← Takaisin etusivulle

Tietosuojaseloste

Campflow — Organisaatioiden leirinhallintasovellus
Päivitetty 8.5.2026  ·  EU:n yleinen tietosuoja-asetus (GDPR) artiklat 13–14
Sisällysluettelo
1 Rekisterinpitäjä 2 Yhteyshenkilö tietosuoja-asioissa 3 Rekisterin nimi ja käyttötarkoitus 4 Henkilötietojen käsittelyn peruste 5 Kerättävät henkilötiedot 6 Erityiset henkilötietoryhmät (artikkeli 9) 7 Tietojen säilytysajat 8 Tietojen sijainti ja käsittelijät 9 Tietojen luovutus ja siirto 10 Rekisteröidyn oikeudet 11 Tietoturva 12 Evästeet ja analytiikka 13 Lasten henkilötiedot 14 Muutokset tietosuojaselosteeseen

1 Rekisterinpitäjä

Rekisterinpitäjänä toimii kukin organisaatio (seurakunta, lippukunta, urheiluseura, yhdistys tms.), joka käyttää Campflow-sovellusta leiritoimintansa hallinnointiin. Campflow on tekninen työkalu, joka tarjoaa alustan henkilötietojen käsittelyyn — organisaatio päättää itsenäisesti mitä tietoja kerätään ja mihin tarkoitukseen.

Käytännössä: Jos lapsesi on ilmoitettu jonkin organisaation (seurakunnan, lippukunnan, urheiluseuran, yhdistyksen tms.) järjestämälle leirille, rekisterinpitäjä on kyseinen organisaatio — ei Campflow-palvelun kehittäjä.

2 Yhteyshenkilö tietosuoja-asioissa

Tietosuojapyynnöt (oikeus tietoihin, korjaus, poisto, siirto): ota yhteyttä leirin järjestävään organisaatioon, joka on rekisterinpitäjä. Organisaation yhteystiedot löytyvät leirikirjeestä tai ilmoittautumislomakkeelta.

Myös 13 vuotta täyttänyt leiriläinen voi itse — tai huoltaja hänen puolestaan — pyytää omien tietojensa poistamista (GDPR Art. 17, tietosuojalaki 1050/2018 §5). Rekisterinpitäjäorganisaatio voi poistaa tiedot jo ennen automaattista säilytysajan päättymistä tällaisen pyynnön perusteella.

Campflow-sovelluksen teknisissä ongelmissa (esim. tilin poisto ei toimi, datan vienti rikkinäinen, epäily tietoturvavuodosta) voit lähettää palautetta suoraan sovelluksen sisältä:

Tekninen palautekanava
Kirjaudu sisään → yläkulman "?"-nappi → Palaute
Huoltaja (joka ei kirjaudu sovellukseen): kriittiset tekniset havainnot tai epäily tietoturvavuodosta voi ilmoittaa sähköpostitse info@campflow.fi.
Tekninen palaute ei korvaa tietosuojapyyntöjen osoittamista organisaatiolle.

3 Rekisterin nimi ja käyttötarkoitus

Rekisterin nimi: Leirin osallistuja- ja henkilökuntarekisteri

Käyttötarkoitukset:

  • Leirin osallistujien ilmoittautumisten vastaanotto ja käsittely
  • Leiriläisten terveys- ja turvallisuustietojen hallinta (allergiat, terveystiedot, uimataito)
  • Pienryhmäjaon, majoituksen ja kuljetusten organisointi
  • Huoltajille viestiminen (leirikirje, ilmoittautumisen tila)
  • Henkilökunnan ja ohjaajien tehtävien koordinointi
  • Turvallisuussuunnitelman toteutus (ensiapukortti, allergiaraportti)
  • Huoltajaportaali — kaksisuuntainen tiedonkulku huoltajan ja henkilökunnan välillä leirin aikana (kuvat, viestit, kysymykset, tietojen päivitys)

Huoltajaportaali

Campflowiin kuuluu erillinen huoltajaportaali, johon huoltaja saa salatun, henkilökohtaisen linkin ilmoittautumisen hyväksymisen yhteydessä. Linkin kautta huoltaja voi:

  • Nähdä lapsensa paikallaolotiedot ja leirin tilan
  • Selata henkilökunnan ottamia kuvia, joissa on lapsensa (vain jos huoltaja on antanut kuvaluvan)
  • Lähettää kysymyksiä henkilökunnalle ja saada vastaukset sähköpostiin
  • Päivittää lapsensa tietoja (allergiat, lääkitys, ruokavalio jne.) — tärkeät muutokset välittyvät automaattisesti lääkintä- ja keittiövastaaville
  • Liputtaa kuvan epäasialliseksi (kuva piilotetaan automaattisesti)

Linkin tunniste (token) on satunnainen 48-merkkinen heksamerkkijono, jota ei voi arvata. Linkki vanhenee 6 kuukauden kuluttua leirin päättymisestä.

4 Henkilötietojen käsittelyn peruste

TietoryhmäKäsittelyperuste (GDPR)Selitys
Leiriläisen perustiedotArtikkeli 6(1)(b) — sopimusIlmoittautuminen leirille muodostaa sopimussuhteen huoltajan ja organisaation välille
Terveystiedot (allergiat, sairaudet)Artikkeli 9(2)(a) — nimenomainen suostumusHuoltaja antaa suostumuksen ilmoittautuessaan; tiedot ovat välttämättömiä leiriläisen turvallisuudelle
Henkilökunnan yhteystiedotArtikkeli 6(1)(f) — oikeutettu etuLeirin turvallinen järjestäminen vaatii henkilökunnan tietojen käsittelyä
Huoltajan yhteystiedotArtikkeli 6(1)(b) — sopimusViestintä leiriin liittyvissä asioissa
Käyttäjätili (admin)Artikkeli 6(1)(b) — sopimusPalvelun käyttö edellyttää tiliä

5 Kerättävät henkilötiedot

Leiriläiset (alaikäiset osallistujat)

TietoPakollisuusTarkoitus
Nimi, syntymäaika, sukupuoliPakollinenTunnistaminen, ikäryhmä, majoitus
Osoite, paikkakuntaVapaaehtoinenKuljetusjärjestelyt
Allergiat, terveystiedotPakollinenRuokahuolto, ensiapu
UimataitoPakollinenUintivalvonta, turvallisuus
Särkylääkelupa (kyllä/ei)Vastaus pakollinenHoidollinen päätös — huoltajan kanta kirjattava lapsen turvallisuuden vuoksi
KuvauslupaVapaaehtoinenHuoltajan suostumus (GDPR Art. 6(1)(a)) — ei palvelun käytön ehto, voi kieltäytyä. Yli 13-vuotiaalla lapsella on oikeus tulla kuulluksi kuvaamisestaan.
Kuljetustiedot (meno/paluu)VapaaehtoinenLogistiikka
KaveritoiveVapaaehtoinenPienryhmäjako
Lääkitystiedot (nimi, annos, aikataulu)Pakollinen jos lääkitys onTurvallinen lääkkeenanto leirillä (erityinen henkilötietoryhmä)
Lääkkeenantoloki (pvm, aika, antaja)AutomaattinenOikeussuojaksi ja valvonnan toteamiseksi
Paikallaolotiedot (päivä, check-in, check-out)AutomaattinenTurvallisuus (evakuointi, vastuu)

Huoltajat

TietoPakollisuusTarkoitus
NimiPakollinenYhteydenpito, lupalappu
PuhelinnumeroPakollinenHätäyhteystieto
SähköpostiosoitePakollinenLeirikirje, ilmoittautumisen tila, huoltajaportaalin linkki
Sähköinen allekirjoitusVapaaehtoinenLupalapun vahvistus
Huoltajaportaalin viestit ja kysymyksetVapaaehtoinenTiedonkulku henkilökunnan kanssa
Tietojen muutoshistoria (audit-jälki)AutomaattinenOikeussuoja molemmille osapuolille — kuka päivitti, mitä ja milloin

Huoltajaportaalin valokuvat (vapaaehtoiset)

TietoPakollisuusTarkoitus
Henkilökunnan ottamat kuvat leirilläVapaaehtoinenMuiston jakaminen huoltajille leirin aikana ja sen jälkeen
Kuvauslupa per lapsi (Kyllä/Ei)Pakollinen ilmoittautumisen yhteydessäVain kuvalupa-lasten kuvat näytetään huoltajille; ei-luvalliset suodatetaan automaattisesti pois

EXIF-strippaus: Kun henkilökunta lataa kuvan, GPS-koordinaatit, kameramalli ja muut metatiedot poistetaan automaattisesti ennen tallentamista. Kuvat tallentuvat 3 koossa (pikkukuva 250×250, keskikoko 1024, alkuperäinen) ja näkyvät vain niille huoltajille, jotka ovat antaneet kuvaluvan omasta lapsestaan.

Henkilökunta (ohjaajat, isoset, keittiö, EA)

TietoPakollisuusTarkoitus
Nimi, sukupuoliPakollinenTunnistaminen, majoitus
Puhelin, sähköpostiPakollinenYhteydenpito, kutsulinkit
AllergiatVapaaehtoinenRuokahuolto
TehtäväroolitPakollinenLeirin organisointi

Käyttäjätilit (admin / leirinjohtaja)

TietoTarkoitus
SähköpostiosoiteKirjautuminen, salasanan palautus
Organisaation nimiLeirin yhdistäminen organisaatioon
Salasana (salattu)Autentikointi (Firebase Auth hallinnoi)

6 Erityiset henkilötietoryhmät (artikkeli 9)

Campflow käsittelee terveystietoja (allergiat, sairaudet, lääkitykset, lääkkeenantoloki), jotka kuuluvat GDPR:n erityisiin henkilötietoryhmiin. Näiden käsittely perustuu huoltajan nimenomaiseen suostumukseen, joka annetaan ilmoittautumisen yhteydessä.

