraste pohjaista yhä jatkossakin. :), mutta, nyt täytyy sitten opiskella ensimmäisen kerran vähän jo vakavammin näitä ylläpitoja.
Minä tiedän http://tietosuoja.fi osoitteen ja sinne varmaankin ainakin menen, kiitos silti vinkeistänne.
Kiitos,
Hannu Särö.
Ylläpitäjä / valvoja / moderaattori jne. eivät ole laillistettuja nimikkeitä, eli niitä voi käyttää kuka tahansa missä kontekstissa tahansa. Nettisivun pyörittäminen ei tuo sinulle mitään sellaista pätevyyttä, että tarvitsisi jotain erikoista nimikettä käyttää muutenkaan.
Yhden miehen projektina sinä luonnollisesti vastaat koko sivustosta ja kaikista sen toimintaan liittyvistä asioista, joten voit halutessasi keksiä mitä tahansa nettisivuston ja -palvelun pyörittämiseen liittyviä nimikkeitä ja esiintyä niistä millä tahansa.
Kysymyksesi koskee varmaan uutta tietosuoja-asetusta GDPR.
Itse olen miettinyt samoja asioita kun olen nettisivuja tehnyt.
Jaa rekisteriseloste pitää tehdä uuden tietosuojalain mukaan jos sivustolla säilytetään ihmisten henkilötietoja mm. tietokannoissa. Ongelmana on vaan se, että ammattimaisen sellaisen osaa tehdä vain lakimies ja sellaiset voi maksaa jopa 250 € / tunti + ALV 24 %. Ja mulla itellä olisi tällaiseen varaa juuri ja juuri.
Tässä pieni karkea tiivistys GDPR:stä
GDPR
-jos joku henkilö pyytää jotain omiin tietoihin liittyen on se tehtävä (muutokset, poistaminen jne)
-tietoa suojeltava lainvastaiselta käytöltä
-poistettava vanhentunut tieto
-älä kerää henkilötunnuksia jos ei ole aivan pakko
-tietoja ei saa käyttää muuhun tarkoitukseen kuin mihin ne alunperin saatiin
-ei saa kerätä tietoa mistä ei ole yritykselle hyötyä. esim. osoitteen kysyminen jos sillä ei mitään tee?
-yritykset ovat vastuussa kaikesta tiedosta mitä heillä on
-perusperiaate: kerätään mahdollisimman vähän ja kerätylle tiedolle oltava syy miksi kerätty
Firmalle
-nimitettävä tietosuojavaltuutettu/vastaava
-henkilötietoihin pääsy vain niillä jotka sitä tietoa oikeasti tarvitsevat
-dokumentoituna oltava tieto siitä miten toimitaan jos joku pyytää omiin tietoihinsa liittyen jotain
Tuote tai palvelu
-pyydettäessä on helposti saatava ulos kaikki tieto mitä henkilöstä on järjestelmässä
-pyydettäessä on helposti saatava muokattua ja poistettua asiakkaan tietoja
-jos tietoja ei voi poistaa ne pitää pystyä anonymisoimaan
-henkilötietoihin pääsy vain niillä jotka sitä tietoa oikeasti tarvitsevat
-mieluiten lokitus henkilötietojen käsittelyyn
-käyttäjän ei periaatteessa tarvi erikseen "allekirjoittaa" suostumusta jos tehty sopimus (käsittelyperuste)
-dokumentoituna oltava tieto siitä miten toimitaan jos joku pyytää omiin tietoihinsa liittyen jotain
-jos asiakkaan asiakas pyytää poistamaan omat tietonsa eikä asiakas pysty sitä helposti tekemään (esim nappi järjestelmässä) on vastuu toimittajalla.
Rekisteriseloste tuotetta tai palvelua koskien
-kirjataan mikä yhtiö, osoitteet jne
-mitä tietoja rekisteri sisältää
-kuka saa nähdä tiedot, millä oikeuksilla, millä perusteilla
-tietojen käsittelyn tarkoitus
-tietoryhmien poistamisen suunnitellut määräajat
-siirretäänkö tietoja kolmanteen maahan (EU:n ulkopuolelle)
-miten tiedot on suojattu, turvatoimet (virustutkat, palomuurit jne, suojattu fyysinen paikka, lukitus, kulunvalvonta jne)
DPIA (data protection impact assessment) dokumentaatio on oltava olemassa
Mozillan Lean data practices -lähestymistavassa on kolme peruspilaria. Tämä kuvaa erittäin lyhyesti GDPR-perusteita vaikka ei siihen suoraan liitykään
1. Stay lean
Kerää vain tietoa, jota tarvitset.
Älä säilytä tietoa, jota et enää tarvitse sekä
Anonymisoi kaikki tieto, jonka voit
2. Build in security
Rajaa pääsy tietoon niille, jotka sen todella tarvitsevat
Salaa tietoa sitä siirrettäessä
Ole tarkkana, mihin tiedon tallennat ja miten
3. Sitouta käyttäjäsi
Tietosuojan pitäisi olla itsestäänselvää
Jos näin ei ole kerro tarkkaan, mitä teet
Ilmeisesti jos laki vaatii jotain, joka on ristiriidassa edellä mainittujen kanssa, niin laki menee noiden periaatteiden ohi. Esimerkiksi kirjapintoaineistoa täytyy lain mukaan säilyttää vuosia ja sitä ei saa muokata. Jos siis asiakkaalle on lähetnyt lasku jossa on hänen nimi ja osoite, niin ei sitä voi lähteä anonymisoimaan, vaikka asiakas pyytäisikin tulla unohdetuksi.
Kyllä, sama koskee esimerkiksi potilastietoa. Mikäli arkistointivelvoitteesta (ja ajoista) on erikseen laissa foobar mainittu, on se voimassa GDPR:n sijaan.
Aihe on jo aika vanha, joten et voi enää vastata siihen.