Behandling av personuppgifter, kundregister för den öppna småbarnspedagogiken

Datum för publicering av dataskyddsbeskrivningen: 29.07.2024

Esbo stad är personuppgiftsansvarig.

Direktör för finsk småbarnspedagogik Virpi Mattila

E-postadress: fornamn.efternamn@esbo.fi

Telefon: +358 9 81621 (växel)

Systemspecialisterna Sari Kuittinen och Sirpa Koljonen

E-postadress: evakatuki@espoo.fi

Telefon: +358 9 81621 (växel)

Esbo stads dataskyddsombud Helena Niemi

Adress: PB 12, 02070 Esbo stad

Telefon: +358 9 81621 (växel)

E-postadress: tietosuoja@espoo.fi

Ändamålet med behandlingen av personuppgifter i registret är att ordna öppen småbarnspedagogik och att sköta uppgifter som hänför sig till detta. Den öppna småbarnspedagogiken består av invånarparker och klubbverksamhet.

Invånarparkernas verksamhet är avsedd för barn i olika åldrar, deras vårdnadshavare och andra vuxna som tillbringar tid med barnen samt för små skolelever.

Klubbverksamheten erbjuder ett alternativ till småbarnspedagogik på hel- eller deltid. Ett barn i åldern 2–5 år som vårdas hemma har i klubbarna möjlighet att delta i ledd verksamhet i en barngrupp.

I invånarparkerna serveras mellanmål för alla små skolelever som anmälts till mellanmålsserveringen. Anmälan till mellanmålsserveringen sker i förväg på blanketter som kan hämtas på parkerna och som också kan innehålla information om specialdieter.

Ur registeruppgifterna lämnas det ut bland annat lagstadgade uppgifter om antalet barn (lagen om statsandel för kommunal basservice).

Av registeruppgifterna produceras statistik för Esbo stads bruk. Vid statistikföring behandlas uppgifterna utan identifikationer.

Artikel 6.1 c i EU:s allmänna dataskyddsförordning: behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige.

Som särskilda kategorier av personuppgifter kan behandlas uppgifter om hälsa.  Enligt 6 § i dataskyddslagen tillämpas artikel 9.1 i dataskyddsförordningen inte på sådan behandling av uppgifter som regleras i lag eller som föranleds av en uppgift som direkt har ålagts den personuppgiftsansvarige i lag.

Central lagstiftning:

• EU:s allmänna dataskyddsförordning (EU 679/2016)
• Dataskyddslagen (1050/2018)
• Lagen om småbarnspedagogik (540/2018):

Behandlingen av en personbeteckning grundar sig på 29 § 1 mom. i dataskyddslagen. För skötseln av de lagstadgade uppgifterna är det viktigt att den registrerade och hens personuppgifter på ett entydigt sätt skiljs åt från de andra registrerade och deras personuppgifter. 

Småbarnspedagogikens kundverksamhet, kunddatasystem och blanketter

• Barnets namn, personbeteckning, kontaktuppgifter och modersmål
• Vårdnadshavarnas namn, personbeteckningar och kontaktuppgifter
• Övriga personer som bor i samma hushåll som barnet
• Barnets reservhämtare och deras telefonnummer
• Ansökan om klubbplats och beslut om den
• Uppgift om mottagande av klubbplats
• Övriga behövliga uppgifter som familjen meddelat
• Pedagogisk dokumentation
• Bild på barnet
• Uppgifter om barnets frånvaro
• Barnets blankett för basuppgifter

Mellanmålsservering för skolbarn

• Blanketten om mellanmålsservering för skolbarn som överlämnas till Esbo catering innehåller uppgifter om eventuella allergier och specialdieter.
• Barnets namn, kontaktuppgifter och andra behövliga uppgifter
• Vårdnadshavarnas namn och kontaktuppgifter
• Esbo caterings sammanfattning över skolelever som anmält sig till mellanmålet, innehåller uppgifter om eventuella specialdieter

Öppen eftermiddagsverksamhet för skolelever

• Kontaktblankett: barnets namn, telefonnummer, skola och klass; vårdnadshavarens namn och kontaktuppgifter (blanketten är frivillig)

