1 20.10.2014 Selosteen laadinta-/ tarkastuspvm. Täyttöohje lomakkeen lopussa. Lomakkeen numerot viittaavat ohjeiden kohtiin 1. Rekisterinpitäjä Nimi Sivistyslautakunta Yhteystiedot (osoite, puhelin, sähköposti, fax) Sivistystoimen kirjaamo, Suupantie 6 C, 33960 Pirkkala, puh. 050 435 4480 sivistystoimenkirjaamo@pirkkala.fi 2. Rekisterin nimi AURA, Koulukuraattorien ja -psykologien asiakastietorekisteri - koostuu koulukuraattoreiden ja koulupsykologien osarekistereistä 2a. Rekisterin voimassaoloaika Voimassa toistaiseksi 3. Rekisteriasioita hoitava henkilö ja vastuualue. - henkilö, johon asiakas voi ottaa yhteyttä henkilötietojen käsittelyä koskevissa asioissa 4. Henkilötietojen käsittelyn tarkoitus - rekisterin käyttötarkoitus Nimi ja vastuualue Ari Suhonen, koulukuraattori, Naistenmatkan koulu Kaisa Rantala, koulupsykologi, Naistenmatkan koulu Asiakastyötä tekevät järjestelmän käyttäjät (koulukuraattorit ja koulupsykologit) vastaavat omien asiakkaidensa tietojen käsittelystä, yleisestä informoinnista, rekisteröidyn informoinnista ja tarkastusoikeuden toteuttamisesta. Yhteystiedot Ari Suhonen, Koulutie 8, ari.suhonen@pirkkala.fi, 050 372 2855 Kaisa Rantala, Koulutie 8, kaisa.rantala@pirkkala.fi, 050 566 3924 1. Henkilötietolain 8 :n mukaiset yleiset edellytykset, esim. asiakassuhteen hoitaminen jäsenyysasioiden hoitaminen palvelussuhteen hoitaminen muu, mikä: Asiakasasiakirjoja käyttää vain asianomainen kuraattori tai asianomainen psykologi ottaen huomioon henkilötietolain säädökset (käyttötarkoitussidonnaisuus, salassapitosäädökset, huolellisuusvelvoite, suojaamisvelvoite). Psykologit ottavat huomioon myös potilaslain säädökset ja kuraattorit sosiaalihuollon asiakaslain säädökset. Salassapitovelvollisuudesta on säädetty oppilas- ja opiskelijahuoltolaissa (22 ) perusopetuslaissa (40 ) ja lukiolaissa (32 ). Koulupsykologin osalta myös potilaslaissa (13 ). Asiakaskertomuksen asiakas voi itse tarkistaa. 2. Henkilötietolain 4 luvun mukainen henkilötietojen käsittely erityisiä tarkoituksia varten (tutkimus, tehtävä jne. nimettävä tai muutoin yksilöitävä): tutkimus: tilasto: Rekisteristä tuotetaan tilastoja Pirkkalan ja Länsi- ja Sisäsuomen aluehallintoviraston käyttöön (HetiL 7 ). Tilastointitietoja käsitellään ilman henkilöiden tunnisteita (HetiL 15 kohta 3). viranomaisen suunnittelu- ja selvitystehtävä: henkilömatrikkeli: sukututkimus: suoramarkkinointi: luottotietotoiminta:
2 3. Erityislainsäädäntö (esim. tietty viranomaiselle säädetty tehtävä kuten päivähoidon järjestäminen, opetuksen järjestäminen jne.) mikä: Koulukuraattorien ja koulupsykologien toiminta perustuu oppilasja opiskelijahuoltolakiin (1287/2013) sekä asiakassuhteeseen. Koulukuraattoreiden ja koulupsykologien toiminta tapahtuu opetustoimessa, jota säätelevät koululait. Koulukuraattorien asiakastietojen käsittelystä säädetään sosiaalihuollon asiakkaan asemasta ja oikeuksista annetussa laissa (812/2000). 