Tietosuojaseloste

Henkilötietojen käsittelystä säädetään mm. EU:n yleisessä tietosuoja-asetuksessa (GDPR), asetusta täsmentävässä Tietosuojalaissa, Julkisuuslaissa sekä useissa viranomaisen toimintaa säätelevässä erityislaeissa. Käsittelyn perusteena oleva lainsäädäntö määrittää myös sen, mitä oikeuksia rekisteröidyllä on suhteessa henkilötietojensa käsittelyyn.
Tietosuojaseloste on voimaan tulleen tietosuoja-asetuksen rekisterinpitäjältä edellyttämä dokumentti.

 

PÄIVÄKOTIYHDISTYS RÖLLI RY:N ASIAKASREKISTERI
Toimintayksiköt: Päiväkoti Rölli, Päiväkoti Naavametsä ja Päiväkoti Vilijonkka

1. Rekisterinpitäjän ja tämän edustajan nimi ja yhteystiedot

Päiväkotiyhdistys Rölli ry
Röllinpolku 2
50970 Mikkeli
044 50 70 8610
rolli(at)paivakotirolli.fi

Vastuuhenkilö: Kirsi Väisänen

2. Henkilötietojen käsittelyn tarkoitus

Päiväkotiyhdistyksen tuottamissa palveluissa henkilötietoja käsitellään lainmukaisesti ja rekisteröidyn kannalta läpinäkyvästi. Lainmukaisuus tarkoittaa sitä, että henkilötietoja kerätään vain tiettyä laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla. Läpinäkyvyydellä tarkoitetaan sitä, että asiakkaalla on oikeus saada tietoa siitä, miten ja mitä tarkoitusta varten hänen henkilötietojaan käsitellään.

Tietosuoja-asetuksessa on määritelty seuraavat syyt, joiden perusteella henkilötietoja saa laillisesti käsitellä; suostumus, oikeutettu etu (työntekijät), suostumus (lapset asiakkaana), lakisääteinen velvoite, elintärkeä tai yleinen etu sekä julkinen tehtävä.

Henkilötietojen käsittelyn yleisenä perusteena päiväkotiyhdistyksellä on asiakassuhde, asiakkaan suostumus, asiakkaan päiväkodille antama toimeksianto tai päiväkodin ja asiakkaan välisistä sopimuksista sekä lainsäädännöstä johtuvien oikeuksien ja velvollisuuksien toteuttaminen.

Henkilötietoja voidaan käsitellä seuraavissa käyttötarkoituksissa:

  • Asiakasneuvonta
  • Palvelun järjestäminen ja toteuttaminen
  • Palveluun liittyvä viestintä ja muistuttaminen
  • Asiakaslaskutus
  • Päivähoitoon liittyvien tilastotietojen keräys ja analysointi
  • Asiakaspalautteen ja asiakkaan tyytyväisyystietojen kerääminen ja käsittely
  • Rekisterinpitäjän liiketoiminnan kehittäminen ja siihen liittyvä asiakaspalvelun kehittäminen
  • Käsittelytehtäviä voidaan ulkoistaa tarvittaessa ulkopuolisille palveluntarjoajille tietosuojalainsäädännön mukaisesti ja sen asettamissa rajoissa: asiakasmaksujen laskutuksen hoitaa Mari Moilanen / Laskenta M. Moilanen Oy.

3. Kuvaus rekisteröityjen ryhmästä tai ryhmistä ja näihin liittyvistä tiedoista ja tietoryhmistä

Rekisteröidystä voidaan tallentaa asiakasrekisteriin seuraavia tietoja:

  • Lapsen nimi, henkilötunnus, osoite
  • Huoltajan nimi, henkilötunnus, osoite, sähköpostiosoite, puhelinnumero, ammatti
  • Hakemustiedot ja palveluntarve
  • Palveluun liittyvät päivittäiskirjaukset ja muut päivähoitotoiminnan järjestämisen edellyttämät tarpeelliset tiedot
  • Rekisteröidyn itse tuottama sisältö kuten asiakaspalaute sekä hänen antamat lisätiedot palveluun liittyen (varahakijat, allergiat, kuvauslupa, jne.)