• Barnets vårdnadshavare
• Anställda inom småbarnspedagogiken, tjänsteproducenter, ansvariga personer vid upphandlade enheter och servicesedelsenheter
• Kunddata uppdateras med data från Myndigheten för digitalisering och befolkningsdata
• Av en tidigare anordnare av småbarnspedagogik kan man få sådana offentliga uppgifter som är behövliga för att ordna ett barns småbarnspedagogik (16 § 3 mom. i lagen om offentlighet i myndigheternas verksamhet).
• Sammandraget över elever som äter mellanmål kommer från Esbo catering

Uppgifter och handlingar lämnas ut till myndigheter som begär dem i enlighet med lagen om offentlighet i myndigheternas verksamhet. Uppgifterna och handlingarna är offentliga, om det inte uttryckligen bestäms i lagen de ska vara sekretessbelagda.

För statistikföring samlas material på datalagerservern. Materialet består av gällande placeringar, ansökningar, personer, familjer, dagboksanteckningar och enhetsuppgifter.

Esbo stad kan anlita tjänsteproducenter inom verksamhet eller teknik för att ordna tjänsten. Tjänsteproducenterna behandlar personuppgifter för Esbo stads räkning och enligt stadens anvisningar i den utsträckning det behövs för att ordna tjänsten.

Tjänsteproducenter (behandlare) som behandlar information i eVaka (verksamhetsstyrningssystemet inom småbarnspedagogik) för Esbo stads räkning: Esbo har ett avtalsförhållande med Digia, och Amazon är Digias underbiträde.

I egenskap av personuppgiftsansvarig använder staden i sin verksamhet personuppgiftsbiträden (tjänsteproducenter). För genomförandet av verksamhetsstyrningssystemet inom småbarnspedagogiken utnyttjas en molntjänst som Amazon producerar. Personuppgiftsbiträdena får överföra registeruppgifter till länder utanför EU eller EES-området endast om överföringen uppfyller de krav som ställs på den i lagstiftningen och om överföringen och de lämpliga skyddsåtgärderna har avtalats i ett avtal mellan den personuppgiftsansvarige och personuppgiftsbiträdet på det sätt som förutsätts i dataskyddslagstiftningen.

Lagringsplatsen molntjänsten som Amazon producerar ligger inom EU. Om Amazon verkar och utvecklar tjänster från andra länder än Europa, anses data flyttas utanför EU-området, till exempel om operatören tar distanskontakt med en europeisk datorsal från USA för att reda ut ett fel. I dessa situationen vidtas skyddsåtgärder för att upprätthålla den höga skyddsnivå för personuppgifter som krävs enligt den europeiska dataskyddslagstiftningen även efter överföringen av personuppgifter. Åtgärderna är bland annat Europeiska kommissionens beslut om adekvat skyddsnivå och att mottagaren av personuppgifterna har förbundit sig till de skyddsåtgärder som krävs, såsom dataskyddsramen mellan EU och USA (EU-US data Privacy Framework). Som skyddsåtgärder kan det också krävas att standardavtalsklausuler, som godkänts av Europeiska kommissionen, används som en del av de avtal som är förpliktande för personuppgiftsbiträdena. Dessutom förutsätts att lämpliga tekniska och administrativa skyddsåtgärder iakttas.

Vid lagring och förstöring av uppgifter iakttas Esbo stads informationsstyrningsplan samt Riksarkivets gällande bestämmelser och föreskrifter.

Uppgifter om barn som deltar i klubbar förvaras i datasystemet i sex års tid efter utgången av det kalenderår under vilket respektive barns placering i småbarnspedagogiken har upphört. Efter arkiveringstiden raderas uppgiften ur datasystemet antingen automatiskt eller av huvudanvändaren. Manuellt material raderas när arkiveringstiden går ut.

För klubbarnas del förvaras manuell dokumentation, till exempel ett barns blankett för basuppgifter, så länge som barnet går i klubben plus sex år efter det.

Deltagarlistorna över mellanmålsserveringen för skolelever förvaras i invånarparken under läsåret och efter det förstörs de. 

