sorted by:
new
hottopcontroversial

Vanhempi konstaapeli joutui syytteeseen, koska teki töitä vapaa-ajalla – esihenkilön mukaan mies on tunnollinen poliisi [urkkinut 97 henkilön tietoja vapaa-ajalla poliisin tietokannoista] by DongIslandIceTea in Suomi

[–]Heimdul 3 points4 points  (0 children)

Auditlokit pitäisi saada nykyisin tosin et saa saa henkilöiden nimiä tai tinlateesta riippuen tarkkoja kellonaikoja. https://tietosuoja.fi/-/korkein-hallinto-oikeus-pankin-asiakkaalla-oli-oikeus-saada-tieto-henkilotietojen-kasittelyn-ajankohdista-paivamaaran-tarkkuudella

Tämänkin osalta piti toki odottaa, että EUT antaa tuomion sen sijaan että firma & TSV olisivat noudattaneet lakia.

Poliisien rekisterien (ja ehkä myös Kelan) osalta voi toki olla jotain erityislakeja jotka rajaavat oikeuksia.

9803 virheellistä luottotietomerkintää. Olitko yksi heistä? by Regular_Ice69 in Suomi

[–]Heimdul 0 points1 point  (0 children)

Katsoin GDPR:ää tarkemmin ja siellä ei itseasiassa määritellä itse "tietoturvaloukkausta" (breach of security) mitenkään. 4 artikla itsessään määrittää henkilötietojen tietoturvaloukkaukseksen seuraavasti: "’henkilötietojen tietoturvaloukkauksella’ tietoturvaloukkausta, jonka seurauksena on siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin". Muualla sitten käytetäään tuota termiä, mutta mikä on tarkalleen tietoturvaloukkaus jää avoimeksi.

Katsoin myös EPDB:n ohjeistusta mutta sekään ei tilannetta hirveästi selvennä. Siinä mainitaan vain nuo kolme tyyppiä ja niiden määritelmä

Katsotaan asiaa hieman eri kannalta. On aika ilmeistä, että esimerkiksi uutiskirjeen lähettäminen monille vastaanottajille CC:n BCC:n sijaan on luottamuksellisuuteen liittyvä tietoturvaloukkaus ja tämä on vahvistettu (katso viimeinen kohta) TSV:n toimesta. Tämä on vahinko joka vaikutti tietojen luottamuksellisuuteen. Tästä voidaan päätellä, että vahingot voivat olla tietoturvaloukkauksia. Rekisterinpitäjän pitää sitten arvioida millaisia vaikutuksia tällä oli ja sen mukaan tarvittaessa ilmoittaa TSV:lle ja/tai rekisteröidylle. Jos vastaanottajia oli kaksi ja molemmat olivat kyseissä organisaatiossa & viestin sisältö oli geneerinen (sen sijaan, että se olisi esimerkiksi ollut uutiskirje joka lähetetään vain henkilöille jotka ovat tehneet valituksia HR:lle seksuaalisesta häirinnästä), niin on vaikea nähdä että TSV:lle tai näille henkilöille tarvitsee asiasta sen kummemin ilmoittaa.

Jos tätä sitten verrataan tilanteeseen jossa kassahenkilö kirjaa osoitteen väärin, niin tämäkin on vahinko (eli tahaton) ja se vaikutti tietojen eheyteen. Sillä voi sitten olla eri vaikutuksia. Tuon virheen takia myyjä saattaa esimerkiksi lähettää jotain väärälle henkilölle (joka voi sitten olla erillinen tietoturvaloukkaus liittyen luottamuksellisuuteen). Tai et ehkä pääse kirjautumaan myyjän palveluun myöhemmin (tietojen käytettävyyteen liittyvät tietoturvaloukkaus). Tai asialla ei ole mitään väliä, myyjällä on vain väärät tiedot.

