Du är här

Praktiska scoutexempel

Vardagliga dataskyddsexempel inom scouterna

Nedan finns några konkreta exempel från scoutverksamheten. De åskådliggör varsam behandling av personuppgifter och bör ses som anvisningar och råd för hur kåren uppfyller de skyldigheter dataskyddsförordningen ställer. Känns något ännu oklart eller svarade vi inte på dina frågor? Ta kontakt, vi publicerar exempel på websidorna www.partio.fi/tietosuoja / www.scout.fi/dataskydd så att svaren och god praxis är till nytta åt alla.

Min kårkompis ser inte de uppgifter hen behöver i Kuksa. Kan jag skicka hen informationen per e-post?

Kårledare kan enbart se och komma åt de uppgifter som uppdraget de innehar ger befogenheter till. Din kompis bör försäkra sig om att hen har rätt att behandla uppgifterna hen frågar efter. Kuksa är uppbyggt enligt användarrättigheter per uppdrag. Principen är att du inte får skicka personuppgifter åt en annan ledare i kåren (t.ex. excel per e-post). De personer som har rätt att behandla uppgifter ska göra det i Kuksa. Personuppgifter får aldrig delges åt utomstående personer som inte har ett uppdrag som ger tillhörande rättigheter i Kuksa.

Hur ska vi godkänna nya medlemmar på kårstyrelsens möte?

Man får per sig inte bifoga en lista på nya medlemmar till mötesprotokollet. Medlemsuppgifterna finns i Kuksa där rapportmöjligheterna kontinuerligt utvecklas. Däremot kan ni vid behov bifoga en lista på medlemsnummer eller an-talet nya medlemmar, så att personerna inte kan identifieras. Observera att medlemsnummer är en indirekt person-uppgift, men ett bättre alternativ än namn.

Får scoutkåren ge ut personuppgifter till understödsföreningen eller till ett företag för marknadsföring?

Nej, personuppgifter får inte delges andra. I informationsdokumenten för Kuksa beskrivs de fall då personuppgifter får överlåtas. Däremot kan kåren ge ut statistik där enskilda personer inte kan identifieras, t.ex. medlemsantal.

Scouternas personuppgifter så som e-postadresser ges inte till direktmarknadsföring och personuppgifter får inte överlåtas till tredje part. Personuppgifter får heller inte publiceras på t.ex. kårens webbsida, i medlemstidningar eller i verksamhetsberättelsen eller årsboken, bortsett från styrelsens medlemmar eller övriga ansvariga medlemmar i för-troendeuppdrag. Medlemsuppgifter finns i Kuksa för att begränsa behandlingen av dem och att inte tillåta oändligt många behandlare tillgång till dem. De överföringar av personuppgifter som är tillåtna beskrivs i behandlingsdokumentet för scouternas datasystem FS interna dokument).

Att arrangera evenemang

Anmälan till scoutevenemang sker i regel i Kuksa, då uppgifter samlas in och lagras säkert. Administration av evenemang i Kuksa är viktig även med tanke på rapportering och statistik. Ibland kan man ha behov av att samla in uppgifter på annat vis, i sådana fall bör uppgifterna raderas direkt efter evenemanget, då uppgifterna inte längre behövs. Observera att uppgifter ni samlat in för ett evenemang inte får användas till andra ändamål.

Kan jag bearbeta personuppgifter i en Excel-fil?

Dataskyddsförordningen berör både elektroniskt material och papperslistor. Personuppgifter får behandlas i Excel-listor, men då krävs extra försiktighet. Det är t.ex. inte säkert att spara Excel-filer från Kuksa på sin egen dator,eftersom kåren då kan ha svårt att bevisa att kåren vet var personuppgifter finns och vem som har tillgång till dem. En bra grundregel är att listan vare sig den är elektronisk eller till pappers förstörs genast då man inte längre har behov av den, t.ex. då evenemanget har avslutats.

Ni kan fortsättningsvis bra ta ut en lista från Kuksa inför ett evenemang. Men både elektroniska och papperslistor bör totalförstöras då evenemanget är över. Observera principen för ändamålsbegränsning: uppgifter om allergier och dieter behövs endast i köket, ekonomen behöver namn och kontaktuppgifter så att betalningar kring deltagaravgifter kan faktureras eller kontrolleras. Att förstöra dokument betyder att de bränns eller läggs i en dokumentförstörare. Att tappa bort dylika listor eller slänga dem som sådana i pappersinsamlingen är att försumma dataskyddet.

Jag har en lista på kårmedlemmarnas allergier på min dator, är det ok?

Allergier är hälsouppgifter och anses tillhöra kategorin känsliga uppgifter. Behandlingen av dylika uppgifter är i regel inte tillåtet. Dylika uppgifter kan dock behandlas med tillstånd från personen för ett specifikt ändamål. I scoutverk-samheten värnar vi om säkerhet. Uppgifter gällande allergier och eventuell medicinering bör dock alltid efterfrågas skilt för varje evenemang och dylika uppgifter får inte lagras utöver den tid de behövs för evenemanget. Efter en teknisk uppdatering i Kuksa kommer dylika uppgifter att per automatik raderas efter evenemang.