Terveystiedot ovat välttämättömiä leiriläisen turvallisuuden varmistamiseksi (ruokahuolto, ensiapu, uintivalvonta, lääkkeenanto). Tietoja käsittelevät vain leirin vastuuhenkilöt, joilla on perusteltu tarve, ja pääsy on rajattu rooleittain (kovakoodatut allowlistit):

  • Lääkitysväkymä (medications): vain leiripomo (campLeader), EA-vastaava (medic) ja organisaation admin.
  • Ruokailu (food, allergiat, ruokavaliot): vain leiripomo, keittiövastaava (kitchen), keittiö-avustaja (kitchenHelper, vain lukutila) ja admin.
  • Huoltajan yhteystiedot (puhelin, osoite, sähköposti): vain leiripomo, EA-vastaava, yövalvoja (vain puhelin) ja admin.
  • Allergiat ja erityisruokavaliot: oman ryhmän ohjaaja (need-to-know lapsista vastuussa) + leiripomo + EA-vastaava + admin + keittiövastaava (allergeenit ruoanlaittoa varten) + keittiö-avustaja (vain allergiat + ruokavalio, ei muita terveystietoja — turvasyy tarjoilun yhteydessä, anafylaksia-riski).
  • Terveystiedot (sairaudet, lääkitykset, paniikkihistoria): vain leiripomo + EA-vastaava + admin + keittiövastaava + oman ryhmän ohjaaja. Keittiö-avustaja EI näe näitä — datan minimointiperiaate (Art. 5(1)(c)).
  • Bussinäkymä: ohjaaja näkee vain oman ryhmänsä lapset huoltajan yhteystiedoilla.

Lääkkeenantoloki tallentaa kuka antoi mitä lääkettä, kenelle ja milloin. Tämä on välttämätöntä sekä oikeussuojan (todistus asianmukaisesta toiminnasta) että lapsen turvallisuuden (ei yli- tai aliannostusta) vuoksi. Lokia voi tarkastella vain leiripomo, EA-vastaava ja admin, ja poistaa vain organisaation admin.

Paikallaolotiedot tallentavat keitä on leirillä minäkin päivänä. Näitä tarvitaan evakuointitilanteessa ja leirin johdon vastuuketjun dokumentoimiseksi.

Huoltajalla on oikeus peruuttaa suostumuksensa milloin tahansa. Terveystietojen käsittelyn suostumuksen voi peruuttaa ensisijaisesti huoltajaportaalin omatoimisella "Peruuta suostumus terveystietojen käsittelyyn" -toiminnolla (GDPR art. 7(3)) tai ottamalla yhteyttä leirin järjestäjään. Peruutus tyhjentää lapsen terveystiedot (allergiat, terveys, lääkitys) eikä se itsessään peruuta osallistumista, mutta järjestäjä arvioi voidaanko turvallinen osallistuminen taata ilman terveystietoja — tämä voi johtaa leiripaikan peruuntumiseen.

7 Tietojen säilytysajat

TietoryhmäSäilytysaikaPeruste
Paluuperhe-tiedot (vapaaehtoinen, opt-in)24 kuukautta käyttämättömyydestä tai heti huoltajan peruessaVain jos huoltaja antoi ilmoittautuessa erillisen suostumuksen ensi vuoden muistutukseen (GDPR 6(1)(a)). Minimitieto: huoltajan nimi ja sähköposti, lapsen etunimi, syntymävuosi, leirityyppi — EI terveys- tai allergiatietoja. Rekisterinpitäjä on organisaatio.
Terveystiedot (allergiat, sairaudet)6 kuukautta leirin päättymisen jälkeenMahdolliset terveysviranomaisten tietopyynnöt. Lyhyempi kuin perustiedot, koska erityinen henkilötietoryhmä (GDPR art. 9)
Allekirjoituskuvat (lupalappu)6 kuukautta leirin päättymisen jälkeenBiometrista tietoa lähestyvä — lyhyt säilytys
Ilmoittautumistiedot (hylätyt/jonotetut)6 kuukautta leirin päättymisen jälkeenReklamaatiot, osoitus tasapuolisesta käsittelystä
Huoltajaportaalin valokuvat (lapset leirillä)6 kuukautta leirin päättymisen jälkeenVain kuvalupa-lasten kuvat näytetään huoltajille; säilytys mahdollistaa muiston tallentamisen leirin jälkeen
Huoltajaportaalin viestit ja kysymykset6 kuukautta leirin päättymisen jälkeenHenkilökunnan ja huoltajien välinen viestintä leirin aikana ja heti sen jälkeen
Huoltajan tunnistustietueet (parentTokens)6 kuukautta leirin päättymisen jälkeenMahdollistaa huoltajaportaalin käytön leirin jälkeenkin (kuvien lataus talteen ym.)
Tietojen muutoshistoria (participantHistory)6 kuukautta leirin päättymisestä; ilman määriteltyä päättymispäivää absoluuttinen enimmäisaika 24 kuukautta merkinnästäAudit-jälki huoltajan tekemistä tietopäivityksistä (voi sisältää Art. 9 -snapshotteja) — laillinen oikeussuoja molemmille osapuolille. Suostumuksen peruutus redaktoi Art. 9 -sisällön välittömästi.
Leiriläisten ja huoltajien perustiedot12 kuukautta leirin päättymisen jälkeenSeuraavan vuoden leirin suunnittelu, jälkikäteiset yhteydenotot, vastuukysymykset
Paikallaolotiedot (check-in/out)12 kuukautta leirin päättymisen jälkeenOnnettomuus- ja vakuutusasiat, selvityspyynnöt
Henkilökunnan tiedot12 kuukautta leirin jälkeenSeuraavan vuoden leirin suunnittelu, vapaaehtoisrekisteri
Lääkitystiedot ja lääkkeenantoloki2 vuotta leirin päättymisen jälkeenPotilasvahinkoilmoitusten vanhentumisaika (yleinen käytäntö). Lokin tarve oikeussuojaksi ja vastuuketjun dokumentoimiseksi.
Viivakoodi-skannaukset (barcodeScans)2 vuottaElintarviketurvallisuuden jäljitettävyys (EU 852/2004 + Suomen elintarvikelaki 297/2021). Sisältää staffin nimen, tuotetiedot ja aikaleiman.
Kaikki jäänteet ja lokit (täydellinen poisto)2 vuotta leirin päättymisen jälkeenTurvaverkko sille ettei orpoa dataa jää — varmistaa että kaikki on poistettu viimeistään tämän jälkeen
Käyttäjätilit (admin)Kunnes käyttäjä poistaa tilinsäPalvelun jatkuva käyttö
Varmuuskopiot (JSON)Käyttäjän vastuulla (paikallinen tallennus)Käyttäjä hallinnoi itse
Sähköpostilokit (Resend)30 päivääLähetyspalvelun oletusloki

Automaattinen poisto: Rekisterinpitäjän (seurakunnan) vastuulla on poistaa leiridata säilytysajan umpeuduttua. Campflow tarjoaa toiminnon leirin arkistointiin ja tietojen poistamiseen. Leireille joilla ei ole määriteltyä päättymispäivää sovelletaan ehdotonta enimmäissäilytystä päättymispäivästä riippumatta: muutos-/audit-historia enintään 24 kuukautta ja suostumuskirjaukset enintään 36 kuukautta merkinnän tekohetkestä, minkä jälkeen ne poistetaan automaattisesti. Terveystietojen suostumuksen peruutus poistaa lisäksi kyseisen lapsen terveystiedot välittömästi ja redaktoi aiemman muutoshistorian erityistietosisällön.

8 Tietojen sijainti ja käsittelijät

Henkilötietoja käsitellään seuraavissa palveluissa:

PalveluRooliSijaintiTarkoitus
Campflow / Esa Mäkinen (yksityishenkilö, ei Y-tunnusta — Campflow on PRH-rekisteröity tavaramerkki nro 290843)Palveluntarjoaja, henkilötietojen käsittelijäSuomiSovellus, palvelin-CF, datan teknisen käsittelyn vastuu rekisterinpitäjälle (DPA-pohjaisesti)
Google Firebase (Firestore)Henkilötietojen alikäsittelijäEU (europe-west1)Tietokanta — kaikki leiridata
Google Firebase AuthHenkilötietojen käsittelijäEUKäyttäjätilien hallinta
Google Firebase HostingHenkilötietojen käsittelijäGlobaali CDNSovelluksen jakelu (ei henkilötietoja)
ResendHenkilötietojen käsittelijäUSA/EUSähköpostien lähetys
Anthropic (Claude AI)Henkilötietojen käsittelijäUSAAI-avusteinen tietojen tuonti (ohjaajalistat, aikataulut), AI-avustaja (käyttöopas-chat), luonnollisen kielen haku leiriläiset-näkymässä, AI-pelipankki, AI-tietovisat, AI-olympialaislajit, AI-joukkuejaon avustus leiriolympialaisissa (siirretään vain anonymisoitu data: ikä, sukupuoli, uimataito — EI etunimiä eikä terveystietoja). Sovelluksessa on PII-detektori joka estää tunnistettavien nimien lähetyksen yhdessä terveystiedon kanssa.
Open-MeteoItsenäinen rekisterinpitäjäSaksa (EU)Sääennusteen haku leirin sijaintia varten Liikunta & Leikit -modulissa (sade → sisäpelejä, helle → vesileikkejä, ym.). Campflow lähettää Open-Meteon palvelulle vain leirin koordinaatit. Käyttäjän IP-osoite näkyy Open-Meteon palvelimelle. Ei henkilötietoja, ei leirin nimeä. Open-Meteo (Bruno Zürcher, Saksa) on ilmainen sääpalvelu CC BY 4.0 -lisenssillä.
Cloudflare (DNS + CDN)Henkilötietojen käsittelijäGlobaaliDNS, liikenteen ohjaus, JavaScript-kirjastojen jakelu (html2pdf)
Cloudflare TurnstileHenkilötietojen käsittelijäGlobaaliBot-tarkistus ilmoittautumislomakkeessa (näkee IP ja selaimen sormenjäljen)
Google FontsHenkilötietojen käsittelijäGlobaaliKirjasinten jakelu (fonts.googleapis.com, fonts.gstatic.com — näkee kävijän IP-osoitteen)
Sentry (Functional Software Inc.)Henkilötietojen käsittelijäEU (Frankfurt, eu.sentry.io)Virheiden seuranta — IP, user-agent ja parent-tokenit on strippattu ennen tallennusta. Säilytysaika 90 päivää.
Google Firebase Cloud Messaging (FCM)Henkilötietojen käsittelijäGlobaali (Google)Push-ilmoitusten välitys — selaimen FCM-token (laitekohtainen tunniste) tallennetaan Firestoreen kun käyttäjä antaa luvan ilmoituksiin.
Firebase Performance MonitoringHenkilötietojen käsittelijäGlobaali (Google)Sovelluksen suorituskykymittaus — automaattinen sivunlatausten ja network-pyyntöjen aikamittaus, anonymisoitu IP, device-malli.
Firebase Remote ConfigHenkilötietojen käsittelijäGlobaali (Google)Ominaisuus-lippujen jakelu — kerää appInstance-ID:n. Ei henkilötietoja.
Open Food FactsItsenäinen rekisterinpitäjä (julkinen tietokanta)Ranska (EU)Viivakoodiskannauksen tuotetietojen haku. Campflow lähettää OFF:lle vain tuotteen GTIN-numeron — ei henkilötietoja, ei leirin tietoja. ODbL-lisenssi.

