Määrittelemme ohessa olennaisia käsitteitä ja kuvaamme tietosuojaperiaatteita partioesimerkein.
Olennaiset käsitteet
Tarkoitamme tietosuojalla partion jäsenen, tämän huoltajan tai vapaaehtoisen perusoikeutta, jonka varmistamme käsittelemällä henkilötietoja laillisesti ja luotettavasti. Määrittelemme tietoturvan tietosuojan huolelliseksi toteuttamiseksi sekä toiminnassamme että digitaalisissa ratkaisuissamme.
Henkilötietojen käsittelyssä ja sen sääntelyssä on neljä keskeistä asiaa. Jokaisen partion vapaaehtoisen, erityisesti partiolippukuntien hallitusten ja jäsenrekisterinhoitajien tulee tunnistaa nämä käsitteet ja periaatteet tai pyytää tarvittaessa lisätietoja osaamisensa kehittämiseksi. Ota yhteyttä.
1 Läpinäkyvyys
Partiolippukunnan kaltaisen järjestön ja yhdistyksen on osoitettava, miten se noudattaa tietosuojaperiaatteita toiminnassaan eli kertoa, miten se vastaa osoitusvelvollisuudestaan.
Olemme tehneet partiolippukunnille tehtävälistan (Partiolippukunnan tehtävät -dokumentin), jota täyttämällä partiolippukunta voi osoittaa, kuinka se huolehtii tietosuojasta ja kehittää tiedonhallintaansa.
Käytämme partiossa pääsääntöisesti yhteisiä valtakunnallisia dokumentteja, kuten tietosuojaselosteita ja informointiasiakirjoja. Kerromme niiden avulla selkeästi ja ymmärrettävästi, miten ja miksi käsittelemme henkilötietoja. Tietosuojaselosteet ja informointiasiakirjat ovat korvanneet aiemmin käytössä olleet rekisteriselosteet.
Käyttämällä jäsenten ja vapaaehtoisten henkilötietoja koskevaa tietosuojaselostetta (Kuksa), partiolippukunta kertoo avoimesti, mihin se käyttää henkilötietoja ja mihin käyttötarkoitukseen henkilötietojen käsittely perustuu. Käsiteltävillä henkilötiedoilla on aina oltava ennalta suunniteltu käyttötarkoitus. Avoin viestintä rakentaa luottamusta.
Rekisteröity on henkilö, jonka henkilötietoja käsitellään. Hänelle tulee aina kertoa henkilötietojen käsittelystä tai käsittelyn perustelluista muutoksista. Henkilötietojen käsittelyn on oltava rekisteröidylle ennakoitavaa, ei odottamatonta.
Kun henkilö liittyy jäseneksi sähköisesti www.partio.fi/liity, hän saa tiedoksi henkilötietojen käsittelyn perusteet partiossa.
2 Lainmukaiset käsittelyperusteet
Henkilötietojen käsittelylle on aina oltava käsittelyperuste. Käsittelemme henkilötietoja partiossa muun muassa seuraavin perustein
- Rekisteröidyn suostumus
- Sopimus, kuten jäsenyys tai työsuhde
- Rekisterinpitäjän lakisääteinen velvollisuus
- Rekisterinpitäjän tai kolmannen osapuolen oiketeuttu etu
Tietojen minimointi ja henkilötietojen tarpeen arviointi kuuluvat tietosuojaan. Käsiteltävien henkilötietojen on oltava asianmukaisia, olennaisia ja rajoitettua eli ainoastaan käyttötarkoituksen kannalta välttämättömiä henkilötietoja on oikeus käsitellä. Tarpeeton tieto tulee hävittää. Henkilötiedoilla on myös määritelty elinkaari. Olemme esimerkiksi määritelleet elinkaaret Kuksa-partiorekisterissä oleville henkilötiedoille ja poistamme osan henkilötiedoista automaattisesti tietosuoja-asetuksen mukaisesti.
Tutustu käsittelyperusteisiimme tietosuojaselosteidemme ja informointiasiakirjojemme avulla Dokumentit ja ohjeet -sivulla.
Jos partiolippukunta käsittelee henkilötietoja muualla kuin Kuksassa tai muuhun kuin tietosuojaselosteessa kuvattuun käyttötarkoitukseen, partiolippukunnan tulee arvioida näiden tietojen tarpeellisuus, asianmukaisuus ja olennaisuus. Partiolippukunnan on tarvittaessa poistettava tarpeettomat tiedot ja kerrottava rekisteröidyille näiden henkilötietojen käsittelystä.
Suomen Partiolaiset on tuottanut partiolippukunnille informointiasiakirjamallin, jonka partiolippukunta täyttää Suomen Partiolaisten opastuksella.
Asiakirjamallit sekä tietosuojaselosteet ja informointiasiakirjat ovat Dokumentit ja ohjeet -sivulla.
3 Rekisteröidyn oikeudet
Rekisteröidyllä on oikeus saada omat tietonsa yhden kuukauden sisällä kirjallisesta pyynnöstä selkeällä kielellä.
Rekisteröidyllä on oikeus pyytää omien tietonsa poistamista partion yhteisistä digitaalisista ratkaisuista. Pyynnössä tulee kertoa poistettavien tietojen lisäksi perustelut poistolle, oma nimi ja yhteistiedot.
Jäsenpalvelumme antaa tai poistaa tiedot partion yhteisistä digitaalisista ratkaisuista varmistuttuaan pyytäjän henkilöllisyydestä. Pyynnöt tulee osoittaa kirjallisesti palvelu@partio.fi.
Partiolippukunta vastaa niiden tietojen antamisesta ja poistamisesta, joita sillä on itsellään henkilöistä muualla kuin partion yhteisissä digitaalisissa ratkaisuissa, kuten Kuksassa. Partiolippukunnan tulee olla ehdottoman varma pyytäjän henkilöllisyydestä ja tämän oikeudesta pyytämiinsä tietoihin.
4 Rekisterinpitäjä ja henkilötietojen käsittelijä
Sekä Suomen Partiolaiset, partiopiirit että partiolippukunnat ovat rekisterinpitäjiä. Rekisterinpitäjä tarkoittaa organisaatiota, joka käsittelee henkilötietoja omiin tarkoituksiinsa. Henkilötietojen käsittelijä on vastaavasti sellainen organisaatio, joka käsittelee henkilötietoja rekisterinpitäjän lukuun ja puolesta. Esimerkiksi Suomen Partiolaiset on henkilötietojen käsittelijä silloin, kun se tarjoaa Kuksan kaltaisen digitaalisen ratkaisun partiolippukunnille henkilötietojen käsittelyä varten.
Suomen Partiolaiset ja partiolippukunnat tekevät yhteisen käsittelysopimuksen, jolla ne sopivat henkilötietojen käsittelystä ja osoittavat sen lainmukaisuuden, asianmukaisuuden ja läpinäkyvyyden.
Lähde: Henkilötietojen käsittely (Tietosuojavaltuutettu)
Yläkuva: Anna Enbuske