Dataskyddsbeskrivning för småbarnspedagogikens klientregister

Behandling av personuppgifter inom kommunal småbarnspedagogik, köpta tjänster och småbarnspedagogik som produceras med servicesedel, småbarnspedagogikens klientuppgiftsregister

Datum för publicering av dataskyddsbeskrivningen: 19.01.2023

Esbo stad

Direktören för finsk småbarnspedagogik

Direktören för Svenska bildningstjänster

Systemspecialist evakatuki@espoo.fi, Karaporten 1

PB 302, 02070 Esbo stad

Esbo stads dataskyddsombud

Adress: PB 12, 02070 Esbo stad

Tfn +358 9 81621 (växel)

E-postadress: tietosuoja@espoo.fi

Ändamålet med behandlingen av personuppgifter i registret är att ordna småbarnspedagogik och att sköta uppgifter som hänför sig till småbarnspedagogikens barnförhållande (5 § i lagen om småbarnspedagogik). I Esbo ordnas småbarnspedagogik som kommunal tjänst, som köpta tjänster och som servicesedelsverksamhet. I den kommunala öppna småbarnspedagogiken ingår också klubbverksamhet.

Ur registeruppgifterna lämnas det ut lagstadgade uppgifter om antalet barn (lagen om statsandel för kommunal basservice). Av registeruppgifterna produceras statistik för Esbo stads bruk. Vid statistikföring behandlas uppgifterna utan identifikationer.

På basis av registret lämnas uppgifter ut till Informationsresursen inom småbarnspedagogiken Varda. Varda upprätthålls som en del av den helhet bestående av olika register och informationsresurser som Utbildningsstyrelsen upprätthåller. Utbildningsstyrelsen är ansvarig för det gemensamma registret för Varda tillsammans med Esbo stad. Dataskyddsbeskrivning för studentnummerregistret.(extern länk, öppnas i ett nytt fönster)

Syftet med Varda är att göra det möjligt att på digital väg datasäkert och centraliserat samla in, behandla och lämna ut småbarnspedagogiska uppgifter till en person själv eller dennes lagliga företrädare och sådana myndigheter och forskare som behöver uppgifterna; säkerställa i lagen avsedda småbarnspedagogiska uppgifters enhetlighet och tillförlitlighet samt effektivisera förvaltningens verksamhet; främja sådan utveckling och sådant beslutsfattande i fråga om småbarnspedagogik som grundar sig på riktiga och tillräckliga uppgifter. Myndigheterna får använda sådana uppgifter i Varda som de behöver för att sköta sina lagstadgade uppgifter. De uppgifter som ingår i Varda får dessutom användas för att utvärdera, föra statistik över, följa upp och bedriva forskning i småbarnspedagogik.

Uppgifter om den öppna klubbverksamheten förmedlas inte till Varda.

Artikel 6.1 c i EU:s allmänna dataskyddsförordning: behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. Central lagstiftning: Lagen om småbarnspedagogik (540/2018), förordningen om småbarnspedagogik (753/2018), lagen om klientavgifter inom småbarnspedagogiken (1503/2016) och lagen om servicesedlar inom social- och hälsovården (569/2009).

Särskilda kategorier av personuppgifter: Enligt 6 § i dataskyddslagen tillämpas artikel 9.1 i dataskyddsförordningen inte på sådan behandling av uppgifter som regleras i lag eller som föranleds av en uppgift som direkt har ålagts den personuppgiftsansvarige i lag. Behandlingen av särskilda kategorier av personuppgifter beror på de uppgifter som enligt lagen ankommer på den som anordnar småbarnspedagogik.