EU/ETA-alueen ulkopuolelle: Osa alikäsittelijöistä (Resend, Anthropic) sijaitsee USA:ssa. Sentryn datankäsittely tapahtuu EU-datakeskuksessa (Frankfurt), mutta sen emoyhtiö Functional Software Inc. on yhdysvaltalainen, mikä voi mahdollistaa USA:n viranomaispääsyn. Kaikki tällaiset siirrot tai pääsy EU/ETA-alueen ulkopuolelta perustuvat EU:n hyväksymiin vakiosopimuslausekkeisiin (SCC) tai vastaaviin suojamekanismeihin, joita kukin palveluntarjoaja noudattaa.

Tietojenkäsittelysopimus (DPA): Käsittelijän (Campflow / Esa Mäkinen) ja rekisterinpitäjän (leirin järjestävä organisaatio) välinen GDPR Art. 28(3) -mukainen tietojenkäsittelysopimus on saatavilla pyynnöstä osoitteesta info@campflow.fi.

Selaimen paikallinen tallennus (localStorage): Campflow tallentaa leiridata myös käyttäjän selaimen localStorageen offline-käyttöä ja suorituskykyä varten. Tämä data on vain kyseisen laitteen käyttäjän saatavilla eikä sitä lähetetä kolmansille osapuolille.

9 Tietojen luovutus ja siirto

Henkilötietoja ei luovuteta kolmansille osapuolille kaupallisiin tarkoituksiin. Tietoja voidaan luovuttaa:

  • Leirin henkilökunnalle rooliperusteisesti: ohjaaja näkee vain oman ryhmänsä tiedot, keittiövastaava näkee allergiat, EA-vastaava terveystiedot
  • Viranomaisille lakisääteisen velvoitteen perusteella (esim. lastensuojeluilmoitus, pelastustoiminta)
  • Huoltajille oman lapsen tietoja koskien sähköpostiviesteinä

Campflow ei myy, vuokraa tai jaa henkilötietoja markkinointitarkoituksiin.

10 Rekisteröidyn oikeudet

GDPR:n mukaan sinulla on seuraavat oikeudet:

OikeusKuvausMiten käytät
Tarkastusoikeus (art. 15)Oikeus saada tietää mitä tietoja sinusta on tallennettuOta yhteyttä leirin järjestäjään
Oikaisuoikeus (art. 16)Oikeus korjata virheelliset tiedotIlmoita korjattavat tiedot leirin järjestäjälle
Poisto-oikeus (art. 17)Oikeus pyytää tietojesi poistamistaOta yhteyttä leirin järjestäjään; poisto toteutetaan 30 päivän kuluessa
Rajoittamisoikeus (art. 18)Oikeus rajoittaa tietojen käsittelyäOta yhteyttä leirin järjestäjään
Siirto-oikeus (art. 20)Oikeus saada tietosi koneluettavassa muodossaLeirin järjestäjä voi viedä tiedot JSON- tai Word-muodossa
Vastustamisoikeus (art. 21)Oikeus vastustaa tietojen käsittelyäOta yhteyttä leirin järjestäjään
Suostumuksen peruutus (art. 7)Voit peruuttaa suostumuksesi milloin tahansaHuoltajaportaalin omatoiminen peruutus tai yhteys leirin järjestäjään

Jos koet, ettei oikeuksiasi ole kunnioitettu, sinulla on oikeus tehdä valitus tietosuojavaltuutetulle:

Tietosuojavaltuutetun toimisto
Käyntiosoite: Lintulahdenkuja 4, 00530 Helsinki
Postiosoite: PL 800, 00531 Helsinki
Sähköposti: tietosuoja@om.fi
Verkkosivu: tietosuoja.fi

11 Tietoturva

Campflow suojaa henkilötietoja seuraavilla toimenpiteillä:

  • Salaus: Kaikki liikenne on HTTPS-salattua (TLS). Firebase Firestore salaa tiedot levossa (AES-256)
  • Autentikointi: Käyttäjätunnukset ja salasanat hallinnoidaan Firebase Authilla; salasanat hashataan eikä niitä tallenneta selväkielisenä
  • Roolipohjainen pääsynhallinta: Ohjaaja näkee vain oman ryhmänsä, keittiövastaava vain allergiat — kaikki eivät näe kaikkea
  • Esikatselu-toiminto (admin): Pääkäyttäjä voi tilapäisesti esikatsella sovelluksen näkymää muiden käyttäjien rooleilla teknistä vianetsintää varten. Toiminto on read-only, ei muuta dataa eikä laajenna pääsyoikeuksia. Pääkäyttäjällä on muutenkin täysi pääsy datalle rekisterinpitäjän roolissa
  • API-suojaus: Cloud Functions vaativat autentikoidun Firebase-tokenin; ulkopuoliset kutsut estetään
  • HTTP-turvaotsakkeet: HSTS (pakotettu HTTPS), X-Frame-Options (clickjacking-suoja), X-Content-Type-Options (MIME-sniffing-esto), Referrer-Policy, Permissions-Policy
  • Bot-suojaus: Ilmoittautumislomake suojattu Cloudflare Turnstilella
  • Sähköpostivahvistus: Uudet käyttäjätilit vaativat sähköpostivahvistuksen
  • Audit-loki: Superadmin-toimet (koodien luonti/poisto, tikettien poisto, dataoperaatiot) kirjautuvat järjestelmälokiin
  • Automaattinen puhdistus: Vanhat tiedot poistetaan automaattisesti 4-portaisella aikataululla (6 kk - 2 v)
  • Tietojen poisto: Käyttäjä voi poistaa tilinsä ja kaiken datansa pysyvästi; cascade-poisto kattaa kaikki alikokoelmat

Tietoturvaloukkaus (GDPR art. 33-34)

Jos havaitaan tietoturvaloukkaus (esim. luvaton pääsy, vuoto, manipulointi):

  1. Campflow (käsittelijä) ilmoittaa rekisterinpitäjänä toimivalle organisaatiolle viimeistään 48 tunnin kuluessa loukkauksen havaitsemisesta (DPA Art. 28(3)(f))
  2. Organisaatio (rekisterinpitäjä) arvioi riskin ja ilmoittaa tietosuojavaltuutetulle 72 tunnin kuluessa jos riski on olemassa (GDPR Art. 33)
  3. Jos loukkaus aiheuttaa korkean riskin, rekisterinpitäjä ilmoittaa myös rekisteröidyille (huoltajille) ilman aiheetonta viivästystä (GDPR Art. 34)
  4. Loukkauksesta pidetään sisäistä kirjanpitoa (sisältö, vaikutukset, toimenpiteet)

Ilmoitus tietoturvaloukkauksesta: tekniset havainnot sovelluksen sisältä palautekanavan kautta, rekisterinpitäjää koskevat suoraan rekisterinpitäjälle.

12 Evästeet ja analytiikka

Campflow ei käytä seuranta- tai analytiikkaevästeitä. Sovellus käyttää ainoastaan:

  • Firebase Auth -evästeet: Istunnon hallinta (välttämätön — kirjautumisen ylläpito)
  • localStorage: Leiridata tallennetaan selaimen paikalliseen muistiin offline-tukea varten (ei eväste)

Campflow ei käytä Google Analyticsia, Facebook Pixeliä tai muita kolmannen osapuolen seurantatyökaluja.

13 Lasten henkilötiedot

Campflow käsittelee pääasiassa alaikäisten (6–17v) henkilötietoja. Suomen tietosuojalain (1050/2018) § 5 mukaisesti alle 13-vuotiaiden lasten kohdalla huoltajan suostumus on pakollinen tietoyhteiskunnan palveluissa (GDPR Art. 8). Lisäksi Campflow vaatii huoltajan vahvistuksen kaikilta alle 18-vuotiailta osallistujilta — tämä ei perustu Art. 8:aan vaan sopimusoikeudelliseen huoltajan edustusoikeuteen alaikäisen puolesta (Laki holhoustoimesta 442/1999 § 23) ja lastensuojelulain 417/2007 § 14 mukaiseen lapsen lisäsuojan tarpeeseen. Huoltajan vahvistus annetaan ilmoittautumisen yhteydessä.

Erityisiä suojatoimia:

  • Lapsi ei voi itse ilmoittautua leirille — ilmoittautuminen vaatii huoltajan tiedot ja vahvistuksen
  • Lasten terveystiedot näkyvät vain valtuutetulle henkilökunnalle (roolipohjainen rajoitus)
  • Lasten valokuvien jakaminen vaatii huoltajan kuvausluvan
  • Huoltaja voi milloin tahansa pyytää lapsensa tietojen poistamista

14 Muutokset tietosuojaselosteeseen

Tätä tietosuojaselostetta voidaan päivittää palvelun kehittyessä tai lainsäädännön muuttuessa. Merkittävistä muutoksista ilmoitetaan sovelluksen kautta. Tämän selosteen viimeisin versio on aina saatavilla osoitteessa campflow.fi/tietosuoja.html.

