Erään järjestelmän oikeudellisia kysymyksiä pähkäillessäni tulin uteliaaksi: Mitä oheis- ja tunnistetietoja Ohjelmointiputka tallentaa käyttäjistään (vierailijoista, kirjautumisista, kirjoittajista jne.)? Onko näitä asioita erityisemmin mietitty esimerkiksi eri tietosuojalakien ja tekijänoikeuskysymysten kannalta?
Rekisteröityneistä käyttäjistä tallennetaan ne tiedot, jotka he ovat ilmoittaneet. Ainoat pakolliset tiedot ovat id-numero, käyttäjätunnus ja salasana. Muut tiedot ovat profiilissa näkyvät tiedot sekä profiiliasetukset. Lisäksi tallennetaan hetki, jolloin käyttäjä on ollut viimeksi kirjautuneena.
Palvelimen lokitiedostoon tallentuu jokaisesta sivunlatauksesta käyttäjän IP-numero, päivämäärä ja aika, sivun osoite, edellisen sivun osoite (referer) ja selaimen tunniste (user agent). Nämä tiedot säilyvät tallessa viikon ajan, minkä lisäksi niistä muodostetaan kuukausittaiset tilastot.
En ole pohtinut syvällisesti näitä asioita. Onko jotain, mitä kannattaisi mielestäsi ottaa erityisesti huomioon?
Antti Laaksonen kirjoitti:
En ole pohtinut syvällisesti näitä asioita. Onko jotain, mitä kannattaisi mielestäsi ottaa erityisesti huomioon?
Henkilötietolain mukainen rekisteriseloste pitäisi varmaan olla.
Antti Laaksonen kirjoitti:
Onko jotain, mitä kannattaisi mielestäsi ottaa erityisesti huomioon?
Ei varsinaisesti, siksi kyselenkin. :-)
Olisihan se tietysti mukavaa, että putkailu ei jatkossakaan kaatuisi esimerkiksi siihen, että joku erityisesti koettelee omia/yhteisön/lain rajoja tai joku pykälänvalvoja suoranaisesti viheltää pelin poikki. Ohjelmointiputkankin pyörittämiseen saattaa liittyä vastuukysymyksiä, joita ei ole välttämättä tultu niin kauheasti ajatelleeksi.
Minua itseäni hieman askarruttaa, mikä on esimerkiksi Ohjelmointiputkan palvelun tarjoajien juridinen rooli. Kuka on lopulta vastuussa mistäkin?
Nuo Ohjelmointiputkan tallettamat tiedot vaikuttavat näin puusta katsoen ihan asianmukaisilta. Tietoja ei saisi kerätä liikaa, niitä ei saa käyttää väärin, mutta niiden pitäisi olla saatavilla viranomaisten niitä kysellessä. Ehkäpä käyttäjien suuntaan olisi kyllä hyvä olla joitakin selosteita, esimerkiksi käyttäjärekisteristä (vaikkei siitä paljon sanottavaa olisikaan) ja palvelun tarjoajasta tai vastuuhenkilöistä. Käyttöehdotkin voisivat joskus olla tarpeen.
Jos lakikirjaa käyttää manuaalina, niin taitaa jäädä aika moni tekniikkaan perustuva idea toteuttamatta. Toisaalta, jos porukkaan löytää yksikin riittävän huonotapainen, niin sittenhän niitä sääntöjä ja vastuullisia rupeaa jostakin kummasti löytymään.
Joskus puhuttiin sellaista, että nettisivuston ylläpitäjä olisi vastuussa keskusteluun tulevista viesteistä, mikä velvoittaisi käytännössä tarkastamaan viestit ennen niiden julkaisua. Mutta nykysuuntauksena tuntuu olevan, että keskustelijat ovatkin itse vastuussa viesteistään. Eli jos joku kirjoittaa keskusteluun laittomuuksia ja niistä nousee oikeusjuttu, minua tuskin nähdään oikeussalissa syytettyjen penkillä.
Vierastan vähän lakitekstin kirjoittamista ja tähän mennessä kaikki on sujunut ihan hyvin pelkällä maalaisjärjellä, mutta ehkä olisi tosiaan aiheellista kirjoittaa ohjeisiin vähän lakiasioita.
Siis ainoa asia minkä voisin kuvitella olevan ongelma käyttäjätietojen mahdollisesti muodostama henkilörekisteri. Mikäli katsotaan, että käyttäjätiedot muodostavat henkilörekisterin, niin silloin täytyisi olla rekisteriseloste. Mielestäni rekisteri, jossa on henkilön sähköpostiosoite sekä vapaavalintainen tunnus ja salasana, ei vielä muodosta henkilörekisteriä. (joku voi oikaista jos olen väärässä). Kaikki muut tiedothan taas saa itse syöttää ja olla syöttämättä. Ja jos joku syöttää ne, niin hän tekee sen julkaisutarkoituksessa, joka on suoraan henkilörekisterilaissa suljettu pois määrittelyn piiristä.
En oikein keksi mistä muusta tässä tarvitsisi olla huolissaan. Jenkeissä tehdyissä foorumeissa on usein lakijargonia tyyliin, että kirjoittaja antaa tekijänoikeudet foorumin ylläpidolle. Tämän tarkoituksena on tietenkin estää, että käyttäjä voisi haastaa foorumin ylläpidon oikeuteen koska hänen tekijänoikeudella suojattua materiaaliaan käsitellään ylläpitäjän palvelimella ja näytetään yleisölle. Suomessa onneksi lakituvassa käytetään myös tervettä järkeä. Mielestäni (ja väittäisin, että todennäköisesti myös tuomarin mielestä) voidaan olettaa, että jos henkilö lähettää viestin julkiselle keskuspalstalle, hän samalla hiljaisesti antaa luvan teoksensa julkiseen esittämiseen ja tarvittavaan varastointiin palvelimella. (Ja tietenkään valtaosa foorumin viesteistä ei ylitä teoskynnystä, joten ne eivät saa tekijänoikeuslailta suojaa muutenkaan.)