Småbarnspedagogikens datasystem, verksamhetskalender och blanketter:

• Barnets namn, personbeteckning, kontaktuppgifter, modersmål
• Vårdnadshavarnas namn, personbeteckning och kontaktuppgifter
• Uppgifter om övriga personer som bor i samma hushåll som barnet
• Barnets enhet
• Tjänstebehovet
• Ansökningsuppgifter
• Beslut om stöd
• Pedagogisk dokumentation
• Barns profilbild
• Reservhämtare
• Beslut (Beslut om småbarnspedagogik och plats i småbarnspedagogik, beslut om klubb och klubbplats, beslut om servicesedel inom småbarnspedagogiken och beslut om servicesedelns värde)
• Uppgifter om plats i småbarnspedagogik och servicebehov, klubbplats
• Uppgift om mottagande och uppsägning av plats i småbarnspedagogik/klubbplats
• Avtal om vårdtid inom småbarnspedagogiken
• Barnets plan för småbarnspedagogik, blankett för barn i klubb
• Behövliga hälsouppgifter för ordnande av barnets småbarnspedagogik
• Beslut om skjuts
• Barnets dagliga närvaro och frånvaro
• Småbarnspedagogiska stödåtgärder
• Personalens anteckningar om barnets utveckling på observationsformuläret
• Uppgifter om klientavgifter
• Övriga behövliga uppgifter för ordnande av småbarnspedagogik

I fråga om Varda, se punkt 9.

UPPGIFTERNAS OFFENTLIGHET OCH KONFIDENTIALITET:

Uppgifterna är delvis sekretessbelagda.

GRUNDER FÖR SEKRETESS:

24 § 1 mom. i lagen om offentlighet i myndigheternas verksamhet, 40 § i lagen om småbarnspedagogik

• Barnets vårdnadshavare
• Anställda inom småbarnspedagogiken, tjänsteproducenter, ansvariga personer vid upphandlade enheter och servicesedelsenheter
• Klientdata uppdateras med data från Myndigheten för digitalisering och befolkningsdata
• Av en tidigare anordnare av småbarnspedagogik kan fås sådana offentliga uppgifter som är behövliga för att ordna ett barns småbarnspedagogik (16 § 3 mom. i lagen om offentlighet i myndigheternas verksamhet).
• En tidigare anordnare av småbarnspedagogik ska trots sekretessbestämmelserna utan dröjsmål lämna sådana uppgifter som är nödvändiga med tanke på anordnandet av småbarnspedagogik för barnet (41 § 3 mom. i lagen om småbarnspedagogik)
• Sådana uppgifter som är nödvändiga för att ordna småbarnspedagogik för ett barn kan trots sekretessbestämmelserna erhållas av myndigheter inom utbildningssektorn, myndigheter inom social- och hälsovården, andra som tillhandahåller tjänster inom småbarnspedagogik, socialvård och hälso- och sjukvård samt yrkesutbildade personer inom social- och hälsovården (41 § 1 mom. i lagen om småbarnspedagogik).

Uppgifter som sparas i Varda erhålls från följande källor:

• Kommunen, samkommuner och privata tjänsteproducenter
• Myndigheten för digitalisering och befolkningsdata

Rätten att överlåta offentliga uppgifter ur en myndighets personregister bestäms i 16 § 3 mom. i lagen om offentlighet i myndigheternas verksamhet. Enligt den ska mottagaren

ha rätt att registrera och använda sådana personuppgifter. Personuppgifter får endast överlåtas på en specificerad begäran om uppgifter (13 § 2 mom. i lagen om offentlighet i myndigheternas verksamhet).

Sekretessbelagda uppgifter kan lämnas ut endast med vårdnadshavarens skriftliga samtycke eller med stöd av en bestämmelse i lagen (41 § i lagen om småbarnspedagogik, 41 § 4 mom. i lagen om grundläggande utbildning, 20 § i lagen om klientens ställning och rättigheter inom socialvården, 11 § i lagen om offentlighet i myndigheternas verksamhet).

Uppgifter ur småbarnspedagogikens klientdatasystem överförs till faktureringssystemet med hjälp av vilket småbarnspedagogikens klientfakturering sköts.

Esbo stad kan anlita tjänsteproducenter inom verksamhet eller teknik för att ordna tjänsten. Tjänsteproducenterna behandlar personuppgifter för Esbo stads räkning och enligt stadens anvisningar i den utsträckning det behövs för att ordna tjänsten.