5. Rekisterin tietosisältö - rekisteröityjen ryhmä /ryhmät ja näihin liittyvät tiedot tai tietoryhmät Psykologit ovat lisäksi terveydenhuollon ammattihenkilöistä annetun lain (599/1994) 2 ja 5 mukaan terveydenhuollon ammattihenkilöitä. Lain 16 :n mukaan terveydenhuollon ammattihenkilön velvollisuudesta laatia ja säilyttää potilasasiakirjat on voimassa se, mitä potilaan asemasta ja oikeuksista annetussa laissa säädetään (PotL 785/1992). Koulupsykologien asiakastiedot ovat potilasasiakirjoja, joista on olemassa erityissäädöksiä. (STM:n asetus potilasasiakirjojen laatimisesta sekä niiden ja muun hoitoon liittyvän materiaalin säilyttämisestä 99/2001) Koulukuraattoreiden ja psykologien osarekistereissä asiakasta koskevat perustiedot ovat samat. Psykologien laatimissa asiakaskertomuksissa noudatetaan potilasasiakirjoista annettuja säädöksiä. työntekijän nimi asiakkaan henkilö- ja perhetiedot - nimet ja henkilötunnus, sukupuoli - yhteystiedot - äidinkieli, muu kieli, kansalaisuus - huoltajuus, asuminen äidin/isän kanssa - huoltajien yhteystiedot koulunkäyntitiedot - koulun nimi, luokka-aste, oppivelvollisuus, luokkamuoto, tukimuoto - tieto erityisopetuspäätöksestä tai erityisen tuen päätöksestä sekä henkilökohtaisen opetuksen järjestämisestä koskevasta suunnitelmasta (HOJKS) yhteistyötahot - aiemmat - nykyiset asiakaskertomus - yhteydenottaja - asiakkaaksi tulon syy - tapaamiset, neuvottelut, konsultaatiot, läsnä olleet - suunnitelmat, toimenpidesuositukset - yhteenvedot, lausunnot lähetteet, tutkimustulokset - arviointi asiakirjaliikenne - asiakirjan luovutus: merkinnän tehneen työntekijän nimi, pvm, asiakkaan suostumus, asiakirjan nimi, kohde, luovutuksen peruste (asiayhteys/asiakkaan pyyntö/lakiin perustuva) - saadut asiakirjat: saapumisajankohta, lähde.
3 6. Säännön mukaiset tietolähteet. HetiL 10 ei edellytä nimen omaisesti tiedon merkitsemistä, mutta se on tarkoituksenmukaista merkitä rekisteröityjen tiedonsaantioikeuksien kannalta. Se myös kuvaa osaltaan rekisterin tietosisältöä. 7. Säännönmukaiset tietojen luovutukset ja tietojen siirto 1. Asiakkaalta ja huoltajalta saadaan asiakkuuteen liittyvää tietoa. 2. Pirkkalan oppilasrekisteristä (Primus) saadaan asiakkaan perustiedot. 3. Koulun opetus- ja oppilashuoltohenkilöstöltä saadaan sellaista tietoa, joka on välttämätöntä yksilökohtaisen opiskeluhuollon järjestämiseksi ja toteuttamiseksi (Oppilas ja opiskelijahuoltolaki 23, POL 40 ) 4.Oppilaan huoltajan tai muun laillisen edustajan yksilöidyllä kirjallisella suostumuksella voidaan opetuksen järjestämisen kannalta välttämättömiä salassa pidettäviä tietoja pyytää myös muilta tahoilta (perusopetuslaki 40 3 mom., laki viranomaisten toiminnan julkisuudesta 26 ). Muita tahoja voivat olla toinen toimintayksikkö tai muu yhteistyötaho, esimerkiksi perheneuvola, lastensuojelu ja sairaala. 5.Opetuksen järjestäjällä on salassapitosäännösten estämättä oikeus saada maksutta oppilaan opetuksen järjestämiseksi välttämättömät tiedot sosiaali- ja terveydenhuollon viranomaiselta, muulta sosiaalipalvelujen tai terveydenhuollon palvelujen tuot-tajalta tai terveydenhuollon ammattihenkilöltä (perusopetuslaki 41 4 mom.). 6.Opiskelija siirtyessä toisen koulutuksen järjestäjän koulutukseen, aikaisemman koulutuksen järjestäjän on pyydettävä opiskelijan, hänen huoltajansa tai muun laillisen edustajansa suostumus siihen, että uudelle koulutuksen järjestäjälle voidaan siirtää opiskeluhuollon asiakasrekisteristä sellaiset salassa pidettävät tiedot, jotka ovat tarpeellisia opiskeluhuollon jatkuvuuden kannalta (oppilas- ja opiskelijahuoltolaki 23 3.mom) Ei luovuteta Tietoja luovutetaan säännönmukaisesti Mihin: Millä perusteella: Rekisterin henkilötiedot ovat salassa pidettäviä. Oikeus luovuttaa tietoja perustuu pääasiassa