Uusi tietosuojakäytäntö erityisesti evästeiden asettamisesta on tarpeen sivustolle lisättyjen turvallisuuselementtien toiminnan varmistamiseksi. Lisäksi sivustolle kirjautuminen tulee yleiseksi toiminnoksi, ja tietosuojakäytäntöön on sisällytetty käyttäjärekisteriin kerättävien tietojen käsittelystä lain vaatima selvitys, jonka on oltava kaikkien rekisteröitävien nähtävillä.
Sivusto asettaa kaikkien vierailijoiden selaimeen evästeen, joka poistetaan kun vierailija sulkee sivuston kaikki avoimena olevat välilehdet. Evästeen tarkoituksena on varmistaa sivuston oikeanlainen toiminta jokaiselle vierailijalle, eikä sen avulla kerätä vierailijasta mitään tietoja tai seurata vierailijaa muille sivustoille.
Jos vierailija ei salli evästeen tallentamista selaimelleen, kaikki sivustolle tietoja lähettävät interaktiiviset toiminnot ovat poissa käytöstä, eikä vierailija välttämättä näe kaikkea tavanomaiselle vierailijalle tarkoitettua sisältöä.
Sivuston käyttäjätilille kirjautumisen yhteydessä kirjautujan selaimeen asetetaan eväste, jonka avulla kirjautuneen käyttäjän yhteys voidaan tunnistaa. Tämä eväste poistetaan automaattisesti käyttäjän selaimesta kun käyttäjä on kirjautunut ulos kaikilta sivuston avoimilta välilehdiltä.
Kaikista vierailuista (myös niistä, jotka eivät anna asettaa evästettä) palvelimelle tallentuvat standardit vierailulokitiedot, jotka selaimet lähettävät aina kaikille sivustoille. Nämä tiedot käsittävät vieraillun ja lähtösivun osoitteet, sivukohtaisen vierailuajan ja kävijän IP-osoitteen sekä joitain vierailuun käytetyn selaimen tietoja, kuten selaimen nimi ja versio sekä käytetyn laiteympäristön perustiedot. Sivusto ei kerää mitään erityistietoa käyttäjän selaimesta, käytetystä laitteesta tai selaushistoriasta.
Palvelimen lokeihin on pääsy vain sivuston ja palvelimen ylläpitäjillä, eikä tietoja luovuteta ulkopuolisille. Tallennettua dataa käytetään sivuston tekniikan parantamisen apuna ja vierailijamäärien kartoittamiseen. Vierailulokidatan perusteella tehtyjä yleisluontoisia kävijämäärätilastoja voidaan julkaista sivustolla. Näistä tilastoista ei voi erottaa mitään yksittäistä vierailijaa koskevaa tietoa.
Sivuston käyttäjätilin sisäänkirjautumistapahtumat tallennetaan erilliseen lokiin. Tallennettavia tietoja ovat kirjautumisaika ja kirjautumistyyppi, sekä kirjautujan IP-osoite ja tilin käyttäjänimi. Uloskirjautumistietoja ei tallenneta.
Kirjautumistietoihin on pääsy vain palvelimen ja sivuston ylläpitäjillä, ja niitä tarkastellaan ainoastaan, mikäli käyttäjätilin epäillään joutuneen tietomurron tai sellaisen yrityksen kohteeksi. Epäonnistuneita kirjautumisyrityksiä luetaan myös sivuston turvajärjestelmien toiminnan varmistustarkkailussa, yleensä automaattisesti, mutta osittain myös manuaalisesti.
Eräiden sivuston palveluiden tarkat käyttötiedot tallennetaan myös erilliseen lokiin. Kerättäviä tietoja ovat palvelusta riippuen mm. kirjautumisaika, pääsyn kohde, käyttäjän IP-osoite ja käyttäjätunnus, ja jopa kohteessa suoritettujen yksittäisten toimintojen suoritustiedot. Myös epäonnistuneet yritykset päästä näihin tietoihin tai suorittaa tiettyjä toimintoja kirjataan.
Tällaisia tietoja ovat mm. kaikki henkilötietoja käsittelevät palvelut, joihin tavanomaisella sivuston käyttäjällä ei ole oikeuksia. Näitä tietoja kerätään vain lain tai asetuksen, tai muun viranomaismääräyksen niin vaatiessa, ja palveluun kirjauduttaessa tietojen keräämisestä ja tallennuksesta mainitaan myös erikseen. Näillä kerätyillä tiedoilla voidaan valvoa esim. henkilötietojen käyttöä, ja tietoja luovutetaan vain viranomaistarkoituksiin. Kerättyä aineistoa voidaan käyttää myös sivuston turvallisuuden parantamiseen.