Tjänsteproducenter (behandlare) som behandlar information i eVaka (verksamhetsstyrningssystemet inom småbarnspedagogik) för Esbo stads räkning: Esbo har ett avtal med Digia (ramavtal om utveckling och underhåll av digitala tjänster). Amazon är underbehandlare åt Digia. I avtalen har EU:s dataskyddsförordning och därtill hörande beskrivningar av behandlingsåtgärder beaktats.

Via Utbildningsstyrelsens studentnummerregister kopplas följande personuppgifter om den registrerade till Varda:

namn, studentnummer och personbeteckning eller andra motsvarande identifikationsuppgifter, medborgarskap, kön, modersmål och behövliga kontaktuppgifter.

Kommunen, samkommunen eller en privat tjänsteproducent överför/registrerar följande personuppgifter i Varda:

• namn, personbeteckning, modersmål, hemkommun och kontaktuppgifter;
• verksamhetsställe där barnet deltar i småbarnspedagogik;
• datum för inlämnande av ansökan enligt 17 § i lagen om småbarnspedagogik;
• begynnelse- och slutdatum för det beslut eller det avtal som avses i 18 § i lagen om småbarnspedagogik;
• omfattningen av barnets rätt till småbarnspedagogik räknad i timmar och uppgifter om hur den används;
• uppgift om anordnande av småbarnspedagogik i form av skiftvård för barnet;
• form för anordnande av småbarnspedagogiken.
• Myndigheter, till vilka personuppgifter lämnas ut med hjälp av en tjänst för utlämnande av uppgifter om småbarnspedagogik:
• Folkpensionsanstalten (fr.o.m. 5/2019)

Aktuell information om myndigheter till vilka uppgifter enligt bestämmelserna lämnas ut finns på adressen: Informationsresursen för småbarnspedagogik(extern länk, öppnas i ett nytt fönster)

Personuppgifter kan överlåtas för vetenskapliga eller historiska forskningsändamål.

Enligt lagen om offentlighet i myndigheternas verksamhet (21.5.1999/621) ska en uppgift ur en offentlig handling lämnas ut till den som begärt den även om handlingen innehåller personuppgifter.

Uppgifter lämnas inte ut för direktreklam, telefonförsäljning, adresstjänst eller opinions- och marknadsundersökningar. Uppgifterna används inte för automatiskt beslutsfattande eller profilering.

De tjänsteleverantörer som upprätthåller och utvecklar Varda har åtkomst till personuppgifterna i registret i den omfattning Utbildningsstyrelsen bestämt.

I egenskap av personuppgiftsansvarig använder staden i sin verksamhet personuppgiftsbiträden (tjänsteproducenter). Personuppgiftsbiträdena får överföra registeruppgifter till länder utanför EU eller EES-området endast om överföringen uppfyller de krav som ställs på den i lagstiftningen och om överföringen och de lämpliga skyddsåtgärderna har avtalats i ett avtal mellan den personuppgiftsansvarige och personuppgiftsbiträdet på det sätt som förutsätts i dataskyddslagstiftningen.

Vid lagring och förstöring av uppgifter iakttas arkivbildningsplanen/informationsstyrningsplanen för resultatenheterna för finska och svenska småbarnspedagogiken samt arkivverkets gällande bestämmelser och föreskrifter.

Efter arkiveringstiden raderas uppgiften antingen automatiskt eller av huvudanvändaren ur det digitala systemet (lagringstid 10–12 år). Handlingar som ska arkiveras för alltid överförs till systemet för digital arkivering Särmä. Manuellt material förstörs när arkiveringstiden går ut.

Uppgifter om barnet förvaras i informationsresursen i fem års tid efter utgången av det kalenderår under vilket respektive barns rätt till småbarnspedagogik har upphört. Studentnumret och de identifikationsuppgifter på basis av vilka studentnumret har bildats förvaras permanent.

IT-utrustningen ligger i skyddade och övervakade lokaler. Behandlingen av uppgifter regleras av dataskyddsförordningen (bland annat bundenheten till användningsändamålet, kravet på behövlighet och kravet på exakthet). Personuppgifter behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd (artikel 5.1 f i dataskyddsförordningen). Personuppgifterna skyddas mot obehörig åtkomst och mot olaglig behandling, till exempel förstöring, ändring eller utlämning. Varje anställd får endast behandla de personuppgifter som den anställda behöver i sina arbetsuppgifter. Anställda som behandlar uppgifter omfattas av sekretess och tystnadsplikt som fortsätter även efter att anställningsförhållandet upphört.