Henkilö- ja perhetiedot saadaan pääosin hakemustietoina sähköisen hakemuksen lapsen huoltajilta (henkilötietolain 8 §:n 1 momentin 1 kohta) tai lapsen kotikunnan varhaiskasvatuksen palveluohjauksesta. Tietoja täydennetään huoltajien kertomilla tiedoilla. Palveluiden toimeenpanoa koskevat tiedot syntyvät asiakkuuden aikana päiväkotihenkilöstön kirjaamina. Jos päivähoitoon hakemin tapahtuu kunnan kautta, saa palveluntarjoaja henkilö- ja perhetiedot kunnan varhaiskasvatuksen palveluohjauksesta.

4. Mihin tietoja säännönmukaisesti luovutetaan

Varhaiskasvatuksen tiedot ovat salassa pidettäviä. Henkilötietoja luovutetaan vain yksilöidyn tietopyynnön perusteella siihen oikeutetuille viranomaisille. Tietoja käsitteleviä henkilöitä koskee vaitiolovelvollisuus, joka jatkuu asiakas- ja hoitosuhteen päätyttyä. Koska päivähoitoa toteutetaan palvelusetelin avulla, kunta vastaa omalta osaltaan heille muodostuvan rekisterin ylläpidosta ja arkistoinnista.
Asiakastietoja ei luovuteta markkinointiin, Euroopan unionin tai Euroopan talousalueen ulkopuolelle.

5. Kuvaus rekisterin suojauksen periaatteista

Päiväkotiyhdistyksessä henkilötietoja saavat käsitellä vain ne työntekijät, joiden nimenomaisiin työtehtäviin tietojen käsittely kuuluu. Pääsy tietoihin on rajattu työroolin mukaisesti millä varmistetaan, että tiedot ovat suojassa luvattomalta ja yhteensopimattomalta käsittelyltä. Teknisillä suojatoimilla estetään tietojen häviäminen vahingoittuminen. Teknisiä suojatoimia ovat esimerkiksi salasanat, varmuuskopiointi ja palomuurit. Lisäksi kaikilta työntekijöiltä edellytetään vaitiolovelvollisuutta ja perehtymistä tietoturva- ja tietosuojaohjeisiin. Henkilöstöä koulutetaan tarpeen mukaan ja ohjeiden noudattamista valvotaan.

Yhdistyksessä henkilötietoja käsitellään niin pitkään, kuin asiakkuus, palveluntarve tai laskutusperuste on olemassa. Käsittelyn perusteena oleva lainsäädäntö, kirjanpitosäännökset tai mahdolliset oikaisupyyntöprosessit saattavat edellyttää tietojen säilyttämistä pidempään kuin palvelun tarve edellyttäisi.
Palveluntuottaja säilyttää arkistoitavat asiakirjat kuten henkilötietolaissa (523/1999) ja laissa sosiaali- ja terveydenhuollon asiakastietojen käsittelystä (159/2007) sekä muussa sosiaali- ja terveydenhuollon lainsäädännössä säädetään. Henkilötiedot suojataan asiattomalta pääsyltä ja laittomalta käsittelyltä, esim. hävittäminen, muuttaminen tai luovuttaminen (henkilötietolaki 32 §).
Manuaalinen aineisto säilytetään vaatimukset täyttävissä lukituissa ja/tai valvotuissa tiloissa. Pääsääntöisesti kaikki ko. aineisto säilytetään toimistoissa olevissa lukituissa laatikoissa ja toimiston ovet pidetään lukittuina.

Lapsiryhmiin liittyvä aineisto; läsnäolopäiväkirjat, ryhmän muut lapsilistat, vanhempien yhteistietolistat säilytetään ryhmän lukitussa kaapissa/uusi puoli sekä filiaalit. Röllin ns. vanhalla puolella ko. materiaali säilytetään toimiston lukitussa kaapissa. Myös lapsiryhmien käytössä olevat tallennustikut säilytetään toimiston lukitussa kaapissa, Tiimivastaavat huolehtivat asianmukaisesta säilytyksestä eikä ko. tiedostoista saa ottaa kopioita.

