Partiolippukunnan tehtävät

Seuraavassa on kootusti partiolippukuntien tehtävät tietosuoja-asetukseen valmistautumiseksi. Tärkeintä on se, että partiolippukunta tunnistaa vastuunsa, osaa keskeiset käsitteet ja on suunnitellut, kuinka se huolehtii tietosuojasta osana toimintaansa. Jokaiseen tehtävään kuuluu erilaisia toimenpiteitä.

Täyttämisohje: Ladatkaa Partiolippukunnan tehtävät -dokumentti hallituksen yhteiseksi jaetuksi työkaluksi. Käykää se läpi yhdessä ja merkitkää siihen muistiinpanoja ja seuratkaa, mitkä toimenpiteet on tehty. Dokumentissa on myös kevyt taulukko riskien tunnistamiseksi ja toimenpiteiden suunnittelemiseksi. Voitte myös soveltaa työkalua haluamallanne tavalla.

1 Henkilötietojen käsittely partiossa

Kun partiolippukunta käyttää Kuksaa henkilötietojen käsittelyyn, sen tulee viitata viestinnässään partion valtakunnalliseen informointiasiakirjaan jäsenille ja vapaaehtoisille. Tämä informointiasiakirja kattaa pääosin henkilötietojen käsittelyn partiossa ja partiolippukunnissa. Tutustu informointiasiakirjoihin ja muihin dokumentteihin ja ohjeisiin.

2 Käsittelysopimuksen tekeminen Kuksassa

Suomen Partiolaiset ja partiolippukunta tekevät Kuksassa käsittelysopimuksen, jolla sovitaan henkilötietojen käsittelyn vastuista ja rooleista. Sopimuksen hyväksyntä näkyy partiolippukunnan organisaatiosivulla Kuksassa. Tekninen ohje ja allekirjoituspyyntö julkaistaan myöhemmin, kun tekninen ominaisuus on päivitetty.

Suomen Partiolaisten ehdoton suositus on se, että partiolippukunta pitää jäsenluettelonsa vain Kuksassa, jonka tietoturvasta ja tietosuojavaatimuksista huolehditaan laajasti, ja jolloin partion jäsenten, heidän huoltajiensa ja vapaaehtoisten henkilötietojen käsittely on yhdenmukaista, avointa ja helposti viestittävää. Tämä suositus sisältyy myös partiotoiminnan vähimmäisvaatimuksiin partiolippukunnissa.

3 Tietojen ajantasaisuus ja partiolippukunnan vastuut

Varmistakaa, että jäsenten tiedot ja heidän pestitietonsa on päivitetty Kuksaan. Kuksan käyttöoikeus (laajemmin oikeus käsitellä henkilötietoja) perustuu pestiin. Partiolippukunta vastaa siitä, että pestitietoja päivitetään säännöllisesti eikä käyttöoikeuksia jaeta turhaan. Käyttäjätunnukset ovat henkilökohtaisia. Tietosuoja-asetus edellyttää, että virheelliset tiedot korjataan.

Partiolippukunta vastaa partiolippukunnan sisäisistä väärinkäytöksistä. Partiolippukunta vastaa, että pestikeskusteluissa otetaan esiin myös henkilötietojen käsittely ja nämä ohjeet käytännön tietosuojaesimerkkeineen.

4 Henkilötietojen kartoituksen tekeminen

Jos partiolippukunnalla on joku muu tietojärjestelmä kuin Kuksa tai henkilötietoja on muualla esimerkiksi paperikansioissa, konsultoikaa tarvittaessa Suomen Partiolaisia tietosuojavelvollisuuksistanne, kuten informoinnista ja informointiasiakirjan täyttämisestä. Tehkää kartoituksen merkinnät em. dokumenttiin.

Partiolippukunnat saattavat säilyttää henkilötietoja esimerkiksi pilvipalveluissa. Tapahtumatietoja on saatettu myös kerätä esimerkiksi partiolippukunnan nettisivujen lomakkeilla. Henkilötietoja voi olla kansioissakin. Kun jäsentiedot ovat Kuksassa ja tapahtumiin ilmoittaudutaan Kuksassa, on helppo määritellä, kenellä on henkilötietojen käyttöoikeus. Lukittu kaappi on hyvä tapa säilyttää partiolippukunnan kansiot.

5 Käsittelyperusteiden tunnistaminen ja informoinnista huolehtiminen

Jos käsittelette henkilötietoja muualla kuin Kuksassa, varmistakaa, että teillä on näiden käsittelylle lainmukainen peruste, kuten sopimus, määritelty oikeutettu etu tai henkilön suostumus, että henkilöitä on asianmukaisesti informoitu tästä käsittelystä ja että on olemassa kirjallinen kuvaus prosesseista, riskeistä ja tietojen suojauksesta.

Jos partiolippukunta käsittelee henkilötietoja muualla kuin Kuksassa tai muuhun kuin Suomen Partiolaisten informointiasiakirjoissa esittämiin tarkoituksiin, partiolippukunta tekee oman informointiasiakirjan Suomen Partiolaisten mallin mukaisesti.

6 Rekisteröidyn oikeudet ja tietojen luovutus

Rekisteröidyllä on oikeuksia. Hänellä on esimerkiksi oikeus saada omat tietonsa yhden kuukauden sisällä pyynnöstä selkokielisesti. Henkilöllisyys on aina varmistettava. Suomen Partiolaiset edellyttää, että henkilöllisyys varmistetaan kasvokkain tai kirjallisesti. Suomen Partiolaisten asiakaspalvelu antaa tiedot silloin, kun se vastaa järjestelmistä (esimerkiksi Kuksasta). Partiolippukunta vastaa muiden tietojen antamisesta itsenäisesti.

7 Riskien arviointi

Pohtikaa, mitä riskejä henkilötietojen käsittelyyn partiolippukunnassa liittyy ja kirjoittakaa siitä lyhyt yhteenveto (em. dokumenttiin) Sisällyttäkää yhteenvetoon myös keinot tällaisten riskien minimoimiseksi. Suomen Partiolaiset on arvioinut riskit valtakunnallisesti ja esimerkiksi yhteisten tietojärjestelmien näkökulmasta.

8 Tietoturvaloukkaukset

Jos havaitsette mahdollisen tietoturvaloukkauksen tai epäilette sitä, ottakaa välittömästi yhteyttä ja keskustelkaa virallisen ilmoituksen tekemisestä Suomen Partiolaisten kanssa.

Ilmoitusta ei tarvitse tehdä, jos henkilötietojen tietoturvaloukkauksesta ei todennäköisesti aiheudu henkilöiden oikeuksiin tai vapauksiin kohdistuvaa riskiä. Suomen Partiolaiset vastaa valtakunnallisista ilmoituksista.