VersioPäivämääräMuutos
1.58.5.2026Henkilökunta voi nyt päivittää itse omat perustietonsa, allergiansa ja valmiusilmoituksensa avatar-pallon "Omat tiedot" -valikosta. Käsittelyperuste GDPR Art. 6(1)(b) sopimus + Art. 16 oikaisuoikeus. Sallitut kentät: nimi, puhelin, sukupuoli, allergiat, valmius. Roolivaltuudet ja servRoles asettaa edelleen leirin admin (estää privilege escalationin). Audit-loki activity/servant_self_update säilytetään 12 kk; allergia-muutoksista kirjataan myös vanha + uusi arvo (Art. 9 muutosjälki lääkintätilanteita varten). Sähköpostin vahvistus vaadittu (email_verified) — estää email-takeover-hyökkäyksen.
1.42.5.2026Lisätty viivakoodiskannaus: Open Food Facts -tietokannan käyttö (Ranska, EU; vain GTIN lähetetään, ei henkilötietoja). Uusi audit-kokoelma barcodeScans säilytysajalla 2 vuotta (perustelu: elintarviketurvallisuuden jäljitettävyys, EU 852/2004 + elintarvikelaki 297/2021).
1.31.5.2026Lisätty alikäsittelijät: Sentry (virheseuranta, EU-Frankfurt, 90 pv retention), Firebase Cloud Messaging (push-ilmoitukset, FCM-token), Firebase Performance Monitoring (suorituskykymittaus), Firebase Remote Config (ominaisuus-liput). Korjattu ikäraja Suomen Tietosuojalain (1050/2018) § 5 mukaiseksi: 13 v (aiemmin virheellisesti "alle 16-vuotiaiden"). Lisätty FCM-tokenien retention-tieto.
1.218.4.2026Säilytysajat realistisemmiksi ja linjaan toteutuksen kanssa: osallistujatiedot 6 kk→12 kk (seuraavan vuoden suunnittelu), hylätyt ilmot 3 kk→6 kk (reklamaatioaika). Lisätty "Kaikki jäänteet"-rivi (2v täydellinen poisto). Taulukon järjestys lyhyestä pisimpään säilytykseen.
1.117.4.2026Alikäsittelijä-lista täydennetty: Cloudflare Turnstile (bot-tarkistus), Google Fonts (kirjasinten jakelu), Cloudflare CDN (html2pdf-kirjasto)
1.012.4.2026Ensimmäinen versio

Privacy Policy

Campflow — Camp management for organisations
Updated 8 May 2026  ·  EU General Data Protection Regulation (GDPR) articles 13–14
Table of contents
1 Data controller 2 Contact for privacy matters 3 Register name and purpose 4 Legal basis for processing 5 Personal data collected 6 Special categories of data (Article 9) 7 Retention periods 8 Data location and processors 9 Disclosure and transfer 10 Data subject rights 11 Data security 12 Cookies and analytics 13 Children's data 14 Changes to this policy

1 Data controller

The data controller is each organisation (a parish, scout group, sports club, association, etc.) that uses Campflow to manage their camp activities. Campflow is a technical tool providing a platform for processing personal data — the organisation independently decides what data is collected and for what purpose.

In practice: If your child has been registered for a camp run by an organisation (a parish, scout group, sports club, association, etc.), the data controller is that organisation — not the developer of Campflow.

2 Contact for privacy matters

Privacy requests (right to access, rectify, erase, port): contact the organising organisation, which is the data controller. The organisation's contact details can be found in the camp letter or registration form.

For technical issues with the Campflow application (e.g. account deletion not working, data export broken, suspected security breach), you can send feedback directly from within the application:

Technical feedback channel
Sign in → top-corner "?" button → Feedback
Guardian (who does not sign in): critical technical findings or a suspected security breach can be reported by email to info@campflow.fi.
Technical feedback does not replace addressing privacy requests to the organisation.

3 Register name and purpose

Register name: Camp participant and staff register

Purposes of use:

  • Receiving and processing camp registrations
  • Managing campers' health and safety information (allergies, medical notes, swimming ability)
  • Organizing small groups, accommodation and transport
  • Communicating with guardians (camp letter, registration status)
  • Coordinating staff and leader tasks
  • Implementing the safety plan (first-aid card, allergy report)

4 Legal basis for processing

Data categoryLegal basis (GDPR)Explanation
Camper basic informationArticle 6(1)(b) — contractRegistration for a camp creates a contractual relationship between the guardian and the organisation
Health data (allergies, illnesses)Article 9(2)(a) — explicit consentGuardian gives consent at registration; the data is necessary for camper safety
Staff contact detailsArticle 6(1)(f) — legitimate interestSafely organizing the camp requires processing staff data
Guardian contact detailsArticle 6(1)(b) — contractCommunication on matters related to the camp
Admin accountArticle 6(1)(b) — contractUse of the service requires an account

5 Personal data collected

Campers (minor participants)

DataRequired?Purpose
Name, date of birth, genderRequiredIdentification, age group, accommodation
Address, cityOptionalTransport arrangements
Allergies, medical infoRequiredFood service, first aid
Swimming abilityRequiredSwim supervision, safety
Painkiller permission, photo consentRequiredGuardian consent
Transport info (to/from)OptionalLogistics
Friend wishOptionalSmall group allocation
Medication details (name, dose, schedule)Required if on medicationSafe medication administration at camp (special category data)
Medication administration log (date, time, giver)AutomaticLegal protection and supervision evidence
Attendance records (day, check-in, check-out)AutomaticSafety (evacuation, responsibility)

Guardians

DataRequired?Purpose
NameRequiredCommunication, consent form
Phone numberRequiredEmergency contact
Email addressRequiredCamp letter, registration status
Electronic signatureOptionalConsent form confirmation

Staff (leaders, helpers, kitchen, first aid)

DataRequired?Purpose
Name, genderRequiredIdentification, accommodation
Phone, emailRequiredCommunication, invitation links
AllergiesOptionalFood service
Task rolesRequiredCamp organization

User accounts (admin / camp director)

DataPurpose
Email addressSign-in, password reset
Organization nameLinking the camp to an organisation
Password (hashed)Authentication (managed by Firebase Auth)

6 Special categories of data (Article 9)

Campflow processes health data (allergies, illnesses, medications, medication log) which are special categories of data under GDPR. Processing is based on the guardian's explicit consent given at registration.

Health data is necessary to ensure camper safety (food service, first aid, swim supervision, medication administration). Data is processed only by camp officials with a legitimate need: camp director, kitchen lead, kitchen helper (allergies and dietary requirements only — read-only access for safe serving), first-aid lead and designated leaders.

The medication log records who gave what medication, to whom and when. This is necessary both for legal protection (evidence of proper care) and child safety (no over- or under-dosing). The log can only be viewed by camp officials and deleted only by the organization's admin.

Attendance records track who is at camp on which day. These are needed in case of evacuation and to document the chain of responsibility for camp leadership.

The guardian has the right to withdraw consent at any time. Consent to health-data processing can be withdrawn primarily via the guardian portal's self-service "Withdraw consent to health data processing" function (GDPR Art. 7(3)), or by contacting the camp organizer. Withdrawal clears the child's health data (allergies, health, medication) and does not itself cancel participation, but the organizer assesses whether safe participation can be ensured without health information — this may result in cancellation of the camp place.

7 Retention periods

Data categoryRetention periodJustification
Returning-family data (voluntary, opt-in)24 months of inactivity, or immediately when the guardian cancelsOnly if the guardian gave separate consent at registration for a next-year reminder (GDPR Art. 6(1)(a)). Minimal data: guardian name and email, child's first name, birth year, camp type — NO health or allergy data. The organisation is the data controller.
Health data (allergies, illnesses)6 months after camp endsPossible health authority requests. Shorter than basic info due to special category (GDPR Art. 9)
Signature images (consent form)6 months after camp endsApproaching biometric data — short retention
Registration data (rejected / waitlisted)6 months after camp endsComplaints, evidence of fair processing
Basic info of campers and guardians12 months after camp endsNext year's camp planning, follow-up contacts, liability
Attendance records (check-in/out)12 months after camp endsAccident and insurance matters, investigations
Staff information12 months after the campNext year's camp planning, volunteer register
Medication data and administration log2 years after camp endsPatient injury claim limitation period (general practice). The log is needed for legal protection and documenting the responsibility chain.
All remaining data and logs (full deletion)2 years after camp endsSafety net to ensure no orphaned data remains — guarantees everything is deleted by this point
User accounts (admin)Until the user deletes the accountOngoing use of the service
Backups (JSON)User's responsibility (local storage)User manages themselves
Email logs (Resend)30 daysDelivery service default log

Automatic deletion: It is the controller's (church's) responsibility to delete camp data when the retention period expires. Campflow provides features for archiving camps and deleting data. For camps without a defined end date, an absolute maximum retention applies regardless of camp end: change/audit history at most 24 months and consent records at most 36 months from the entry, after which they are automatically deleted. Withdrawal of health-data consent additionally clears that child's health data immediately and redacts the special-category content of prior change history.

8 Data location and processors

Personal data is processed in the following services:

ServiceRoleLocationPurpose
Campflow / Esa Mäkinen (private individual, no business ID — Campflow is a trademark registered with PRH, reg.no 290843)Service provider, data processorFinlandApplication, server CF, technical data handling on behalf of the controller (DPA-based)
Google Firebase (Firestore)Sub-processorEU (europe-west1)Database — all camp data
Google Firebase AuthData processorEUUser account management
Google Firebase HostingData processorGlobal CDNApplication delivery (no personal data)
ResendData processorUSA/EUEmail sending
Anthropic (Claude AI)Data processorUSAAI-assisted data import (staff lists, schedules), AI assistant (user guide chat), natural language search in the participants view, AI game bank, AI quizzes, AI olympic event suggestions, AI team-balancing for camp olympics (only anonymized data is sent: age, gender, swimming ability — NO first names or health data). The application has a PII detector that prevents sending identifying names combined with health information.
Open-MeteoIndependent controllerGermany (EU)Weather forecast lookup for the camp location used in the Sports & Games module (rain → suggest indoor games, heat → water games, etc.). Campflow sends Open-Meteo only the camp coordinates. The user's IP is visible to Open-Meteo's servers. No personal data, no camp name. Open-Meteo (Bruno Zürcher, Germany) is a free weather service under CC BY 4.0.
Cloudflare (DNS + CDN)Data processorGlobalDNS, traffic routing, JavaScript library distribution (html2pdf)
Cloudflare TurnstileData processorGlobalBot check on registration form (sees IP and browser fingerprint)
Google FontsData processorGlobalFont distribution (fonts.googleapis.com, fonts.gstatic.com — sees visitor's IP address)
Open Food FactsIndependent controller (public database)France (EU)Product info lookup for barcode scanning. Campflow sends OFF only the product GTIN — no personal data, no camp data. ODbL license.