Digitaaliseen aineistoon on pääsy vain siihen oikeutetun työntekijän tai yhteistyökumppanin henkilökohtaisella käyttäjätunnuksella ja salasanalla. Käyttöoikeuksia on eritasoisia ja kullekin käyttäjälle annetaan tehtävän hoitamisen kannalta riittävä, mutta mahdollisimman suppea käyttöoikeus. Tiedot sijaitsevat rekisterinpitäjän tai hänen alihankkijansa suljetussa verkossa, joka on suojattu palomuurilla. Rekisterin tiedot varmuuskopioidaan automaattisesti säännöllisin väliajoin.

Tietojen säilytysaika määräytyy lapsen kotikunnan arkistonmuodostussuunnitelman mukaisesti: aineisto jää palvelutuottajalle, ne säilytetään rekisterilain mukaisten määräaikojen ajan ja tuhotaan määräajan loputtua tietoturvallisesti.

6. Tarkastusoikeus

Asianmukaista käsittelyä on se, että palvelua varten kerätään vain olennainen tieto, jonka käsittely on välttämätöntä palvelun oikean kohdentamisen, mitoittamisen tai palvelutarpeen arvioinnin toteuttamiseksi (tietojen minimointi).
Henkilötietojen käsittelyssä pyritään varmistamaan säännöllisesti, että käsiteltävät henkilötiedot ovat täsmällisiä ja ajantasaisia. Epätarkat ja virheelliset tiedot poistetaan tai oikaistaan viivytyksettä, mikäli käsittelyn perusteena oleva lainsäädäntö tai asetus sen sallii. Käytännössä esimerkiksi yhteystiedot saa oikaista aina.

Asiakkaalla on aina oikeus selvittää, käsitelläänkö hänen tietojaan ja mitä tietoja hänestä on asiakasrekisteriin tallennettu. Kun asiakas haluaa käyttää tarkastusoikeuttaan, tulee hänen lähettää omakätisesti allekirjoitettu tarkastuspyyntö päiväkodin johtajalle. Tarkastuspyynnössä asiakkaan tulee ilmoittaa nimensä, osoitteensa ja puhelinnumeronsa.
Rekisterinpitäjä toimittaa kirjallisen vastauksensa asiakkaalle, kun asiakkaan kirjallinen tarkastuspyyntö on saapunut rekisterinpitäjälle.

7. Oikeus vaatia tiedon korjaamista

Mikäli rekisterissä havaitaan käsittelyn kannalta virheellinen, tarpeeton, puutteellinen tai vanhentunut tieto, käyttöoikeuden omaava työntekijä korjaa sen joko omasta aloitteestaan tai rekisteröidyn pyynnöstä.
Rekisteröity voi pyytää tiedon korjaamista rekisterin yhteyshenkilöltä tai rekisterin vastuuhenkilöltä. Mikäli pyyntöön ei suostuta, rekisterin yhteyshenkilö tai rekisterin vastuuhenkilö antaa asiasta rekisteröidylle kirjallisen todistuksen, jossa mainitaan myös ne syyt, joiden vuoksi vaatimusta ei ole hyväksytty. Rekisteröity voi saattaa asian tietosuojavaltuutetun käsiteltäväksi.

8. Oikeus valittaa tietosuojaviranomaiselle

Rekisteröidyllä on oikeus tehdä valitus valvontaviranomaiselle, jos rekisteröity katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan EU:n yleistä tietosuoja-asetusta tai kansallisia tietosuojaa ohjaavia lakeja ja asetuksia.

Valvontaviranomaisen yhteystiedot:
Tietosuojavaltuutetun toimisto
PL 800
00521 HELSINKI
Käyntiosoite: Ratapihantie 9, 6 krs 00520 HELSINKI
Puh. 029 56 66700
tietosuoja(at)om.fi

9. Muut henkilötietojen käsittelyyn liittyvät asiat

Tietoturvaseloste on jokaisen saatavilla perehdyttämiskansiossa sekä omavalvontasuuunnitelman liitteenä sekä palveluntuottajan kotisivuilla osoitteessa www.paivakotirolli.fi