Henkilötietojen käsittely, avoimen varhaiskasvatustoiminnan asiakasrekisteri

Tietosuojaselosteen julkaisupäivämäärä: 29.07.2024

Espoon kaupunki

Suomenkielisen varhaiskasvatuksen johtaja Virpi Mattila

Sähköpostiosoite: etunimi.sukunimi@espoo.fi

Puhelin: +358 9 81621 (vaihde) 

Järjestelmäasiantuntijat Sari Kuittinen ja Sirpa Koljonen

Sähköpostiosoite: evakatuki@espoo.fi 

Puhelin: +358 9 81621 (vaihde) 

Espoon kaupungin tietosuojavastaava Helena Niemi

Osoite: PL 12, 02070 Espoon kaupunki

Puh. +358 9 81621 (vaihde)

Sähköpostiosoite: tietosuoja@espoo.fi(ulkoinen linkki, avautuu uuteen ikkunaan)

Rekisterin henkilötietojen käsittelyn tarkoituksena on avoimen varhaiskasvatustoiminnan järjestäminen ja niihin liittyvien tehtävien hoito. Avoin varhaiskasvatus koostuu asukaspuistoista ja kerhotoiminnasta.

Asukaspuistotoiminta on tarkoitettu eri-ikäisille lapsille, heidän huoltajilleen ja muille lasten kanssa toimiville aikuisille sekä pienille koululaisille. 

Kerhotoiminta tarjoaa vaihtoehdon koko- tai osapäiväiselle varhaiskasvatukselle. Kotihoidossa olevalla 2–5-vuotiaalla lapsella on kerhossa mahdollisuus osallistua ohjattuun toimintaan lapsiryhmässä. 

Asukaspuistoissa tarjotaan kaikille ilmoittautuneille puistoa käyttäville pienille koululaisille välipala. Välipalaruokailuun ilmoittaudutaan ennakkoon puistoista saatavilla lomakkeilla, joissa mahdollisesti tietoa myös erityisruokavalioista. 

Rekisterin perusteella luovutetaan mm. lakisääteiset lapsimäärätiedot (laki kunnan peruspalvelujen valtionosuudesta). 

Rekisteristä tuotetaan tilastoja Espoon kaupungin käyttöön. Tilastoinnissa tietoja käsitellään ilman tunnisteita. 

EU:n yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohta: käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi

Erityisiä henkilötietoryhmiin kuuluvina tietoina voidaan käsitellä terveyttä koskevia tietoja.  Tietosuojalain 6 §:n mukaan tietosuoja-asetuksen 9 artiklan 1 kohtaa ei sovelleta tietojen käsittelyyn, josta säädetään laissa tai joka johtuu välittömästi rekisterinpitäjälle laissa säädetystä tehtävästä.

Keskeinen lainsäädäntö: 

• EU:n yleinen tietosuoja-asetus (EU 679/2016)
• Tietosuojalaki (1050/2018) 
• Varhaiskasvatuslaki (540/2018)

Henkilötunnuksen käsittely perustuu tietosuojalain 29 §:n 1 momenttiin. Rekisteröidyn ja hänen henkilötietojensa yksiselitteinen erottaminen muista rekisteröidyistä ja heidän henkilötiedoistaan on tärkeää laissa säädetyn tehtävän suorittamiseksi

• Lapsen nimi, henkilötunnus, yhteystiedot ja äidinkieli
• Huoltajien nimet, henkilötunnukset, yhteystiedot
• Muut lapsen kanssa samassa taloudessa asuvat henkilöt
• Lapsen varahakijat ja heidän puhelinnumeronsa
• Kerhohakemus- ja päätös
• Tieto kerhopaikan vastaanottamisesta
• Perheen ilmoittamat muut tarpeelliset lisätiedot
• Pedagoginen dokumentointi
• Lapsen valokuva 
• Lapsen poissaolotiedot
• Lapsen perustietolomake

• Koululaisten välipalalomake toimitettavaksi Espoon Cateringille, sisältää tiedot mahdollisista allergioista ja erityisruokavalioista
• Lapsen nimi, yhteystiedot ja muut tarvittavat tiedot
• Huoltajien nimet ja yhteystiedot 
• Välipalalle ilmoittautuneiden koululaisten Espoon Cateringin koontilista, sisältää tiedot mahdollisista erityisruokavalioista

• Yhteystietolomake: lapsen nimi, puhelinnumero, koulu ja luokka; huoltajan nimi ja yhteystiedot (lomake on vapaaehtoinen)

• Lapsen huoltajat
• Varhaiskasvatuksen työntekijät, palveluntuottajat, ostopalvelu- ja palveluseteliyksiköiden vastuuhenkilöt
• Asiakastiedot päivitetään Digi- ja väestötietovirastosta
• Aikaisemmalta varhaiskasvatuksen järjestäjältä voidaan saada niitä julkisia tietoja, jotka ovat tarpeellisia lapsen varhaiskasvatuksen järjestämiseksi (laki viranomaisten toiminnan julkisuudesta 16 § 3 mom.).
• Välipalaruokailijoiden koontilista saadaan Espoon Cateringiltä 

Tietoja ja asiakirjoja luovutetaan niitä pyytävälle viranomaisten toiminnan julkisuudesta annetun lain mukaisesti. Tiedot ja asiakirjat ovat julkisia, ellei niitä ole nimenomaisesti lailla säädetty salassa pidettäväksi.