Outside EU/EEA: Some sub-processors (Resend, Anthropic) are located in the USA. Sentry processes data in an EU data centre (Frankfurt), but its parent company Functional Software Inc. is US-based, which may enable access by US authorities. All such transfers or access from outside the EU/EEA are based on EU-approved Standard Contractual Clauses (SCC) or equivalent safeguards followed by each provider.

Data Processing Agreement (DPA): The GDPR Art. 28(3) data processing agreement between the processor (Campflow / Esa Mäkinen) and the controller (the organization running the camp) is available on request from info@campflow.fi.

Browser local storage (localStorage): Campflow also stores camp data in the user's browser localStorage for offline use and performance. This data is available only to the user of that device and is not transmitted to third parties.

9 Disclosure and transfer

Personal data is not disclosed to third parties for commercial purposes. Data may be disclosed:

  • To camp staff on a role basis: a leader sees only their own group's data, kitchen lead sees allergies, first-aid lead sees health data
  • To authorities based on a statutory obligation (e.g. child welfare report, rescue activities)
  • To guardians concerning their own child by email

Campflow does not sell, rent or share personal data for marketing purposes.

10 Data subject rights

Under the GDPR you have the following rights:

RightDescriptionHow to use
Right of access (art. 15)Right to know what data is stored about youContact the camp organizer
Right to rectification (art. 16)Right to correct inaccurate dataReport corrections to the camp organizer
Right to erasure (art. 17)Right to request deletion of your dataContact the camp organizer; deletion within 30 days
Right to restriction (art. 18)Right to restrict processingContact the camp organizer
Right to portability (art. 20)Right to receive your data in a machine-readable formatThe camp organizer can export data in JSON or Word format
Right to object (art. 21)Right to object to processingContact the camp organizer
Withdrawal of consent (art. 7)You can withdraw consent at any timeSelf-service in the guardian portal, or contact the camp organizer

If you feel your rights have not been respected, you have the right to lodge a complaint with the Data Protection Ombudsman:

Office of the Data Protection Ombudsman (Finland)
Address: Lintulahdenkuja 4, 00530 Helsinki
Email: tietosuoja@om.fi
Website: tietosuoja.fi

11 Data security

Campflow protects personal data using the following measures:

  • Encryption: All traffic is HTTPS-encrypted (TLS). Firebase Firestore encrypts data at rest (AES-256)
  • Authentication: User accounts and passwords are managed by Firebase Auth; passwords are hashed and never stored in plain text
  • Role-based access control: A leader sees only their own group, kitchen lead sees only allergies — not everyone sees everything
  • API protection: Cloud Functions require an authenticated Firebase token; external calls are blocked
  • HTTP security headers: HSTS (forced HTTPS), X-Frame-Options (clickjacking protection), X-Content-Type-Options (MIME sniffing prevention), Referrer-Policy, Permissions-Policy
  • Bot protection: Registration form protected with Cloudflare Turnstile
  • Email verification: New accounts require email verification
  • Audit log: Super-admin actions (code creation/deletion, ticket deletion, data operations) are logged to the system log
  • Automatic cleanup: Old data is automatically deleted on a 4-tier schedule (6 months — 2 years)
  • Data deletion: User can permanently delete their account and all data; cascade deletion covers all subcollections

Data breach (GDPR art. 33-34)

If a data breach is detected (e.g. unauthorized access, leak, manipulation):

  1. Campflow (processor) notifies the organisation acting as controller within 48 hours of detection (DPA Art. 28(3)(f))
  2. The organisation (controller) assesses the risk and notifies the Data Protection Ombudsman within 72 hours if a risk exists (GDPR Art. 33)
  3. If the breach causes a high risk, the organisation also notifies the data subjects (guardians) without undue delay (GDPR Art. 34)
  4. Internal records are kept of the breach (content, impact, measures)

Reporting a breach: technical observations via the in-app feedback channel, organisation-related matters directly to the organisation.

12 Cookies and analytics

Campflow does not use tracking or analytics cookies. The application uses only:

  • Firebase Auth cookies: Session management (essential — maintaining sign-in)
  • localStorage: Camp data is stored in the browser's local storage for offline support (not a cookie)

Campflow does not use Google Analytics, Facebook Pixel or other third-party tracking tools.

13 Children's personal data

Campflow processes mainly the data of minors (6–17 years). Under GDPR Article 8 the default age limit is 16, but Finland has lowered it to 13 years in the Finnish Data Protection Act (1050/2018) §5. Campflow requires guardian consent for all participants under 18 for the additional protection of the child.

Special safeguards:

  • A child cannot register themselves for a camp — registration requires guardian details and confirmation
  • Children's health information is visible only to authorized staff (role-based restriction)
  • Sharing children's photos requires guardian photo consent
  • The guardian can request deletion of their child's data at any time

14 Changes to this privacy policy

This privacy policy may be updated as the service evolves or legislation changes. Material changes will be announced through the application. The latest version of this policy is always available at campflow.fi/tietosuoja.html.

VersionDateChange
1.58 May 2026Staff can now self-update their basic data, allergies and readiness status from the avatar "My information" menu. Legal basis GDPR Art. 6(1)(b) contract + Art. 16 right to rectification. Allowed fields: name, phone, gender, allergies, readiness. Role permissions and servRoles still set by camp admin (prevents privilege escalation). Audit log activity/servant_self_update retained 12 months; allergy changes also record old + new value (Art. 9 audit trail for medical situations). Email verification required (email_verified) — prevents email-takeover attacks.
1.42 May 2026Added barcode scanning: use of Open Food Facts database (France, EU; only GTIN sent, no personal data). New audit collection barcodeScans retained 2 years (food safety traceability, EU 852/2004 + Finnish Food Act 297/2021).
1.31 May 2026Added sub-processors: Sentry (error tracking, EU-Frankfurt, 90d retention), Firebase Cloud Messaging (push notifications, FCM token), Firebase Performance Monitoring, Firebase Remote Config (feature flags). Corrected age limit per Finnish Data Protection Act (1050/2018) § 5: 13 yrs (previously incorrectly "under 16"). Added FCM token retention info.
1.218 Apr 2026Retention periods aligned with implementation: participant data 6 mo→12 mo (next-year planning), rejected registrations 3 mo→6 mo (complaints period). Added "All remaining data" row (2 yr full deletion). Table ordered short-to-longest retention.
1.117 Apr 2026Sub-processor list supplemented: Cloudflare Turnstile (bot check), Google Fonts (font distribution), Cloudflare CDN (html2pdf library)
1.012 Apr 2026First version

Integritetspolicy

Campflow — Lägerhantering för organisationer
Uppdaterad 8.5.2026  ·  EU:s allmänna dataskyddsförordning (GDPR) artiklarna 13–14
Innehåll
1 Personuppgiftsansvarig 2 Kontaktperson för dataskydd 3 Registrets namn och ändamål 4 Rättslig grund för behandlingen 5 Personuppgifter som samlas in 6 Särskilda kategorier av uppgifter (artikel 9) 7 Lagringstider 8 Plats och behandlare 9 Utlämnande och överföring 10 Den registrerades rättigheter 11 Datasäkerhet 12 Cookies och analys 13 Barns personuppgifter 14 Ändringar i integritetspolicyn

1 Personuppgiftsansvarig

Personuppgiftsansvarig är varje organisation (församling, scoutkår, idrottsförening, förening osv.) som använder Campflow-applikationen för att hantera sin lägerverksamhet. Campflow är ett tekniskt verktyg som tillhandahåller en plattform för behandling av personuppgifter — organisationen beslutar självständigt vilka uppgifter som samlas in och för vilket ändamål.

I praktiken: Om ditt barn har anmälts till ett läger som ordnas av en organisation (församling, scoutkår, idrottsförening, förening osv.) är den personuppgiftsansvarige den organisationen — inte utvecklaren av Campflow-tjänsten.

2 Kontaktperson för dataskydd

Dataskyddsförfrågningar (rätt till information, rättelse, radering, överföring): kontakta organisationen som arrangerar lägret, som är personuppgiftsansvarig. Kontaktuppgifter till organisationen finns i lägerbrevet eller anmälningsblanketten.

Vid tekniska problem med Campflow-applikationen (t.ex. kontot kan inte raderas, dataexport är trasig, misstanke om dataintrång) kan du skicka feedback direkt från appen:

Kanal för teknisk feedback
Logga in → "?"-knappen i övre hörnet → Feedback
Vårdnadshavare (som inte loggar in): kritiska tekniska observationer eller misstanke om dataintrång kan anmälas via e-post till info@campflow.fi.
Teknisk feedback ersätter inte dataskyddsförfrågningar som ska riktas till organisationen.