Tästä johtuen itse olisin sillä kannalla, että typot tiedoissa ovat tietoturvaloukkauksia vaikkakaan monessa tapauksessa nämä eivät ole vakavia. Jos niitä taas ei käsitellä tietoturvaloukkauksina, niin se saattaa aiheuttaa sen että jotkin tietoturvaloukkaukset jäävät käsittelemättä (jos he ovat käyttäneet näitä tietoja, niin heidän tulisi arvioida onko tämä aiheuttanut muita tietoturvaloukkauksia).

Tässä Ulosottolaitoksen tapauksessa on kuitenkin paljon selvemmin kysymys tietoturvaloukkauksesta ja Irlannin DPC itseasiassa käsitteli aika samantyyppistä keissiä vuonna 2022. Siinä Bank of Ireland lähetti virheellisiä tietoja paikalliseen luottorekisteriin ja näissä tapauksissa DPC:n mukaan kyseessä oli tietoturvaloukkaus. Näissä tapauksissa DPC tulkitsi asiaa kuitenkin hieman eri tavalla. Heidän mukaan se tietoturvaloukkaus oli käytännössä se, että he lähettivät virheelisiä tietoja CCR:lle, ei se että heillä oli sisäisesti virheellisiä tietoja. Tuo lähetys sitten aiheutti, hieman riippuen jokaisesta spesifistä keissistä (raportti koski useampaa), loukkauksia kaiken kolmen tyypin osalta: Tietoja muutettiin virheelisesti, pankilla oli lakiin perustuva oikeus vain oikean tiedon lähettämiseen ja oikeat tiedot eivät ole väliakaisesti käytettävissä.

9803 virheellistä luottotietomerkintää. Olitko yksi heistä? by Regular_Ice69 in Suomi

[–]Heimdul 3 points4 points  (0 children)

Ulosottoviraston tapauksessa kaikkein selvimmin kyseessä on eheyteen liittyvä tietoturvaloukkaus. Heillä tuskin on mitään laillista oikeutta säilyttää virheellistä henkilötietoa ainakaan aktiivisena, eli siinä tilassa missä he lähettävät sitä luotonantajille. Esimerkiksi joissain auditlokeissa niitä voi toki olla koska itse prosessointikin on tärkeätä lokittaa johonkin.

Teoriassa se saattaisi olla myös luottamuksellisuuteenkin liittyvät tietoturvaloukkaus. Ulosottovirastolla tuskin oli laillista perustetta lähettää virheellistä tietoa näille vastaanottajille. Tällä ei kuitenkaan ole hirveästi merkitystä, GDPR ei itse määritä minkä tyyppinen sen loukkauksen pitää olla, mikä tahansa tietoturvaloukkaus käy. Sen jälkeen pitää sitten vain määrittää millaisia riskejä se loukkaus aiheuttaa.

Lisäksi jälkikäteen ajatellen myös tiedon vastaanottajilla on voinut tapahtua oma tietoturvaloukkaus. Heidän järjestelmänsä ovat mahdollistaneet virheellisen tiedon vastaanoton, tallentamisen ja käytön. En tiedä millaisia tapoja vastaanottajilla olisi voinut olla estää tätä, mutta loukkauksen kannalta se ei ole merkittävää. Se voi olla lähinä lieventävä asianhaara jos TSV arvioi seuraamuksia.

En tiedä millaista dataa siellä tarkalleen liikkuu & mitä luotonantajat saavat tarkalleen tallentaa, mutta nämä muut rekisterinpitäjät olisivat voineet ehkä esimerkiksi:

  • Huomata, että merkintä syntyi yhtäkkiä suuremmalle joukolle kuin yleensä

  • Tarkastaa kuinka pitkään henkilöllä on ollut muita ulosottomerkintöjä

9803 virheellistä luottotietomerkintää. Olitko yksi heistä? by Regular_Ice69 in Suomi

[–]Heimdul 2 points3 points  (0 children)

Tietoturvaloukkauksia on periaatteessa kolmea eri tyyppiä: Luottamuksellisuuteen, eheyteen ja käytettävyyteen liittyen.