I lagarna om dataskydd garanteras den registrerade olika rättigheter vid behandlingen av personuppgifter. En begäran som gäller den registrerades rättigheter kan skickas till stadens dataskyddsombud eller till kontaktpersonen för registret, se kontaktuppgifterna ovan.

Den personuppgiftsansvarige kan vid behov begära att den registrerade lämnar ytterligare uppgifter för genomförande av begäran.

Den personuppgiftsansvarige ska besvara begäran om den registrerades rättigheter utan onödigt dröjsmål och senast inom en månad från mottagandet av begäran. Denna period kan vid behov förlängas med ytterligare två månader, med beaktande av hur komplicerad begäran är och antalet inkomna begäranden.

Om den personuppgiftsansvarige inte vidtar åtgärder på den registrerades begäran, ska den personuppgiftsansvarige utan dröjsmål och senast en månad efter att ha mottagit begäran informera den registrerade om orsaken till att åtgärder inte vidtagits och om möjligheten att lämna in ett klagomål till en tillsynsmyndighet och begära rättslig prövning.

Begäranden av en registrerad och de åtgärder som hänför sig till dem är i regel avgiftsfria. Om begäranden av en registrerad dock är uppenbart ogrundade eller orimliga, särskilt på grund av deras repetitiva art, får den personuppgiftsansvarige antingen ta ut en rimlig avgift som täcker de administrativa kostnaderna för att tillhandahålla den information eller vidta den åtgärd som begärts, eller vägra att tillmötesgå begäran.

Den registrerade har rätt att få en bekräftelse av den personuppgiftsansvarige om att denne behandlar personuppgifter som gäller den registrerade, samt rätt att få tillgång till uppgifter och få en kopia av dem. Utlämnandet av uppgifter får dock inte inverka skadligt på andras friheter och rättigheter.

Den registrerade har rätt att kräva att den personuppgiftsansvarige utan onödigt dröjsmål korrigerar felaktiga personuppgifter som berör den registrerade. Dessutom har den registrerade rätt att få ofullständiga personuppgifter kompletterade med beaktande av de ändamål för vilka personuppgifterna behandlades.

Den registrerade har under vissa förutsättningar rätt att be den personuppgiftsansvarige radera personuppgifter som gäller den registrerade. Om till exempel behandlingen av personuppgifter har grundat sig på samtycke och den registrerade återkallar sitt samtycke och det inte finns någon annan laglig grund för behandlingen, har den registrerade rätt att få sina uppgifter raderade. Den registrerade har dock inte rätt att få uppgifter raderade om personuppgifterna måste behandlas för att uppfylla en rättslig förpliktelse, för att utföra en uppgift av allmänt intresse eller för myndighetsutövning som hör till den personuppgiftsansvarige.

Den registrerade har rätt att begära att behandlingen av hens personuppgifter begränsas i vissa situationer. Rätten gäller till exempel om den registrerade bestrider att hens personuppgifter är korrekta, varvid behandlingen begränsas till en tid under vilken den personuppgiftsansvarige kan se till att uppgifterna är korrekta. Rätten är tillämplig också om den registrerade har motsatt sig behandlingen av personuppgifter i väntan på svar om huruvida den personuppgiftsansvariges legitima grunder åsidosätter den registrerades grunder.

Den registrerade har, av skäl som hänför sig till hens specifika situation, rätt att när som helst göra invändningar mot behandling av hens personuppgifter, då behandlingen grundar sig på utförandet av en uppgift som gäller ett allmänt intresse eller som är ett led i myndighetsutövning som utförs av den personuppgiftsansvarige. I detta fall får den personuppgiftsansvarige fortsätta behandlingen av personuppgifter endast om den personuppgiftsansvarige visar att det finns ett väsentligt och välgrundat skäl för behandlingen. Behandlingen får också fortsätta om behandlingen är nödvändig för att upprätta, framställa eller försvara ett rättsyrkande.

Den registrerade har rätt att lämna in ett klagomål till tillsynsmyndigheten, om hen anser att behandlingen av personuppgifter som gäller hen strider mot dataskyddslagstiftningen. Den registrerade kan lämna in ett klagomål till dataombudsmannens byrå: www.tietosuoja.fi(extern länk, öppnas i ett nytt fönster).

Ändringshistoria; -