Klientdatasystemet är eVaka. Systemet kan endast användas inom Esbo stads lokalnät för anställda. Användarrättigheterna är personliga och beviljas särskilt. Rollen för användarrätten är förenlig med uppgiften. Varje användare godkänner en användnings- och sekretessförbindelse för uppgifterna och datasystemen.

IT-utrustningen ligger i skyddade och övervakade lokaler. Telefonerna är skyddade med PIN-kod och anslutna till eVaka för enhetschefen.

Tjänsteproducenterna loggar in med hjälp av Suomi.fi-autentisering första gången och därefter med hjälp av tvåstegsverifiering. Esbo stad administrerar användarna och rollerna.

eVaka har integrerats i befolkningsdatasystemet med hjälp av den nationella integrationsplattformsarkitekturen. För den krypterade kommunikationen mellan eVaka och integrationsplattformen används ett krypterat protokoll. Meddelandena mellan tjänsterna har krypterats och undertecknats med certifikat. Uppgifterna om personalens användarätter finns i Esbo stads användarregister (Active Directory).

Personuppgifter kan också lagras på ett annat datasäkert lagringsställe som staden använder när det behövs för att ordna småbarnspedagogik.

Det manuella materialet förvaras i låsta lokaler och förstörs i en dokumentförstörare eller läggs i en sekretessbehållarenär arkiveringstiden tar slut.

Noggrannare anvisningar om hur uppgiftsbegäranden enligt dataskyddsförordningen ska riktas: Kunders rätt till tillgång till sina uppgifter

Du har rätt att av den personuppgiftsansvarige få en kopia av de personuppgifter som behandlas. Den personuppgiftsansvarige ska lämna uppgifterna utan onödigt dröjsmål och under alla omständigheter senast en månad efter att ha mottagit begäran. Denna period får vid behov förlängas med ytterligare två månader, med beaktande av hur komplicerad begäran är och antalet inkomna begäranden.

Om den personuppgiftsansvarige inte vidtar åtgärder på den registrerades begäran, ska den personuppgiftsansvarige utan dröjsmål och senast en månad efter att ha mottagit begäran informera den registrerade om orsaken till att åtgärder inte vidtagits och om möjligheten att lämna in ett klagomål till en tillsynsmyndighet och begära rättslig prövning.

Begäranden av en registrerad och de åtgärder som hänför sig till dem är avgiftsfria. Om begäranden av en registrerad dock är uppenbart ogrundade eller orimliga, särskilt på grund av deras repetitiva art, får den personuppgiftsansvarige antingen ta ut en rimlig avgift som täcker de administrativa kostnaderna för att tillhandahålla den information eller vidta den åtgärd som begärts, eller vägra att tillmötesgå begäran.

Du har rätt att få felaktiga, inexakta, ofullständiga, föråldrade eller onödiga personuppgifter som vi lagrar, rättade eller kompletterade av oss.

Du har rätt att under vissa förutsättningar få den personuppgiftsansvarige att radera personuppgifter som gäller dig utan onödigt dröjsmål. Den registrerade har inte rätt att få uppgifter raderade om uppgifterna måste behandlas för att uppfylla en rättslig förpliktelse, för att utföra en uppgift av allmänt intresse eller för myndighetsutövning som hör till den personuppgiftsansvarige. I dessa fall raderas personuppgifterna först efter den tidsfrist som anges i lagen.

Om de uppgifter som samlats in om dig inte stämmer, kan du kräva att behandlingen av dina kunduppgifter begränsas tills det har kontrollerats om uppgifterna är korrekta.

Du har rätt att lämna in ett klagomål till tillsynsmyndigheten, om du upplever att behandlingen av personuppgifter strider mot dataskyddslagstiftningen. Du kan lämna in ett klagomål till dataombudsmannens byrå: www.tietosuoja.fi(extern länk, öppnas i ett nytt fönster).