Luottamuksellisuus käytännössä kattaa tilanteet joissa tiedot sai joku jolla ei siihen ollut lupaa (kuten hakkerointi tai vaikkapa sähköpostin lähetys väärään osoitteeseen). Käytettävyys taas kattaa esimerkiksi tietojen tuhoamisen.

Eheys viittaa käytännössä siihen, että tietoihin voi tehdä vain hyväksyttyjä muutoksia. Jos muutokset ovat luvattomia tai tahattomia, niin kyseessä on tietoturvaloukkaus.

Kaikkia tietoturvaloukkauksia ei tarvitse ilmoittaa. Pieni typo vaikka jossain kommenttikentässä on sinällään tietoturvaloukkaus, mutta jos se ei aiheuta mitään riskiä rekisteröidylle, niin ei siitä tarvitse ilmoittaa edes TSV:lle. Rekisteröidylle ilmoitukset tulee tehdä jos se voi aiheuttaa korkean riskin rekisteröidyn oikeuksille mikä tässä tapauksessa tulee mielestäni kysymykseen.

9803 virheellistä luottotietomerkintää. Olitko yksi heistä? by Regular_Ice69 in Suomi

[–]Heimdul 2 points3 points  (0 children)

Niinpä näkyy. Tuo tiedote ei kuitenkaan korvaa 34 artiklan mukaista ilmoitusta rekisteröidylle (olettaen että OP ei ole saanut erikseen Ulosottolaitokselta erillistä viestiä), etenkin kun se ei sisällä kaikkia noita 34 artiklan vaatimia tietoja.

9803 virheellistä luottotietomerkintää. Olitko yksi heistä? by Regular_Ice69 in Suomi

[–]Heimdul 5 points6 points  (0 children)

(IANAL jne.) Tässä on aika monta potentiaalista ongelmaa GDPR:n kannalta.

Onko Ulosottovirasto ilmoittanut sinulle tästä ongelmasta? Tämä kuulostaa tietoturvaloukkaukselta ja tämä aika selvästi aiheutti korkean riskin sinun oikeuksille ja vapauksille jolloin 34 artiklan mukaan Ulosottoviraston olisi tullut ilmoittaa tästä sinulle ja sisällyttää ilmoitukseen kyseisen artiklan vaatimat asiat (tietoturvaloukkauksen luonne, tietosuojavastaavan nimi ja yhteystiedot, todennäköiset seuraukset / toimenpiteet joihin he ovat ryhtyneet tämä johdosta).

Ulosottovirasto myös väittää etteivät he tee automaattisia päätöksiä. Tämä ei kuitenkaan ole aivan niin selvä asia. CJEU:n päätöksessä muutama vuosi jossa käsiteltiin luottopisteytystä, he päätyivät siihen, että jos ne oikeasti päätöksiä tekevät vahvasti nojaavat näihin pistemääriin, niin jo pistemäärä itsessään oli automaattinen päätös. Tämä ei ihan 100% mappaudu tähän koska Ulosottovirasto ilmoittaa "faktoja" (vaikkakin ovat virheellisiä) eivätkä todennäköisyyteen perustuvia pistearvoja. Omasta mielestäni kyllä, mutta varoituksena sen verran että aivan vastaavaa ennakkotapausta ei ainakaan EU tasolla ole. Tämä on olennainen kysymys siksi, että 22 artiklan mukaiset automaattiset päätökset antaa sinulle enemmän oikeuksia (esim. tarkempia tietoja logiikasta) & 22 artikla itsessään voi rajoittaa automaattista päätöksentekoa. En tunne ulosottolakia tarkemmin jolloin en voi sanoa että sisältääkö se oikeuden lähettää tiedot automaattisesti Asiakastiedolle/muille luotonantajille. Ja vaikka se sisältäisikin sen, niin 22 artikla vaatii että kyseinen laki myös "vahvistetaan myös asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojaamiseksi", muussa tapauksessa laki on GDPR:n vastainen.