asiakkaan/huoltajan suostumukseen. Lisäksi tietoja voidaan luovuttaa kunnan opetustoimen sisällä edellyttäen, että tiedot ovat välttämättömiä opetuksen tai opiskeluhuollon tarkoituksenmukaisen järjestämisen kannalta. (Oppilas- ja opiskelijahuoltolaki 23, PL 40, LukioL 32 ) Psykologien osalta Potilaslain 9 2 mom. antaa alaikäiselle mahdollisuuden kieltää tietojen antamisen tietyin edellytyksin. Tietojen luovuttaminen kunnan opetustoimen sisällä: 1. Kun koulun kuraattori/psykologi vaihtuu, uusi työntekijä saa käyttöoikeuden rekisteriin. 2. Oppilaan vaihdettua kouluaan aikaisemman koulun psykologin/kuraattorin kirjaamien asiakkuuksien avaaminen lukutilaan ei välttämättä edellytä asiakkaan/huoltajan suostumusta. Asiasta on kuitenkin hyvä neuvotella huoltajan kanssa. 3. Asiakkuuden alkaessa mahdollinen aiempi asiakkuus näkyy. 4. Kuraattorit ja psykologit eivät pääse toistensa rekistereihin. 7. EU:n tai Euroopan talousalueen ulkopuolelle Tietojen luovutuksesta tehdään aina merkintä, nimi, pvm. Tietoja voi luovuttaa, jos muussa laissa on tätä koskeva sääntö. (Lastensuojelulaki 40 ). Luovuttamistapa: Tietoja luovutetaan Euroopan Unionin tai Euroopan talousalueen ulkopuolelle (HetiL 22 ja 23 ) Millä perusteella: Luovuttamistapa: Asiakastietojen luovuttaminen suoramarkkinointiin (HetiL 19 ).
4 8. Rekisterin suojauksen periaatteet Rekisteri on suojattu ulkopuoliselta käytöltä Rekisteritietojen käyttöä valvotaan Tiedot ovat säädetty salassa pidettäväksi Tiedot ovat osittain salassa pidettäviä A. Manuaalinen aineisto Valvonnan alaisena: lukituissa työpisteissä ja lukituissa kaapeissa. Muulla tavoin, miten: B. ATK:lle talletetut tiedot Henkilökohtaiset käyttäjätunnukset ja salasanat Palomuurisuojaukset Tietojen käyttöä valvotaan Varmistukset, millaiset: Järjestelmä rekisteröi virheelliset sisään kirjoittautumiset ja kaiken järjestelmässä suoritetun tietojen käsittelyn ja katselun. 9. Rekisteröidyn kielto-oikeus Asiakasasiakirjoissa olevat tiedot ovat salassa pidettäviä. Niitä ei luovuteta, ellei tietoa pyytävällä ole lakiin perustuvaa oikeutta tiedon saamiseen. Rekisteröidyn ei siis tarvitse esittää nimenomaista tietojen luovutuskieltoa. Rekisteröidyllä on oikeus kieltää rekisterinpitäjää käsittelemästä häntä itseään koskevia tietoja suoramainontaa, etämyyntiä ja muuta suoramarkkinointia sekä markkina- ja mielipidetutkimusta samoin kuin henkilömartikkelia ja sukututkimusta varten HetiL 30. Asiakas voi ilmoittaa luovutus- tai käsittelykiellosta joko kirjallisesti tai puhelimitse rekisteriä hoitavalle henkilölle. 10. Rekisteröidyn tarkastusoikeus Rekisteröidyllä on oikeus tarkastaa itseään koskevat rekisteritiedot. Tarkastusoikeus toteutetaan viivytyksettä ja sen käyttäminen on maksutonta kerran vuoden aikana toteutettuna HetiL 26. Tarkastusoikeus voidaan evätä ainoastaan poikkeustapauksessa HetiL 27. Tarkastuspyyntö tehdään henkilökohtaisen käynnin yhteydessä taikka omakätisesti allekirjoitetulla tai muulla luotettavalla tavalla varmennetulla asiakirjalla. Rekisteröidyn henkilöllisyys tarkastetaan ennen tietojen antamista ja ne antaa asiasta päättäneen määräämä henkilö. Rekisteröidyllä on oikeus tutustua ja nähdä itseään koskevat tiedot ja pyynnöstä saada kopiot niistä kirjallisena HetiL 28. 