3 Registrets namn och ändamål

Registrets namn: Läger- deltagar- och personalregister

Användningsändamål:

  • Mottagande och behandling av lägeranmälningar
  • Hantering av lägerdeltagares hälso- och säkerhetsuppgifter (allergier, hälsouppgifter, simkunnighet)
  • Organisering av smågrupper, inkvartering och transport
  • Kommunikation med vårdnadshavare (lägerbrev, anmälningsstatus)
  • Samordning av personalens och ledarnas uppgifter
  • Genomförande av säkerhetsplanen (första hjälpen-kort, allergirapport)

4 Rättslig grund för behandlingen

UppgiftskategoriBehandlingsgrund (GDPR)Förklaring
Lägerdeltagarens basuppgifterArtikel 6(1)(b) — avtalAnmälan till lägret skapar ett avtalsförhållande mellan vårdnadshavaren och organisationen
Hälsouppgifter (allergier, sjukdomar)Artikel 9(2)(a) — uttryckligt samtyckeVårdnadshavaren ger samtycke vid anmälan; uppgifterna är nödvändiga för lägerdeltagarens säkerhet
Personalens kontaktuppgifterArtikel 6(1)(f) — berättigat intresseSäkert organiserande av lägret kräver behandling av personaluppgifter
Vårdnadshavarens kontaktuppgifterArtikel 6(1)(b) — avtalKommunikation i lägerrelaterade ärenden
AdministratörskontoArtikel 6(1)(b) — avtalAnvändning av tjänsten kräver ett konto

5 Personuppgifter som samlas in

Lägerdeltagare (minderåriga deltagare)

UppgiftObligatorisk?Ändamål
Namn, födelsedatum, könObligatoriskIdentifiering, åldersgrupp, inkvartering
Adress, ortFrivilligTransportarrangemang
Allergier, hälsouppgifterObligatoriskMatservice, första hjälpen
SimkunnighetObligatoriskSimövervakning, säkerhet
Smärtstillande-, fototillståndObligatoriskVårdnadshavarens samtycke
Transportinfo (t/r)FrivilligLogistik
KompisönskemålFrivilligSmågruppsfördelning
Medicineringsinfo (namn, dos, schema)Obligatorisk om medicineringSäker medicinering på lägret (särskild kategori)
Medicineringslogg (datum, tid, givare)AutomatiskRättsskydd och tillsynsbevis
Närvarouppgifter (dag, check-in, check-out)AutomatiskSäkerhet (evakuering, ansvar)

Vårdnadshavare

UppgiftObligatorisk?Ändamål
NamnObligatoriskKommunikation, samtyckesblankett
TelefonnummerObligatoriskNödkontakt
E-postadressObligatoriskLägerbrev, anmälningsstatus
Elektronisk underskriftFrivilligBekräftelse av samtycke

Personal (ledare, hjälpare, kök, första hjälpen)

UppgiftObligatorisk?Ändamål
Namn, könObligatoriskIdentifiering, inkvartering
Telefon, e-postObligatoriskKommunikation, inbjudningslänkar
AllergierFrivilligMatservice
UppgiftsrollerObligatoriskLägerorganisation

Användarkonton (administratör / lägerledare)

UppgiftÄndamål
E-postadressInloggning, återställning av lösenord
Organisationens namnKoppling av läger till organisation
Lösenord (hashat)Autentisering (hanteras av Firebase Auth)

6 Särskilda kategorier av uppgifter (artikel 9)

Campflow behandlar hälsouppgifter (allergier, sjukdomar, mediciner, medicineringslogg) som tillhör GDPR:s särskilda kategorier av uppgifter. Behandlingen baseras på vårdnadshavarens uttryckliga samtycke som ges vid anmälan.

Hälsouppgifterna är nödvändiga för att säkerställa lägerdeltagarens säkerhet (matservice, första hjälpen, simövervakning, medicinering). Uppgifterna behandlas endast av lägerets ansvarspersoner med berättigat behov: lägerledare, köksansvarig, köksbiträde (endast allergier och kostbehov — läsläge för säker servering), första hjälpen-ansvarig och utsedda ledare.

Medicineringsloggen registrerar vem som gav vilken medicin, till vem och när. Detta är nödvändigt både för rättsskydd (bevis på korrekt agerande) och för barnets säkerhet (ingen över- eller underdosering). Loggen kan endast ses av lägerets ansvarspersoner och raderas endast av organisationens administratör.

Närvarouppgifter registrerar vilka som är på lägret vilken dag. Dessa behövs vid evakuering och för att dokumentera ansvarskedjan för lägerledningen.

Vårdnadshavaren har rätt att när som helst återkalla samtycket. Samtycket till behandling av hälsouppgifter kan återkallas främst via vårdnadshavarportalens självbetjäningsfunktion "Återkalla samtycke till behandling av hälsouppgifter" (GDPR art. 7(3)), eller genom att kontakta lägerarrangören. Återkallandet rensar barnets hälsouppgifter (allergier, hälsa, medicinering) och avbryter inte i sig deltagandet, men arrangören bedömer om ett säkert deltagande kan garanteras utan hälsouppgifter — detta kan leda till att lägerplatsen avbokas.

7 Lagringstider

UppgiftskategoriLagringstidMotivering
Uppgifter om återkommande familjer (frivilligt, opt-in)24 månader av inaktivitet, eller omedelbart när vårdnadshavaren avbryterEndast om vårdnadshavaren gav separat samtycke vid anmälan till en påminnelse nästa år (GDPR art. 6(1)(a)). Minimal data: vårdnadshavarens namn och e-post, barnets förnamn, födelseår, lägertyp — INGA hälso- eller allergiuppgifter. Organisationen är personuppgiftsansvarig.
Hälsouppgifter (allergier, sjukdomar)6 månader efter lägrets slutEventuella förfrågningar från hälsomyndigheter. Kortare än basinfo eftersom särskild kategori (GDPR art. 9)
Underskriftsbilder (samtyckesblankett)6 månader efter lägrets slutNära biometrisk data — kort lagringstid
Anmälningsdata (avvisade / väntelista)6 månader efter lägrets slutReklamationer, bevis på jämlik behandling
Lägerdeltagares och vårdnadshavares basuppgifter12 månader efter lägrets slutNästa års lägerplanering, efterkontakter, ansvarsfrågor
Närvarouppgifter (check-in/out)12 månader efter lägrets slutOlycks- och försäkringsärenden, utredningar
Personalens uppgifter12 månader efter lägretNästa års lägerplanering, frivilligregister
Medicineringsuppgifter och medicineringslogg2 år efter lägrets slutPreskriptionstid för patientskadeanmälningar (allmän praxis). Loggen behövs för rättsskydd och dokumentation av ansvarskedjan.
Alla återstående uppgifter och loggar (fullständig radering)2 år efter lägrets slutSäkerhetsnät som garanterar att inga överblivna data finns kvar — säkerställer att allt är raderat senast då
Användarkonton (admin)Tills användaren raderar kontotFortlöpande användning av tjänsten
Säkerhetskopior (JSON)Användarens ansvar (lokal lagring)Användaren hanterar själv
E-postloggar (Resend)30 dagarLeveranstjänstens standardlogg

Automatisk radering: Det är den personuppgiftsansvariges (församlingens) ansvar att radera lägerdata när lagringstiden gått ut. Campflow erbjuder funktioner för att arkivera läger och radera data. För läger utan definierat slutdatum tillämpas en absolut maximal lagring oberoende av lägrets slut: ändrings-/audithistorik högst 24 månader och samtyckesposter högst 36 månader från posten, varefter de raderas automatiskt. Återkallande av samtycke till hälsouppgifter rensar dessutom barnets hälsouppgifter omedelbart och redigerar bort specialkategoriinnehållet i tidigare ändringshistorik.

8 Plats och behandlare

Personuppgifter behandlas i följande tjänster:

TjänstRollPlatsÄndamål
Campflow / Esa Mäkinen (privatperson, utan FO-nummer — Campflow är ett PRH-registrerat varumärke nr 290843)Tjänsteleverantör, personuppgiftsbiträdeFinlandApplikation, server-CF, teknisk hantering av data för den personuppgiftsansvarige (DPA-baserat)
Google Firebase (Firestore)UnderbiträdeEU (europe-west1)Databas — all lägerdata
Google Firebase AuthPersonuppgiftsbiträdeEUHantering av användarkonton
Google Firebase HostingPersonuppgiftsbiträdeGlobalt CDNDistribution av applikationen (inga personuppgifter)
ResendPersonuppgiftsbiträdeUSA/EUE-postutskick
Anthropic (Claude AI)PersonuppgiftsbiträdeUSAAI-assisterad dataimport (personallistor, scheman), AI-assistent (användarmanual-chatt), naturlig språksökning i deltagarvyn, AI-spelbank, AI-quiz, AI-grenförslag, AI-lagindelning för lägerolympiad (endast anonymiserad data skickas: ålder, kön, simkunnighet — INGA förnamn eller hälsouppgifter). Applikationen har en PII-detektor som hindrar att identifierbara namn skickas tillsammans med hälsoinformation.
Open-MeteoSjälvständig personuppgiftsansvarigTyskland (EU)Väderprognosuppslag för lägrets plats i modulen Idrott & Lekar (regn → inomhusspel, värme → vattenlekar osv.). Campflow skickar endast lägrets koordinater till Open-Meteo. Användarens IP är synlig för Open-Meteos servrar. Inga personuppgifter, inget lägernamn. Open-Meteo (Bruno Zürcher, Tyskland) är en gratis vädertjänst under CC BY 4.0.
Cloudflare (DNS + CDN)PersonuppgiftsbiträdeGlobaltDNS, trafikstyrning, JavaScript-biblioteksdistribution (html2pdf)
Cloudflare TurnstilePersonuppgiftsbiträdeGlobaltBotkontroll på anmälningsblanketten (ser IP och webbläsarens fingeravtryck)
Google FontsPersonuppgiftsbiträdeGlobaltTypsnittsdistribution (fonts.googleapis.com, fonts.gstatic.com — ser besökarens IP-adress)
Open Food FactsSjälvständig personuppgiftsansvarig (offentlig databas)Frankrike (EU)Produktinfo-uppslag för streckkodsläsning. Campflow skickar OFF endast produktens GTIN — inga personuppgifter, inga lägeruppgifter. ODbL-licens.

Utanför EU/EES: En del underbiträden (Resend, Anthropic) finns i USA. Sentry behandlar data i ett EU-datacenter (Frankfurt), men dess moderbolag Functional Software Inc. är amerikanskt, vilket kan möjliggöra åtkomst för amerikanska myndigheter. Alla sådana överföringar eller åtkomst utanför EU/EES baseras på EU-godkända standardavtalsklausuler (SCC) eller motsvarande skyddsmekanismer som varje tjänsteleverantör följer.

Personuppgiftsbiträdesavtal (DPA): Avtalet enligt GDPR art. 28(3) mellan personuppgiftsbiträdet (Campflow / Esa Mäkinen) och den personuppgiftsansvarige (organisationen som arrangerar lägret) är tillgängligt på begäran från info@campflow.fi.