Vilka uppgifter kan kåren arkivera efter ett evenemang?

Scoutkåren får arkivera uppgifter som inte identifierar enskilda medlemmar, t.ex. deltagarantal. Notera dock att om ni samlat in en deltagaravgift bör uppgifter om deltagare lagras enligt bokföringslagen 1336/1997 i sex år. Känsliga uppgifter, t.ex. allergier bör förstöras direkt efter evenemanget.

Behöver man samtycke från ett barns båda målsmän, för att kunna behandla dennes uppgifter?

Då ett barn blir medlem i en scoutkår, fyller den ena målsmannen i kårens elektroniska blankett för medlemsansökan. I den elektroniska blanketten ger målsmannen personligt och medvetet samtycke (för minderårig och person som sak-nar rättshandlingsförmåga) till att barnets personuppgifter behandlas inom scouterna. Det räcker att den ena måls-mannen ger sitt samtycke. Under 15-åriga medlemmar kan inte ha ett uppdrag i Kuksa och de kan inte få tillgång till Office 365.

En medlem i scoutkåren har spärrmarkering – vad betyder det och hur skall vi göra?

Spärrmarkering är en typ av förbud för överlåtelse av personuppgifter. Utöver detta även finns förbud för överlåtelse av adressuppgifter och marknadsföringsförbud. Vem som helst kan ansöka om förbud för överföring av personuppgifter. Var och en av oss har rätt att förbjuda överlåtelse av våra uppgifter från befolkningsregistret till privata organisatörer (t.ex. direkt marknadsföring, telefonförsäljning, marknads- och åsiktsundersökningar, adresstjänster och släktforskning eller personmatriklar). Spärrmarkering är den mest omfattande typen av förbud som kan ansökas om en person har befogad orsak att misstänka att hens eller hens familjs säkerhet är hotad. Beslut om spärrmarkering görs av magistraten. Även om en spärrmarkering i sig gäller för befolkningsregistret respekterar Finlands Scouter personens integritet så fort en anmälan därom nått förbundet och överlåter inte personens uppgifter till andra.

Hur länge bör scoutkåren arkivera sina dokument?

Dataskyddsförordningen tar inte ställning till hur länge scoutkåren skall arkivera sina dokument, men enligt tidigare beskrivna principer för behandling av personuppgifter får personuppgifter enbart lagras så länge man har en laglig grund för behandlingen och uppgifterna används för det ändamål de uppgetts. Personuppgifter kan således lagras endast så länge som principen för behandlingen på laglig grund inte rimligen kan förverkligas på annat vis. Principen kan vara definierad av kåren (t.ex. uppgifter som behövs för arrangemang kring evenemang) dock beaktande den tillämpade principen för behandling av personuppgifter, eller en av lag berättigad behandling då lagring av personuppgifter är berättigat i enlighet med den tid lagen uppger.

Scoutkåren bör lagra verksamhetsårets verifikat eller kvitton (bokföringsmaterial) i enlighet med bokföringslagen 1336/1997 i sex år räknat från slutet av det kalenderår som bokföringsmaterialet baserar sig på. Bokslut, verksamhetsberättelse och bokföringen bör arkiveras i 10 år efter utgången av verksamhetsperioden. Alla dessa dokument kan innehålla personuppgifter, vars arkivering är tillåten den tid lagen förutsätter, då det är fråga om uppgifter som krävs för att säkerställa bokföringsmaterialets integritet och tillförlitlighet.

Vad bör jag beakta i mina e-post utskick?

Då du skickar e-post till flera personer, lägg mottagarna i fältet för hemlig kopia. Märk ut i början av e-postmeddelandet vilka grupper som är mottagare för e-postmeddelandet. En bra grundprincip är att mottagarnas e-postadresser inte är synliga i meddelandet. Skicka inga personuppgifter och fråga aldrig efter personbeteckning per e-post. Om du vill skicka en deltagarlista till alla deltagare före ett evenemang, bör du ha tillstånd till detta från alla (från målsman då det gäller minderåriga scouter).

På vilket sätt måste jag beakta dataskyddet med tanke på min telefon, läsplatta eller dator?

Via din telefon och läsplatta har du ofta en direkt åtkomst till appar, sociala medier och personuppgifter. Om du t.ex. använder Kuksa eller O365 via din telefon eller läsplatta, skydda apparna då med en kod eller upplåsningsmönster. På så sätt undviker du att utomstående kommer åt personuppgifter via din telefon etc. Skydda även din dator, med login och sekretesskydd (privacyfilm).

Vad behöver jag tänka på gällande webbsidor och sociala medier?

Publicera inga listor som inkluderar personuppgifter på kårens websida eller i kanaler på sociala medier. Kårstyrelsens uppgifter får publiceras på websidan, men fråga även i detta fall efter samtycke först. Lägg inte till någon i Whatsapp-grupper utan deras samtycke. Om ni har ett scoutevenemang, där man kan anmäla sig via Facebook, notera då att del-tagaren enbart gett sitt tillstånd till Facebook. Uppgifter från Facebook får inte överföras annanstans. Därför är vår rekommendation att ni administrerar era evenemang enbart via Kuksa.