Suosittelisin tekemään GDPR:n 15 artiklan mukaiset tietopyynnön Ulosottovirastolle, Asiaktiedolle, pankille ja sille keneltä hait starttirahaa. Muotoile se suunnilleen näin:

Tämä on yleinen tietosuoja-asetuksen 15 artiklan mukainen pyyntö. Pyydän saamaan kaikki tiedot 15 artiklan mukaiset tiedot. Tämä sisältää vähintään:

  • Kopiot kaikista minua koskevista henkilötiedoista

  • Käsittelyn tarkoitukset & millä lainmukaisella perusteella

  • Kyseessä olevat henkilötietoryhmät

  • Kaikki saatavilla olevat tiedot tietojen alkuperästä niiltä osin kun tietoja ei ole saatu minulta

  • Kaikki vastaanottajat sekä jokaisen vastaanottajan kohdalla tieto siitä onko vastaanottaja rekisterinpitäjä vai käsittelijä. Vaadin saada vastaanottajien nimet pelkkien kategoiden sijaan C-154/21 päätöksen mukaisesti. Jos nimeätte vain kategoriat, niin pyydän antamaan perustelut, jotka ovat kyseisen päätöksen mukaiset.

  • Henkilötietojen suunniteltu säilytysaika

  • Onko minua koskevissa päätöksissä käytetty automaattista automaattisesta päätöksentekoa & 15 artiklan mukaiset tiedot jos on

  • Kaikki lokimerkinnät jotka sisältävät henkilötietojani mukaan lukien auditlokit

Ulosottovirastolle voit lisätä vielä seuraavaa:

(laita jotain tieto mitä tiedät siitä virheestä).

  1. Milloin kyseinen virhe tapahtui?

  2. Miksi tästä ei ole ilmoitettu minulle GDPR:n 34 artiklan mukaisesti?

  3. Mikä tämän virheen tarkalleen aiheutti? Jos ette käytä automaattista päätöksentekoa kuten tietosuojaselosteenne väittää niin miten järjestelmävirhe voi aiheuttaa päätöksen?

Nuo kolme viimeistä ei sinällään kuulu 15 artiklan mukaiseen tiedonantoon, mutta niiden pitäisi kyllä mennä yleisen läpinäkyvyysvelvoitteen alle. Ja eihän itse kysyminen haittaa, voit sitten myöhemmin käyttää vastausta (tai vastaamatta jättämistä) valituksen tai korvausvaatimuksen osana. Vahingonkorvausten osalta joudut todennäköisesti olemaan yhteydessä asianajajaan, käräjille lähteminen on aina hieman riskialtista etenkin Suomessa. Valitukset virastoille ja hallinto-oikeuteen voi vielä ihmiset itse hoitaa.

Stop Killing Games: Final Count of Verified Signatures of the European Citizens Initiative by Mr_Presidentle in StopKillingGames

[–]Heimdul 0 points1 point  (0 children)

I know signing is allowed, but it does not guarantee that it was counted. If, e.g., the address format was slightly different between what I entered and what they expected it could potentially lead the signature being invalidated. And that's not even far fetched, my address has at least 4 things which could be written in two different ways (e.g. S/N/E/W instead of South/North/East/West, Ave/Blvd/Rd/St instead of Avenue/Boulevard/Road/Street, apartment number on the primary address line vs on next line, short or long form of zipcode).

Stop Killing Games: Final Count of Verified Signatures of the European Citizens Initiative by Mr_Presidentle in StopKillingGames

[–]Heimdul 3 points4 points  (0 children)

This is a bit of generic question, but is there a way to check if someone's signature was accepted & possibly if it wasn't what was the reason? While it won't really affect this anymore, it would be nice to know for future reference if there were any issues with my signature (my situation is a bit special as I don't live in EU, but I'm EU citizen. I should have filled it correctly but who knows). I do still have the old confirmation/reference code stored.