Mitä kolmannen osapuolen teoksiin tulee, niin on aivan selvää että tämä palvelu ei ole millään tavalla suunniteltu niiden laittomaan levitykseen. Jos joku siis tänne postailisi kolmannen osapuolen teoksia ilman lupaa, niin näkisin että vastuussa on lähinnä postannut käyttäjä. Ylläpito olisi korkeintaan velvollinen poistamaan ko. teokset kun saisi tietoonsa tai huomaisi että sellaisia on postailtu.
Mielestäni ylläpito ei ole antanut mitään lupauksia palvelun sisällöstä tai saatavuudesta, joten voitaneen olettaa että kun kyseessä on harrastepohjalla toteutettu ilmainen palvelu, ei mitään tällaisia vastuita ei ole. Muutenkin, jos joku ei ole tyytyväinen palveluun, niin kaupan voinee perua ja rahat saada takaisin :D Mielestäni olisi todella kaukaa haettua lähteä hakemaan korvausta esimerkiksi oman viestin katoamisen vuoksi, enkä usko että mitään korvauksia tulisi saamaan.
koo kirjoitti:
palvelun tarjoajasta tai vastuuhenkilöistä.
Tuollahan ne lukee oikeassa alakulmassa.
koo kirjoitti:
Käyttöehdotkin voisivat joskus olla tarpeen.
Mielestäni käyttöehdot ovat tarpeen ainoastaan, jos halutaan sopia jotain tiukempaa kuin mitä laki ja asetukset sanelevat. Keskusteluohjeista löytyy ylläpidon toivomukset. Voisihan käyttöehdoissa määritellä esimerkiksi, että ohjeita täytyy noudattaa - minusta se kuitenkin olisi aivan turhaa, koska Antti tuskin jaksaisi alkaa haastamaan ketään sääntöjen vastaisesti käyttäytyvää oikeuteen käyttöoikeuksien rikkomisesta.
Luojan kiitos Suomessa ei mennä jenkkimeiningillä, että joka paikkaan on pakko tunkea miljoona riviä lakijargonia.
Grez kirjoitti:
Siis ainoa asia minkä voisin kuvitella olevan ongelma käyttäjätietojen mahdollisesti muodostama henkilörekisteri. Mikäli katsotaan, että käyttäjätiedot muodostavat henkilörekisterin, niin silloin täytyisi olla rekisteriseloste. Mielestäni rekisteri, jossa on henkilön sähköpostiosoite sekä vapaavalintainen tunnus ja salasana, ei vielä muodosta henkilörekisteriä.
Henkilötietolaki 3§ kirjoitti:
Tässä laissa tarkoitetaan
...
3) henkilörekisterillä käyttötarkoituksensa vuoksi yhteenkuuluvista merkinnöistä muodostuvaa henkilötietoja sisältävää tietojoukkoa, jota käsitellään osin tai kokonaan automaattisen tietojenkäsittelyn avulla taikka joka on järjestetty kortistoksi, luetteloksi tai muulla näihin verrattavalla tavalla siten, että tiettyä henkilöä koskevat tiedot voidaan löytää helposti ja kohtuuttomitta kustannuksitta;
Minusta tuo tarkoittaa, että putkan tietokanta muodostaa henkilörekisterin. Nimimerkkinä toimiva käyttäjätunnus ja sähköpostiosoite ovat henkilötietoja. Vaikka profiiliin lisättävät asuinpaikka, oikea nimi sun muut kentät ovatkin vapaaehtoisia, ne löytyvät silti siitä samasta tietokannasta. Lakihan ei ota kantaa siihen, onko tietoja pakko antaa vai onko se vapaaehtoista.
Eli kaipa tuo rekisteriseloste ihan paikallaan olisi. Ei se mitään salatiedettä ole, homma on kuvattu melko selkästi jopa laissa.
No, jos kyseessä on henkilörekisteri, sitten sen rekisteriselosteen lisäksi tulee tuo hieno 9§ myös kyseeseen.
lainaus:
Rekisterinpitäjän on huolehdittava siitä, ettei virheellisiä, epätäydellisiä tai vanhentuneita henkilötietoja käsitellä (virheettömyysvaatimus).
Eli miten ihmeessä ylläpitäjä voi varmistua, että syötetyt henkilötiedot eivät ole virheellisiä, kun käyttäjät itse syöttävät ne ja voivat vaikka luoda täysin keksityn käyttäjän? Itsekin tiedän ainakin täällä yhden käyttäjän joka on syöttänyt täysin eri asuinkunnan kuin missä oikeasti asuu.
Mutta joo, jos olisin itse ylläpitäjä niin soittaisin varmaan tietosuojavaltuutetun toimistoon ja kysyisin heidän mielipiteensä siitä että onko kyseessä henkilörekisteri ja jos on, niin miten tuo virheettömyysvaatimus käytännössä tulee ottaa huomioon. Jos kyseessä on henkilörekisteri, niin sitenhän tietosuojavaltuutettuun täytyy joka tapauksessa olla yhteydessä eli toimittaa se rekisteriseloste.
Tai sitten vaan kopioi soveltuvilta osin vaikka Plazan tai muun vastaavan foorumin rekisteriselosteen ja laitaa sen näkyville ja toimittaa sen tietosuojavaltuutetulle.
Aihe on jo aika vanha, joten et voi enää vastata siihen.