11. Tiedon korjaaminen Rekisterinpitäjän on ilman aiheetonta viivytystä oma-aloitteisesti tai rekisteröidyn vaatimuksesta oikaistava, poistettava tai täydennettävä rekisterissä oleva, käsittelyn tarkoituksen kannalta virheellinen, tarpeeton, puutteellinen tai vanhentunut henkilötieto. Rekisterinpitäjän on myös estettävä tällaisen tiedon leviäminen, jos tieto voi vaarantaa rekisteröidyn yksityisyyden suojaa tai hänen oikeuksiaan HetiL 29. Tarkastusoikeuden toteuttamiseksi ja tiedon korjaamiseksi tulee ottaa yhteyttä rekisteriä hoitavaan henkilöön. Jos tiedon korjaamisesta tai tarkastusoikeuden toteuttamisesta kieltäydytään, rekisteröidylle annetaan kirjallinen kieltäytymistodistus ja rekisteröidyllä on oikeus saattaa asia tietosuojavaltuutetun ratkaistavaksi osoitteella: Tietosuojavaltuutetun toimisto, PL 315, 00181 Helsinki. Tietosuojavaltuutettu voi antaa rekisterinpitäjälle määräyksen tiedon korjaamisesta. 12. Rekisterin säilytys, arkistointi ja hävittäminen Tarkemmat tiedot ao. arkistonmuodostussuunnitelmassa. Asiakastietojen säilyttämisessä ja tietojen hävittämisessä noudatetaan Pirkkalan kunnan arkistonmuodostussuunnitelmaa sekä arkistolaitoksen kulloinkin
5 voimassa olevia säännöksiä ja määräyksiä. Henkilökohtaiset muistiinpanot hävitetään, kun tiedot siirretään varsinaiseen asiakaskertomukseen. Asiakirjoja hävitettäessä huolehditaan siitä, että ne eivät joudu sivullisen käsiin. 13. Rekisterihallinto - Kunnanhallitus 20.11.2000 1. - Henkilörekisteriselosteesta käytetään nimitystä Tietosuojaseloste 1.1.2014 alkaen.
6 REKISTERISELOSTEEN täyttöohjeet. (Numerot viittaavat vastaaviin lomakkeen kohtiin) Henkilörekisteriselosteeseen merkittävien tietojen vähimmäistaso määritellään henkilötietolain 10 :ssä. Tarkoituksenmukaista on kuitenkin merkitä myös esim. rekisterin säännönmukaiset tietolähteet, koska ne tulee esittää rekisteröidylle tarkastusoikeuden käytön yhteydessä. Rekisteriselostetta voidaan käyttää apuna rekisteröidyn informoinnissa, jos sitä on täydennetty henkilötietolain 24 :ssä säädetyillä tiedoilla. 1. Rekisterinpitäjällä tarkoitetaan henkilöä, yhteisöä tai säätiötä, jonka käyttöä varten rekisteri perustetaan ja jolla on oikeus määrätä henkilörekisterin käytöstä. Rekisterinpitäjänä toimii siis asianomainen yritys, viranomainen tai säätiö, ei sen sijaan tietty osasto tai työntekijä taikka henkilörekisterin teknisestä ylläpidosta huolehtiva atk-alan palveluyritys. Kun rekisterinpitäjällä ei ole toimipaikkaa Euroopan unionin alueella, mutta rekisterinpitäjä käyttää Suomessa sijaitsevia laitteita muuhunkin henkilötietojen käsittelyyn kuin vain siirtoon tämän alueen kautta, on rekisterinpitäjän tällöin nimettävä Suomessa oleva edustaja. Tämä edustaja yhteystietoineen merkitään rekisterinpitäjän nimen ohella tähän kohtaan. 2. Henkilörekisterille on annettava nimi, joka erottaa sen muista rekisterinpitäjän henkilörekistereistä. Suositeltavaa on, että nimi lyhyesti ilmaisee rekisteröitävän ilmiön ja/tai rekisterin käyttötarkoituksen. Rekisteristä yleisesti käytetty lyhenne on syytä myös merkitä lomakkeeseen. Samaan henkilörekisteriin luetaan kuuluviksi teknisesti erikseen pidetyt henkilörekisterit, jos niitä käytetään saman tehtävän hoitamiseksi (looginen rekisteri). Nämä osarekisterit voivat olla sekä atk:lla että manuaalisesti ylläpidettäviä. 2a. Rekistserin voimassaoloaika 3. Rekisteriasioita hoitavana henkilönä ilmoitetaan henkilö, joka voi antaa rekisteristä rekisteröidylle tarkempia tietoja ja jolle rekisteröity voi osoittaa esim. virheenoikaisua ja tarkastusoikeuden käyttämistä koskevat pyynnöt. 