Tilastointia varten voimassa olevista sijoituksista, hakemuksista, henkilöistä, perheistä, päiväkirjamerkinnöistä, sekä yksikkötiedoista muodostettu aineisto kootaan tietovarastopalvelimelle.

Espoon kaupunki voi käyttää palvelun järjestämiseen toiminnallisia tai teknisiä palveluntuottajia. Palveluntuottaja käsittelevät henkilötietoja Espoon kaupungin lukuun ja kaupungin ohjeistuksen mukaisesti siinä määrin kuin se on tarpeellista palvelun järjestämiseksi.

Palveluntuottajat (käsittelijät), jotka käsittelevät tietoa eVakassa (varhaiskasvatuksen toiminnanohjausjärjestelmä) Espoon kaupungin lukuun: Espoo on sopimussuhteessa Digian kanssa ja Amazon on Digian alikäsittelijä.  

Kaupunki rekisterinpitäjänä käyttää toiminnassaan henkilötietojen käsittelijöitä (palveluntuottajat). Varhaiskasvatuksen toiminnanohjausjärjestelmän toteuttamiseen hyödynnetään Amazonin tuottamaa pilvipalvelua. Käsittelijät voivat siirtää rekisterin tietoja EU:n tai ETA-alueen ulkopuolelle vain, jos siirto täyttää sille lainsäädännössä asetetut vaatimukset ja jos siirrosta sekä asianmukaisista suojakeinoista on sovittu rekisterinpitäjän ja henkilötietojen käsittelijän välisessä sopimuksessa tietosuojalainsäädännössä edellytetyllä tavalla.

Amazonin tuottaman pilvipalvelun tallennuspaikka on EU:n alueella. Mikäli Amazon operoi ja kehittää palveluita muualta kuin Euroopasta, niin datan katsotaan siirtyvän EU-alueen ulkopuolelle. Esimerkiksi jos ylläpitäjä ottaa etäyhteyden Yhdysvalloista eurooppalaiseen konesaliin vikatilanteen selvittämiseksi. Näissä tilanteissa toteutetaan suojatoimenpiteitä, jotta eurooppalaisen tietosuojalainsäädännön edellyttämä korkea henkilötietojen suojan taso säilyy myös henkilötietojen siirron jälkeen. Toimenpiteitä ovat muun muassa Euroopan komission tietosuojan riittävyyttä koskeva päätös, ja että henkilötietojen vastaanottaja on sitoutunut edellytettyihin suojatoimiin, kuten EU:n ja Yhdysvaltojen väliseen tietosuojakehykseen (EU-US Data Privacy Framework). Suojatoimina voidaan edellyttää myös Euroopan komission hyväksymien vakiosopimuslausekkeiden käyttöä osana henkilötietojen käsittelijöitä velvoittavia sopimuksia, joiden lisäksi edellytetään asianmukaisten teknisten ja hallinnollisten suojatoimien noudattamista. 

Tietojen säilyttämisessä ja hävittämisessä noudatetaan Espoon kaupungin tiedonohjaussuunnitelmaa sekä Kansallisarkiston kulloinkin voimassa olevia säännöksiä ja määräyksiä. 

Kerholasta koskevat tiedot säilytetään järjestelmässä, kunnes kuusi vuotta on kulunut sen kalenterivuoden päättymisestä, jona lapsen sijoitus varhaiskasvatuksessa päättyy. Arkistointiajan jälkeen tieto sähköisestä järjestelmästä poistetaan joko automaattisesti tai pääkäyttäjän toimesta. Manuaalinen aineisto hävitetään arkistointiajan päättyessä. 

Kerhon osalta tarvittava manuaalinen dokumentaatio esimerkiksi kerholapsen perustietolomake säilytetään kerhossa oloaika + 6 vuotta. 

Koululaisille tarjottavien välipalojen osalta osallistujalista säilytetään asukaspuistossa lukuvuoden ajan ja sen jälkeen aineisto hävitetään.  

Tietosuojalainsäädäntö takaa rekisteröidylle erilaisia oikeuksia henkilötietojen käsittelyssä. Rekisteröidyn oikeuksia koskevan pyynnön voi esittää yllä mainittuja yhteystietoja käyttäen kaupungin tietosuojavastaavalle tai rekisterin yhteyshenkilölle. 