Myös suoraan sivuston sisältöön vaikuttavien toimintojen käyttäjien toimet tallennetaan em. viranomaisvaatimuksia vastaavalla tavalla. Sivuston ylläpito voi tarkastella näitä tietoja mm. jos sivustolle havaitaan lisätyn asiatonta sisältöä, tai sisältöä on luvattomasti siirretty tai poistettu.
Käyttäjätiliä luodessa kerättävien tietojen laajuus riippuu tiliin liitettyjen käyttöoikeuksien laajuudesta. Perustilin luonnissa vaaditaan vain sähköpostiosoite, laajempia oikeuksia sisältävän tilin tietoihin kuuluvat myös käyttäjän oikea nimi, puhelinnumero sekä kotiosoite, ja mahdollisesti vielä muita tilin avulla suoritettaviin tehtäviin liittyviä tietoja.
Käyttäjätilien tiedot muodostavat Henkilötietosuojalain ja EU:n Tietoturva-direktiivin (GDPR) alaisen henkilörekisterin, jota käytetään ja hallinnoidaan kuten lakien ja direktiivin velvoitteissa on määrätty. Mitään henkilötietoja ei luovuteta sivuston ylläpitotarkoitusten ulkopuolelle, ellei viranomainen nimenomaisesta määräyksestä tietoja vaadi käyttöönsä. Käyttäjätilien Rekisteriseloste on sivun lopussa.
Rekisteröitävät ovat vapaaehtoisesti luoneet pahakoski.com -sivustolle käyttäjätilin, jonka avulla he voivat käyttää sivuston tarjoamia palveluja. Rekisterin ylläpito on tarpeen näiden käyttäjien käyttöoikeuksien järjestämiseksi ja palveluiden kohdentamiseen niihin oikeutetuille henkilöille.
Tiedot rekisteriin kerätään vain tilin luoneilta rekisteröidyiltä käyttäjiltä.
Kohdan 1 tiedot kerätään kaikilta rekisteröidyiltä, tarkempia tietoja vaaditaan vain sivuston tarjoamien erityispalveluiden yhteydessä.
Lisäksi jokaisen käyttäjän tietoihin liitetään meta-tietoa, jonka avulla käyttäjä tunnistetaan palveluissa ja hänelle voidaan merkitä käyttöoikeuksia erilaisiin palveluihin ja sisältöön. Nämä tiedot ovat käyttäjän itsensä (käyttäjätunnus ja salasana), ja järjestelmän automaattisesti luomia, eivätkä ne sisällä mitään palvelun ulkopuolella henkilön tunnistamiseen liittyvää tietoa.
Tietoja luovutetaan vain sivuston palvelujen ja itse sivuston ylläpidon tarpeisiin. Mikäli palveluita tuottaa jokin kolmas osapuoli, tällä on rajoitetut oikeudet tietojen saantiin. Vaadittaessa rekisteröidylle itselleen sekä viranomaiselle voidaan luovuttaa rekisteristä tietoja henkilötietolain nojalla lain määräämien rajoitusten mukaisesti. Tietoja ei luovuteta tai siirretä Euroopan unionin tai Euroopan talousalueen ulkopuolelle.
Rekisteri on tallennettu virtuaalipalvelimella ylläpidettyyn tietokantaan. Erillisellä käyttöoikeusjärjestelmällä varustettu internetin välityksellä toisessa palvelimessa toimiva tietojenkäsittelyjärjestelmä valvoo ja rajoittaa tietojen luovutusta ja käsittelyä. Kaikki tiedot välitetään TLS -salatuilla yhteyksillä. Käyttöoikeusjärjestelmä valvoo ja jakaa oikeuksia tietojen käsittelijöille näiden tehtävien mukaisesti, mukaanlukien tietojen automaattinen käyttö käyttäjien käyttäessä palveluja sivustolla.
Datan käsittelijänä palvelimien tarjoaja noudattaa EU:n tietosuoja-asetuksen vaatimuksia palveluiden tuottamisessa. Palvelimet täyttävät Viestintäviraston määrityksen 54 B/2014M tärkeysluokan 1 vaatimukset ja Valtionhallinnon tietoteknisten laitetilojen turvallisuussuosituksen VAHTI 23/01/2002 3-tason vaatimukset, sekä noudattavat Euroopan komission DciE - Datacenter Infrastructure Efficiency -määräyksiä.
Tulevaisuudessa sivuston kehittyessä ja interaktiivisuuden lisääntyessä voidaan ottaa käyttöön myös laajempien vierailijatietojen tallennus sekä tallentaa tietoja myös vierailuun käytetylle koneelle. Tietosuojakäytännön muuttumisesta ilmoitetaan aina myös Etusivulla.