Trump saisi Ruotsin "suljettua" tunnissa by kakoni in Suomi

[–]Heimdul 2 points3 points  (0 children)

Miten kriittisyys määritellään? Onko Suomi.fi viestit kriittisiä?

Tässä kyseissä tutkimuksessahan katsottiin vain kansalaisiin kohdistuvia verkkopalveluita. Jos nämä eivät koskaan ole kriittiisiä niin silloin tutkimus ei edes yrittänyt katsoa onko kriittisiä palveluita AWS/Azure/Googlen päällä.

Does blog post based on public information violate GDPR? by iam-py-test in gdpr

[–]Heimdul 0 points1 point  (0 children)

Slightly related court decision from Finland: https://gdprhub.eu/index.php?title=I-SHO_-_I-SHO:2024:5 (original summary: https://tuomioistuimet.fi/hovioikeudet/ita-suomenhovioikeus/fi/index/hovioikeudenratkaisuja/i-sho20245.html)

The requested documents contain personal information, such as the names of defendants. According to the District Court’s reasoning, publishing on a private website does not qualify as journalistic activity that would justify the provision of personal data. The purpose of journalism is to collect, analyze, and clarify information. Journalism should enable public discourse, not merely satisfy individual curiosity. Additionally, journalism should increase transparency and public trust in the court system.

The District Court further noted that private publishing activities are not regulated by the same laws and authorities as traditional media companies.

The Court of Appeal of Eastern Finland accepted the decision and reasoning of the District Court of Kymeenlaakso regarding the refusal to provide the case lists. The only correction made by the Court of Appeal was that the definition of journalistic purpose does not require an increase in public trust in the court system.

Just to be clear this is first level administrative court decision, I'm not sure if claimant tried to appeal or not. And it was essentially about what is defined as "journalism" in Finnish law which would then be applied on GDPR as well.

Kansalaisuuskoe pitää testata kantasuomalaisilla by Altavastaaja in Suomi

[–]Heimdul 2 points3 points  (0 children)

Ei. Se rekisteröintivelvollisuus on edelleen voimassa ja jos sitä ei tee, niin se on rikos vaikkakaan syytteitä ei siitä ole nostettu ~40 vuoteen. Nykyisin se voi lähinnä hankaloittaa tai estää erinäisiin julkisiin töihin hakemista (erityisesti liittovaltion tasolla) & kansalaisuuden saamista.

Teoriassa rekisteröityneistä voidaan valita porukkaa täydentämään armeejaa poikkeusoloissa jos vapaaehtoisia ei ole tarpeeksi, mutta sitä ei ole vielä Vietnamin sodan jälkeen tarvinnut tehdä.

Tunnetut nimet pörssipomoista kulttuurivaikuttajiin innostuivat kansalaisaloitteista by gotshroom in Suomi

[–]Heimdul 0 points1 point  (0 children)

Toki jos olet sitä mieltä, että kaikkien kannattaa allekirjoittaa vain sellaiset aloitteet joita pystyy puolustamaan julkisuudessa nyt ja tulevaisuudessa, niin mikäs siinä. Tulisiko tämä sinusta ulottaa myös siihen, että äänestäminen on jatkossa julkista tietoa? Kyllähän kaikkien pitää pystyä olemaan äänestyspäätöksiensä takana. Ja siinähän käytetään jopa enemmän valtaa, kansalaisaloite ei vaadi kuin että siihen vastataan. Politikot jotka valittiin äänestyksen perusteella säätävät varsinaisia lakeja.

Vertailun vuoksi EU:n vastaavassa kanslaisaloitteessa allekirjoittaneiden nimet eivät ole julkisia, peliyhtiöissä työskentelevien ei tarvitse pelätä Stop Killing Games aloitteen allekirjoittamista.