Rekisterinpitäjä voi tarvittaessa pyytää rekisteröityä toimittamaan lisätietoja pyynnön toteuttamiseksi. 

Rekisterinpitäjän on vastattava rekisteröidyn oikeuksia koskevaan pyyntöön ilman aiheetonta viivytystä ja viimeistään kuukauden kuluessa pyynnön vastaanottamisesta. Määräaikaa voidaan tarvittaessa jatkaa enintään kahdella kuukaudella ottaen huomioon pyyntöjen monimutkaisuus ja määrä. 

Jos rekisterinpitäjä ei toteuta toimenpiteitä rekisteröidyn pyynnön perusteella, rekisterinpitäjän on ilmoitettava viipymättä ja viimeistään kuukauden kuluessa pyynnön vastaanottamisesta rekisteröidylle syyt siihen ja kerrottava mahdollisuudesta tehdä valitus valvontaviranomaiselle ja käyttää muita oikeussuojakeinoja.

Rekisteröidyn pyynnöt ja niihin liittyvät toimenpiteet ovat lähtökohtaisesti maksuttomia. Kuitenkin jos rekisteröidyn pyynnöt ovat ilmeisen perusteettomia tai kohtuuttomia, erityisesti jos niitä esitetään toistuvasti, rekisterinpitäjä voi joko periä kohtuullisen maksun ottaen huomioon tietojen tai viestien toimittamisesta tai pyydetyn toimenpiteen toteuttamisesta aiheutuvat hallinnolliset kustannukset tai kieltäytyä suorittamasta pyydettyä toimea.

Rekisteröidyllä on oikeus saada rekisterinpitäjältä vahvistus siitä, käsitelläänkö häntä koskevia henkilötietoja, sekä oikeus saada tutustua tietoihin ja saada jäljennös tiedoista. Tietojen antaminen ei kuitenkaan saa vaikuttaa haitallisesti muiden oikeuksiin tai vapauksiin.  

Rekisteröidyllä on oikeus vaatia, että rekisterinpitäjä oikaisee ilman aiheetonta viivytystä rekisteröityä koskevat virheelliset henkilötiedot. Lisäksi rekisteröidyllä on oikeus saada puutteelliset henkilötiedot täydennettyä ottaen huomioon tarkoitukset, joihin henkilötietoja käsiteltiin. 

Rekisteröidyllä on tietyin edellytyksin oikeus saada rekisterinpitäjä poistamaan häntä koskevat henkilötiedot. Esimerkiksi jos henkilötietojen käsittely on perustunut suostumukseen ja rekisteröity peruuttaa suostumuksensa, eikä käsittelyyn ole muuta laillista perustetta, on rekisteröidyllä oikeus saada tietonsa poistetuksi. Oikeutta tietojen poistamiseen ei kuitenkaan ole, jos henkilötietojen käsittely on tarpeen lakisääteisen velvoitteen noudattamiseksi tai jos käsittely tapahtuu yleistä etua koskevan tehtävän suorittamista tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämistä varten. 

Rekisteröidyllä on oikeus pyytää henkilötietojensa käsittelyn rajoittamista tietyissä tilanteissa. Oikeus tulee kyseeseen esimerkiksi, jos rekisteröity kiistää henkilötietojensa paikkansapitävyyden, jolloin käsittelyä rajoitetaan ajaksi, jonka kuluessa rekisterinpitäjä voi varmistaa niiden paikkansapitävyyden. Oikeus tulee sovellettavaksi myös, jos rekisteröity on vastustanut henkilötietojen käsittelyä odotettaessa sen todentamista, syrjäyttävätkö rekisterinpitäjän oikeutetut perusteet rekisteröidyn perusteet.

Rekisteröidyllä on oikeus henkilökohtaiseen erityiseen tilanteeseensa perustuen milloin tahansa vastustaa henkilötietojensa käsittelyä, kun käsittely perustuu yleistä etua koskevan tehtävän suorittamiseen tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseen. Tässä tapauksessa rekisterinpitäjä voi jatkaa henkilötietojen käsittelyä vain, jos rekisterinpitäjä osoittaa, että käsittelyyn on olemassa huomattavan tärkeä ja perusteltu syy. Käsittelyä saa jatkaa myös, jos käsittely on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi.

Rekisteröidyllä on oikeus tehdä valitus valvontaviranomaiselle, jos hän katsoo, että häntä koskevien henkilötietojen käsittely on tietosuojalainsäädännön vastaista. Rekisteröity voi tehdä valituksen tietosuojavaltuutetun toimistoon: www.tietosuoja.fi(ulkoinen linkki, avautuu uuteen ikkunaan).

Muutoshistoria: -