Webbläsarens lokala lagring (localStorage): Campflow lagrar även lägerdata i användarens webbläsares localStorage för offline-användning och prestanda. Denna data är endast tillgänglig för användaren av enheten och skickas inte till tredje parter.

9 Utlämnande och överföring

Personuppgifter lämnas inte ut till tredje parter i kommersiella syften. Uppgifter kan lämnas ut:

  • Till lägerets personal på rollbasis: en ledare ser endast sin egen grupps uppgifter, köksansvarig ser allergier, första hjälpen-ansvarig ser hälsouppgifter
  • Till myndigheter på grundval av en lagstadgad skyldighet (t.ex. barnskyddsanmälan, räddningsverksamhet)
  • Till vårdnadshavare gällande det egna barnet via e-post

Campflow säljer, hyr eller delar inte personuppgifter för marknadsföringsändamål.

10 Den registrerades rättigheter

Enligt GDPR har du följande rättigheter:

RättighetBeskrivningHur du använder
Rätt till tillgång (art. 15)Rätt att få veta vilka uppgifter som lagrats om digKontakta lägerarrangören
Rätt till rättelse (art. 16)Rätt att rätta felaktiga uppgifterMeddela rättelser till lägerarrangören
Rätt till radering (art. 17)Rätt att begära radering av dina uppgifterKontakta lägerarrangören; radering inom 30 dagar
Rätt till begränsning (art. 18)Rätt att begränsa behandlingenKontakta lägerarrangören
Rätt till dataportabilitet (art. 20)Rätt att få dina uppgifter i maskinläsbart formatLägerarrangören kan exportera uppgifter i JSON- eller Word-format
Rätt att invända (art. 21)Rätt att invända mot behandlingenKontakta lägerarrangören
Återkallande av samtycke (art. 7)Du kan återkalla ditt samtycke när som helstSjälvbetjäning i vårdnadshavarportalen, eller kontakta lägerarrangören

Om du anser att dina rättigheter inte har respekterats har du rätt att lämna in ett klagomål till dataombudsmannen:

Dataombudsmannens byrå (Finland)
Adress: Lintulahdenkuja 4, 00530 Helsingfors
E-post: tietosuoja@om.fi
Webbplats: tietosuoja.fi

11 Datasäkerhet

Campflow skyddar personuppgifter med följande åtgärder:

  • Kryptering: All trafik är HTTPS-krypterad (TLS). Firebase Firestore krypterar uppgifter i vila (AES-256)
  • Autentisering: Användarkonton och lösenord hanteras av Firebase Auth; lösenord hashas och lagras aldrig i klartext
  • Rollbaserad åtkomstkontroll: En ledare ser endast sin egen grupp, köksansvarig ser endast allergier — alla ser inte allt
  • API-skydd: Cloud Functions kräver en autentiserad Firebase-token; externa anrop blockeras
  • HTTP-säkerhetsrubriker: HSTS (tvingad HTTPS), X-Frame-Options (clickjacking-skydd), X-Content-Type-Options (MIME sniffing-skydd), Referrer-Policy, Permissions-Policy
  • Botskydd: Anmälningsblanketten är skyddad med Cloudflare Turnstile
  • E-postverifiering: Nya konton kräver e-postverifiering
  • Revisionslogg: Superadminåtgärder (kodskapande/radering, biljettradering, dataoperationer) loggas till systemloggen
  • Automatisk rensning: Gamla data raderas automatiskt enligt ett 4-stegs schema (6 mån — 2 år)
  • Radering av uppgifter: Användaren kan permanent radera sitt konto och all data; cascade-radering täcker alla underkollektioner

Personuppgiftsincident (GDPR art. 33-34)

Om en personuppgiftsincident upptäcks (t.ex. obehörig åtkomst, läcka, manipulation):

  1. Campflow (biträde) meddelar organisationen som är personuppgiftsansvarig senast inom 48 timmar efter upptäckt (DPA art. 28(3)(f))
  2. Organisationen (personuppgiftsansvarig) bedömer risken och meddelar dataombudsmannen inom 72 timmar om risk föreligger (GDPR art. 33)
  3. Om incidenten medför hög risk meddelar organisationen också de registrerade (vårdnadshavarna) utan onödigt dröjsmål (GDPR art. 34)
  4. Internt dokumenteras incidenten (innehåll, effekter, åtgärder)

Rapportering av incident: tekniska observationer via feedback-kanalen i appen, organisationsrelaterade ärenden direkt till organisationen.

12 Cookies och analys

Campflow använder inte spårnings- eller analyscookies. Applikationen använder endast:

  • Firebase Auth-cookies: Sessionshantering (nödvändig — upprätthålla inloggning)
  • localStorage: Lägerdata lagras i webbläsarens lokala minne för offline-stöd (inte en cookie)

Campflow använder inte Google Analytics, Facebook Pixel eller andra tredjepartsspårningsverktyg.

13 Barns personuppgifter

Campflow behandlar huvudsakligen minderårigas (6–17 år) personuppgifter. Enligt GDPR artikel 8 är åldersgränsen 16 år, men Finland har sänkt den till 13 år i den finska dataskyddslagen (1050/2018) §5. Campflow kräver vårdnadshavarens samtycke för alla deltagare under 18 år för barnets ytterligare skydd.

Särskilda skyddsåtgärder:

  • Ett barn kan inte anmäla sig själv till lägret — anmälan kräver vårdnadshavarens uppgifter och bekräftelse
  • Barns hälsouppgifter är synliga endast för behörig personal (rollbaserad begränsning)
  • Delning av barns foton kräver vårdnadshavarens fototillstånd
  • Vårdnadshavaren kan när som helst begära radering av sitt barns uppgifter

14 Ändringar i integritetspolicyn

Denna integritetspolicy kan uppdateras när tjänsten utvecklas eller lagstiftningen ändras. Betydande ändringar meddelas via applikationen. Den senaste versionen av policyn finns alltid tillgänglig på campflow.fi/tietosuoja.html.

VersionDatumÄndring
1.58.5.2026Personalen kan nu själva uppdatera sina egna grunddata, allergier och beredskapsstatus från avatarens "Mina uppgifter" -meny. Rättslig grund GDPR Art. 6(1)(b) avtal + Art. 16 rätt till rättelse. Tillåtna fält: namn, telefon, kön, allergier, beredskap. Rollbehörigheter och servRoles sätts fortfarande av lägrets admin (förhindrar privilege escalation). Audit-logg activity/servant_self_update sparas 12 månader; allergiändringar registrerar även gammalt + nytt värde (Art. 9 spårbarhet för medicinska situationer). E-postverifiering krävs (email_verified) — förhindrar email-takeover-attacker.
1.42.5.2026Tillagd streckkodsskanning: användning av Open Food Facts -databasen (Frankrike, EU; endast GTIN skickas, inga personuppgifter). Ny audit-samling barcodeScans sparas 2 år.
1.31.5.2026Tillagda underbiträden: Sentry, Firebase Cloud Messaging, Performance Monitoring, Remote Config. Korrigerad åldersgräns enligt Finlands dataskyddslag (1050/2018) § 5: 13 år.
1.218.4.2026Lagringstider realistiskare och i linje med implementationen: deltagaruppgifter 6 mån→12 mån (nästa års planering), avvisade anmälningar 3 mån→6 mån (reklamationstid). Tillagd "Alla återstående uppgifter"-rad (2 år fullständig radering). Tabellen ordnad från kortast till längst lagring.
1.117.4.2026Underbiträdes-lista kompletterad: Cloudflare Turnstile (botkontroll), Google Fonts (typsnittsdistribution), Cloudflare CDN (html2pdf-bibliotek)
1.012.4.2026Första versionen

Personvernerklæring

Campflow — Leiradministrasjon for organisasjoner
Oppdatert 8.5.2026  ·  EUs personvernforordning (GDPR) artikkel 13–14
Innhold
1 Behandlingsansvarlig 2 Personvernkontakt 3 Registerets navn og formål 4 Rettslig grunnlag for behandlingen 5 Personopplysninger som samles inn 6 Særlige kategorier av opplysninger (artikkel 9) 7 Lagringstider 8 Sted og databehandlere 9 Utlevering og overføring 10 Den registrertes rettigheter 11 Datasikkerhet 12 Informasjonskapsler og analyse 13 Barns personopplysninger 14 Endringer i personvernerklæringen

1 Behandlingsansvarlig

Behandlingsansvarlig er hver organisasjon (menighet, speidergruppe, idrettslag, forening osv.) som bruker Campflow-applikasjonen til å administrere sin leiraktivitet. Campflow er et teknisk verktøy som tilbyr en plattform for behandling av personopplysninger — organisasjonen bestemmer selvstendig hvilke opplysninger som samles inn og til hvilket formål.

I praksis: Hvis barnet ditt er meldt på en leir som arrangeres av en organisasjon (menighet, speidergruppe, idrettslag, forening osv.), er behandlingsansvarlig den organisasjonen — ikke utvikleren av Campflow-tjenesten.

2 Personvernkontakt

Personvernhenvendelser (rett til innsyn, retting, sletting, dataportabilitet): kontakt organisasjonen som arrangerer leiren, som er behandlingsansvarlig. Organisasjonens kontaktopplysninger finnes i leirbrevet eller på påmeldingsskjemaet.

Ved tekniske problemer med Campflow-applikasjonen (f.eks. konto kan ikke slettes, dataeksport er ødelagt, mistanke om datalekkasje) kan du sende tilbakemelding direkte fra appen:

Kanal for teknisk tilbakemelding
Logg inn → "?"-knappen i øvre hjørne → Tilbakemelding
Foresatt (som ikke logger inn): kritiske tekniske funn eller mistanke om datalekkasje kan meldes på e-post til info@campflow.fi.
Teknisk tilbakemelding erstatter ikke personvernhenvendelser som skal rettes til organisasjonen.