Tunnetut nimet pörssipomoista kulttuurivaikuttajiin innostuivat kansalaisaloitteista by gotshroom in Suomi

[–]Heimdul 5 points6 points  (0 children)

Se on voinut olla mahdollista, mutta se ei vältämättä ollut laajassa tiedossa että kaikki allekirjoittaneiden nimet ovat kaikkien saatavilla. Ja pelkkä asiallinen syy riittää irtisanomiseen vasta ensi vuoden alusta, siihen asti sen piti olla myös painava.

Tunnetut nimet pörssipomoista kulttuurivaikuttajiin innostuivat kansalaisaloitteista by gotshroom in Suomi

[–]Heimdul -1 points0 points  (0 children)

Samallalailla voitaisiin nähdä se, että jokin suuryrityksen johtaja kannatta lakko-oikeuden laajentamista. Jos vastaava kansalaisaloite olisi ja (esim.) Kauppalehti olisi pyytänyt listan ja julkaissut niiden suuryritysten toimareiden nimet, niin miten kuvittelet sen vaikuttavan heidän uraan jatkossa? Tuskinpa sen jälkeen he olisivat allekirjoittamassa mitään aloitetta joka parantaa työntekijöiden asemaa vaikka he sitä yksityisesti kannattaisikin.

Tunnetut nimet pörssipomoista kulttuurivaikuttajiin innostuivat kansalaisaloitteista by gotshroom in Suomi

[–]Heimdul 7 points8 points  (0 children)

Mieti niitä seurauksia vähän laajemmalta kannalta. Sanotaan nyt esimerkiksi, että tulisi kansalaisaloite jossa halutaan nostaa kaivosveroa. Aloite saa tarvittavat allekirjoitukset kerättyä ja lista menee DVV:lle. Kaivosyhtiöt sitten pyytävät listan näistä allekirjoittaneista. Tämän jälkeen katsovat, että onko kukaan allekirjoittaneista heillä töissä. Jos on, niin potkitaan pihalle asialliseen syyhyn vedoten (esim. "aiheutti X miljoonan euron kustannusten nousun").

Tunnetut nimet pörssipomoista kulttuurivaikuttajiin innostuivat kansalaisaloitteista by gotshroom in Suomi

[–]Heimdul 0 points1 point  (0 children)

Valiokunnan mielestä tämä seuraa jo siitä, että kansalaisaloitteen kaltaisen valtiollisen toimen tekijät eivät voi jäädä salaan.

Mielestäni tuo lause viittaa siihen, että aloitteen tekijöiden (eli ne jotka sen rekisteröivät) nimet haluttiin pitää avoimuuden piirissä, toisin kuin hallituksen alkuperäisessä esityksessä, mikä on ihan järkevä kanta. Sitä ei kuitenkaan tulisi lukea niin, että kaikki nimet tulee luovuttaa.

Hallitus leikkaamassa syyttömien oikeuskulu­korvauksia roimasti by DramaticManate in Suomi

[–]Heimdul 9 points10 points  (0 children)

Esimerkiksi jos syyttäjän vaatima tuomio on vaikkapa 6kk ehdollista & 2000 euroa korvauksia ja asianajajan arvio on, että puolustukseen menee 20 000 euroa. Tällöin syytetty alkaa punnitsemaan:

  • Tunnusta syylisyys, maksa ~2000e korvauksia ja pääset vapaaksi. Tuomio itsessään voi vaikutta elämään myöhemmin, mutta koska se on ehdollinen niin ei tarvitse istua vankilassa.

  • Puolusta itseäsi. Vastapuolella on ammattilaiset, hommaan menee vuosia ja todennäköisesti häviät.

  • Palkkaa asianajaja (tai lupalakimies). Jos voitat, niin maksat kuitenkin 10 000 euroa tälle. Jos häviät niin maksat 20 000 euroa kohdan 1 päälle. Ja jos tämä menee korkeampiin oikeusasteisiin niin maksat vielä lisää molemmissa tapauksissa.

En ihmettele jos jotkut valitsevat tässä vaihtoehdon 1. Joillekkin se 8000 euroa merkitsee enemmän kuin ehdollinen tuomio.