4. Tähän kohtaan merkitään yksiselitteisesti, mitä rekisterinpitäjän tehtävää varten (henkilötietojen käsittelyn tarkoitus/rekisterin käyttötarkoitus) rekisteri perustetaan (esim. asiakassuhteen hoito, laissa asianomaiselle säädetty nimetty tehtävä). Käyttötarkoitus on määriteltävä ennen rekisterin perustamista. Henkilötietojen käsittelyn tarkoitus voi perustua henkilötietolain 8 :n mukaisiin käsittelyn yleisiin edellytyksiin tai henkilötietolain 4. luvussa mainittuihin erityisiin tarkoituksiin. Lisäksi henkilötietojen käsittelyn tarkoitus voi perustua suoraan erityislain säännöksiin: selosteessa on syytä mainita sekä varsinainen käsittelyn tarkoitus että lain säännös, johon tehtävä perustuu. 5. Henkilörekisterin tietosisältö on määriteltävä ennen rekisterin perustamista. Selosteeseen merkitään henkilörekisteriin talletetut tietotyypit, ts. se, mitä tietoja rekisteröidystä talletetaan. Merkinnät tehdään niin yksiselitteisesti, että lukija tietää, mitä tietoja hänestä on talletettu. Henkilön yksilöintitiedot on syytä eritellä, esim. henkilön nimi, syntymäaika (henkilötunnus), osoite. Muilta osin voi riittää tietotyyppien tai ryhmien kuvaus (esim. hoitotiedot, tutkimustiedot). Kerättävien henkilötietojen tulee olla käsittelyn tarkoituksen kannalta tarpeellisia. Käytä tarpeen vaatiessa erillistä liitettä tietosisällön luettelemiseen. Jos rekisterissä on useita osatiedostoja, eri osatiedostoihin kuuluvat tiedot ryhmitellään väliotsikoiden avulla. Tässä tarkoituksessa tietosisältöä voidaan myös kuvata esimerkiksi jaottelemalla ne eri toiminnot, joihin rekisteriä käytetään (esim. tilauksen toimittaminen, laskutus). 6. Rekisterin tietosisältö voidaan kuvata asianmukaisesti vain ilmoittamalla myös rekisterin säännönmukaisista tietolähteistä (keneltä, mitä tietoja ja millä perusteella /rekisteröidyn suostumus, nimetyn lain säännös). HetiL 10 ei edellytä nimenomaisesti tiedon merkitsemistä, mutta se on
7 tarkoituksenmukaista merkitä rekisteröidyn tiedonsaantioikeuksien kannalta. Se myös kuvaa osaltaan rekisterin tietosisältöä. 7. Säännönmukaiset tietojen luovutukset kuvataan ilmoittamalla kenelle, mitä tarkoitusta varten ja mitä tietoja luovutetaan. Lisäksi ilmoitetaan tietojen luovutuksen peruste (esim. suostumus tai lainsäännös). Tarvittaessa ilmoitetaan peruste vastaanottajan oikeudelle käsitellä tietoja. Edelleen on tarpeen ilmoittaa luovuttamistapa (teknisen käyttöyhteyden avulla, teknisenä tallenteena, tarratai paperitulosteena tms.). Henkilötietojen siirto EU:n tai ETA:n ulkopuolelle on säännelty henkilötietolain 5. luvussa. Mikäli tarkoituksena on siirtää tietoja mainitun luvun yleisten edellytysten (22 ) tai jokin poikkeusperusteen (23 ) vallitessa, on asia mainittava tässä kohdassa. Tähän kohtaan merkitään tiedot rekisterin suojauksen periaatteista, ei siis yksityiskohtaisia tietoja suojaamisesta, joita ei luonnollisestikaan saa kertoa ulkopuolisille tai edes rekisteröidyille. Kohtaan on hyvä merkitä myös, onko rekisteriin talletetut henkilötiedot säädetty salassa pidettäviksi (vaitiolovelvollisuutta koskeva ja/tai asiakirjasalaisuutta koskeva säännökset). Tietojen suojaamisen periaatteet on tarpeen merkitä sen arvioimiseksi, onko suojaamisvelvoitteista huolehdittu.