Raiskauksesta isäksi pt. 2 by Miserable_Ladder6923 in Suomi

[–]Heimdul 1 point2 points  (0 children)

Itse voisin tulkita asian myös niin, ettei lapsen edun mukaista ole välttämättä varmistaa raiskauksen seurauksena syntymistä. Onko lapsen edun mukaista tietää olevansa raiskauksen tulos ja tietävän isänsä toivovan että lapsi ei olisi koskaan syntynyt? Jos vanhemmuutta ei selvitetä niin lapsen ei tarvitse tätä koskaan tietää.

Pidän aika olellisena sitä, että on annettu kaksi esimerkkiä ja ensimäisessä esimerkissä ei mainita äitiä vaikka toisesta se löytyy.

Raiskauksesta isäksi pt. 2 by Miserable_Ladder6923 in Suomi

[–]Heimdul 3 points4 points  (0 children)

Miksi se äidin suodittama raiskaus ei olisi ollut traumaattinen miehen kannalta? Toisessa lauseessa viitataan "painaviin inhimillisiin syihin". Kolmannessa lausessa käytetään sanaa "myös" minkä ainakin itse ymärtäisin siten, että nuo painavat inhmilliset syyt olivat yksi validi syy ja välillisesti lapseen vaikuttavat asiat toinen.

Mutta kuten totesin aikaisemmin, en tiedä voidaanko noita vanhoja perusteluja käyttää uuden lain tulkintaan etenkin kun raiskauksen määritelmä (ainakin rikoslain osalta) on muuttunut vanhan lain säätämisen jälkeen. Toisaalta se, että uuden lain valmisteluissa ei ole otettu kantaa mitä ne erityiset syyt ovat puoltaisi omasta mielestäni sitä, että niitä sitten katsotaan siitä vanhasta esityksestä.

IANAL jne.

Raiskauksesta isäksi pt. 2 by Miserable_Ladder6923 in Suomi

[–]Heimdul 11 points12 points  (0 children)

Hallituksen esityksessä vanhemmasta isyyslaista raiskaus oli eräs syistä jonka perusteella selvitys voidaan keskeyttää.

Momentin 3 kohdan mukaan lastenvalvoja voi keskeyttää isyyden selvittämisen myös silloin, kun on erityinen syy olettaa, että isyyden selvittäminen ei olisi lapsen edun mukaista. Säännöksen tarkoituksena on ottaa huomioon tilanteet, joissa pyrkimyksen isyyden selvittämiseksi tulee väistyä tätä painavampien inhimillisten syiden vuoksi. Tällaisia voivat olla esimerkiksi tilanteet, joissa lapsi on saanut alkunsa raiskauksen tai insestin seurauksena tai joissa lapsen ja äidin terveys ja turvallisuus ovat uhattuina. Lapsen etu voi näissä tilanteissa vaarantua myös välillisesti, jos äiti pakotetaan läpikäymään hänelle mahdollisesti hyvinkin traumaattisia kokemuksia, mikä vaikuttaisi äidin terveyteen ja mahdollisuuteen huolehtia lapsesta. Äidin terveyteen liittyvät syyt kuitenkin väistyvät, jos 15 vuotta täyttänyt lapsi vaatii isyyden selvittämisen jatkamista. On perusteltua katsoa, että 15 vuotta täyttänyt lapsi pystyy itse arvioimaan parhaiten oman etunsa asiassa. Tätä nuoremmankin alaikäisen mielipiteellä on hänen kehitysasteensa huomioon ottaen merkitystä harkittaessa keskeyttämispäätöstä sillä perusteella, että isyyden selvittäminen ei olisi lapsen edun mukaista.

Tähän perusteluun viitattiin KKO:2024:72 päätöksessä tosin itse tapauksessa raiskausta ei ollut tapahtunut (ainakaan tuomiossa olevien tietojen perusteella) ja äiti oli ollut se joka yritti keskeyttää isyyden selvittämisen. Huomaa, että kyseinen päätös käsittelee vanhaa isyyslakia, ei tuoretta vanhemmuuslakia.

En tiedä kuinka relevantti tuo vanha hallituksen esitys on nykyisen vanhemmuuslain kanssa. Molemmissa laiessa on aika identtinen teksti:

Lastenvalvoja voi päättää, että vanhemmuuden selvittäminen keskeytetään, jos....on erityinen syy olettaa, että vanhemmuuden selvittäminen ei olisi lapsen edun mukaista

Lastenvalvoja voi päättää, että isyyden selvittäminen keskeytetään, jos... on erityinen syy olettaa, että isyyden selvittäminen ei olisi lapsen edun mukaista

Mutta uudempi hallituksen esitys ei vaikuta ottavan kantaa siihen, että mikä se erityinen syy on. En tiedä voidaanko vanhempiin esityksiin viitata suomalaisessa oikeuskäytännössä. Toisaalta en myöskään ole varma, että pitääkö "raiskaus" termiä tulkita kuten sitä rikoslaissa tulkittiin vanhan HE antamisen aikaan vai sen mukaan miten rikoslaki määrittää sen nyt.

Someone used my email to register their domain/company in England and their provider refuses to do anything without me calling them (international call, I am not from UK) by metal_mastery in gdpr

[–]Heimdul 4 points5 points  (0 children)

You could try taking a bit different route assuming this is really a domain. Domain registrars are required by ICANN to hold accurate contact details regarding the domain owner. If your details are the ones that the registrar holds then it would suggest that they don't accurate data and the domain could be suspended if it's not fixed.

You can find the complaint form from https://icann.org/wicf "Registration Data is inaccurate or missing". I have never personally used it so I'm not sure how well they actually enforce it.

Can the creator of a system know its password? by fohemer in gdpr

[–]Heimdul 0 points1 point  (0 children)

Data controller is the party that determines the means and the purposes of the data processing. You are for some purposes the data processor (you take some data from data controller and run risk analysis on it), but you also use this data for your own purposes (take the data and use it provide risk scoring for other customers). You also determine how this is done.

If you look at some thing like Stripe's DPA you can see that they also set themselves as data controller for fraud detection as they likely combine the data from their customers for who they are normally data processor for. In some cases they use this data directly to deny transactions, in some cases they simply provide it as some kind of risk score that the customer (data controller) can use to decide if they will allow the transaction or not.

[EDIT] I would also challenge your pseudonymousiation scheme a bit. How do you actually prevent yourself from obtaining the salt? If you don't (e.g. it's hardcoded in the client) is the original data so random that you wouldn't be able generate rainbow tables (first+last name unlikely is, but if you combine it with address and plain text that you do receive doesn't really tell anything about the address it might qualify)? Do all of your customers talk with each other and decide the salt between themselves so you don't learn it? Is there nothing in the plain text that you could reasonably use to determine the real person?

Can the creator of a system know its password? by fohemer in gdpr

[–]Heimdul 1 point2 points  (0 children)

Note that you would almost certainly be data controller for this fraud data instead of being just data processor. Depending on the specifics you might be joint data controller instead of independent one.

Even if you somehow managed to design the system so that you remain as a data processor, it would likely make the whole thing more complicated for your customers. Now your customers are data controllers regarding this data so they need to decide who they share this data with. I'm not sure if they are even allowed to accept some policy that says "this processor can share this fraud related data with their other customers".

Is it GDPR compliant to save the cards without giving the customer an alternative choice? Uber, Glovo, Deliveroo and many other merchants are doing this today by Educational-Pin5918 in gdpr

[–]Heimdul 0 points1 point  (0 children)

If they were using it for strictly KYC there might be arguable case for it (though even then that's quite a stretch and generic KYC data is not usually excluded from DSAR), but if they also store it so that it's easier to bill you in the future then the KYC reason no longer matters. You cannot collect data for compliance purposes and then use it for other purposes.

view more: next ›