3 Registerets navn og formål

Registerets navn: Leir-, deltaker- og personalregister

Bruksformål:

  • Mottak og behandling av leirpåmeldinger
  • Håndtering av leirdeltakeres helse- og sikkerhetsopplysninger (allergier, helseopplysninger, svømmeferdigheter)
  • Organisering av smågrupper, innkvartering og transport
  • Kommunikasjon med foresatte (leirbrev, påmeldingsstatus)
  • Koordinering av personalets og lederes oppgaver
  • Gjennomføring av sikkerhetsplanen (førstehjelp-kort, allergirapport)

4 Rettslig grunnlag for behandlingen

OpplysningskategoriBehandlingsgrunnlag (GDPR)Forklaring
Leirdeltakerens grunnopplysningerArtikkel 6(1)(b) — avtalePåmelding til leiren skaper et avtaleforhold mellom foresatt og organisasjon
Helseopplysninger (allergier, sykdommer)Artikkel 9(2)(a) — uttrykkelig samtykkeForesatt gir samtykke ved påmelding; opplysningene er nødvendige for leirdeltakerens sikkerhet
Personalets kontaktopplysningerArtikkel 6(1)(f) — berettiget interesseSikker organisering av leiren krever behandling av personalopplysninger
Foresattes kontaktopplysningerArtikkel 6(1)(b) — avtaleKommunikasjon i leirrelaterte saker
AdministratorkontoArtikkel 6(1)(b) — avtaleBruk av tjenesten krever en konto

5 Personopplysninger som samles inn

Leirdeltakere (mindreårige deltakere)

OpplysningObligatorisk?Formål
Navn, fødselsdato, kjønnObligatoriskIdentifisering, aldersgruppe, innkvartering
Adresse, stedFrivilligTransportarrangement
Allergier, helseopplysningerObligatoriskMatservering, førstehjelp
SvømmeferdigheterObligatoriskSvømmetilsyn, sikkerhet
Smertestillende-, fototillatelseObligatoriskForesattes samtykke
Transportinfo (t/r)FrivilligLogistikk
VennønskeFrivilligSmågruppefordeling
Medisineringsinfo (navn, dose, plan)Obligatorisk ved medisineringSikker medisinering på leiren (særlig kategori)
Medisineringslogg (dato, klokkeslett, giver)AutomatiskRettssikkerhet og tilsynsbevis
Tilstedeværelse (dag, innsjekk, utsjekk)AutomatiskSikkerhet (evakuering, ansvar)

Foresatte

OpplysningObligatorisk?Formål
NavnObligatoriskKommunikasjon, samtykkeskjema
TelefonnummerObligatoriskNødkontakt
E-postadresseObligatoriskLeirbrev, påmeldingsstatus
Elektronisk underskriftFrivilligBekreftelse av samtykke

Personal (ledere, hjelpere, kjøkken, førstehjelp)

OpplysningObligatorisk?Formål
Navn, kjønnObligatoriskIdentifisering, innkvartering
Telefon, e-postObligatoriskKommunikasjon, invitasjonslenker
AllergierFrivilligMatservering
OppgaverollerObligatoriskLeirorganisering

Brukerkontoer (administrator / leirleder)

OpplysningFormål
E-postadresseInnlogging, tilbakestilling av passord
Organisasjonens navnTilknytning av leir til organisasjon
Passord (hashet)Autentisering (håndteres av Firebase Auth)

6 Særlige kategorier av opplysninger (artikkel 9)

Campflow behandler helseopplysninger (allergier, sykdommer, medisiner, medisineringslogg) som tilhører GDPRs særlige kategorier av opplysninger. Behandlingen er basert på foresattes uttrykkelige samtykke som gis ved påmelding.

Helseopplysningene er nødvendige for å sikre leirdeltakerens sikkerhet (matservering, førstehjelp, svømmetilsyn, medisinering). Opplysningene behandles bare av leirens ansvarspersoner med berettiget behov: leirleder, kjøkkenansvarlig, kjøkkenassistent (kun allergier og kostbehov — lesemodus for trygg servering), førstehjelpsansvarlig og oppnevnte ledere.

Medisineringsloggen registrerer hvem som ga hvilken medisin, til hvem og når. Dette er nødvendig både for rettssikkerhet (bevis på riktig handling) og for barnets sikkerhet (ingen over- eller underdosering). Loggen kan bare ses av leirens ansvarspersoner og slettes bare av organisasjonens administrator.

Tilstedeværelse registrerer hvem som er på leiren hvilken dag. Dette trengs ved evakuering og for å dokumentere ansvarskjeden for leirledelsen.

Foresatt har rett til når som helst å trekke tilbake samtykket. Samtykket til behandling av helseopplysninger kan trekkes tilbake primært via foresattportalens selvbetjeningsfunksjon "Trekk tilbake samtykke til behandling av helseopplysninger" (GDPR art. 7(3)), eller ved å kontakte leirarrangøren. Tilbaketrekkingen tømmer barnets helseopplysninger (allergier, helse, medisinering) og avbryter ikke i seg selv deltakelsen, men arrangøren vurderer om sikker deltakelse kan garanteres uten helseopplysninger — dette kan føre til at leirplassen avbestilles.

7 Lagringstider

OpplysningskategoriLagringstidBegrunnelse
Opplysninger om tilbakevendende familier (frivillig, opt-in)24 måneder med inaktivitet, eller umiddelbart når den foresatte avbryterBare hvis den foresatte ga separat samtykke ved påmelding til en påminnelse neste år (GDPR art. 6(1)(a)). Minimale opplysninger: foresattes navn og e-post, barnets fornavn, fødselsår, leirtype — INGEN helse- eller allergiopplysninger. Organisasjonen er behandlingsansvarlig.
Helseopplysninger (allergier, sykdommer)6 måneder etter leirens sluttEventuelle henvendelser fra helsemyndigheter. Kortere enn grunnopplysninger fordi særlig kategori (GDPR art. 9)
Underskriftsbilder (samtykkeskjema)6 måneder etter leirens sluttNær biometriske data — kort lagringstid
Påmeldingsdata (avviste / venteliste)6 måneder etter leirens sluttReklamasjoner, bevis på likebehandling
Leirdeltakeres og foresattes grunnopplysninger12 måneder etter leirens sluttNeste års leirplanlegging, etterkontakter, ansvarsspørsmål
Tilstedeværelsesopplysninger (innsjekk/utsjekk)12 måneder etter leirens sluttUlykkes- og forsikringssaker, undersøkelser
Personalets opplysninger12 måneder etter leirenNeste års leirplanlegging, frivilligregister
Medisineringsopplysninger og medisineringslogg2 år etter leirens sluttForeldelsesfrist for pasientskademeldinger (alminnelig praksis). Loggen trengs for rettssikkerhet og dokumentasjon av ansvarskjeden.
Alle gjenværende opplysninger og logger (fullstendig sletting)2 år etter leirens sluttSikkerhetsnett som garanterer at ingen overskytende data finnes igjen — sikrer at alt er slettet senest da
Brukerkontoer (admin)Inntil brukeren sletter kontoenLøpende bruk av tjenesten
Sikkerhetskopier (JSON)Brukerens ansvar (lokal lagring)Brukeren håndterer selv
E-postlogger (Resend)30 dagerLeveringstjenestens standardlogg

Automatisk sletting: Det er den behandlingsansvarliges (menighetens) ansvar å slette leirdata når lagringstiden er utløpt. Campflow tilbyr funksjoner for å arkivere leirer og slette data. For leirer uten definert sluttdato gjelder en absolutt maksimal lagring uavhengig av leirens slutt: endrings-/audithistorikk høyst 24 måneder og samtykkeposter høyst 36 måneder fra posten, hvoretter de slettes automatisk. Tilbaketrekking av samtykke til helseopplysninger tømmer i tillegg barnets helseopplysninger umiddelbart og redigerer bort spesialkategoriinnholdet i tidligere endringshistorikk.

8 Sted og databehandlere

Personopplysninger behandles i følgende tjenester:

TjenesteRolleStedFormål
Campflow / Esa Mäkinen (privatperson, uten organisasjonsnummer — Campflow er et PRH-registrert varemerke nr 290843)Tjenesteleverandør, databehandlerFinlandApplikasjon, server-CF, teknisk håndtering av data for behandlingsansvarlig (DPA-basert)
Google Firebase (Firestore)UnderdatabehandlerEU (europe-west1)Database — alle leirdata
Google Firebase AuthDatabehandlerEUHåndtering av brukerkontoer
Google Firebase HostingDatabehandlerGlobalt CDNDistribusjon av applikasjonen (ingen personopplysninger)
ResendDatabehandlerUSA/EUE-postutsendelse
Anthropic (Claude AI)DatabehandlerUSAAI-assistert dataimport (personallister, planer), AI-assistent (brukerhåndbok-chat), naturlig språksøk i deltakervisningen, AI-spillbank, AI-quiz, AI-grenforslag, AI-laginndeling for leirolympiaden (kun anonymisert data sendes: alder, kjønn, svømmedyktighet — INGEN fornavn eller helseopplysninger). Applikasjonen har en PII-detektor som forhindrer at identifiserbare navn sendes sammen med helseinformasjon.
Open-MeteoSelvstendig behandlingsansvarligTyskland (EU)Værvarsel-oppslag for leirstedet i Idrett & Leker-modulen (regn → innendørs, varme → vannleker osv.). Campflow sender Open-Meteo kun leirens koordinater. Brukerens IP er synlig for Open-Meteos servere. Ingen personopplysninger, intet leirnavn. Open-Meteo (Bruno Zürcher, Tyskland) er en gratis værtjeneste under CC BY 4.0.
Cloudflare (DNS + CDN)DatabehandlerGlobaltDNS, trafikkstyring, JavaScript-bibliotekdistribusjon (html2pdf)
Cloudflare TurnstileDatabehandlerGlobaltBotkontroll på påmeldingsskjemaet (ser IP og nettleserens fingeravtrykk)
Google FontsDatabehandlerGlobaltSkriftdistribusjon (fonts.googleapis.com, fonts.gstatic.com — ser besøkendes IP-adresse)
Open Food FactsSelvstendig behandlingsansvarlig (offentlig database)Frankrike (EU)Produktinfo-oppslag for strekkodelesing. Campflow sender OFF kun produktets GTIN — ingen personopplysninger, ingen leiropplysninger. ODbL-lisens.

Utenfor EU/EØS: Noen underleverandører (Resend, Anthropic) er i USA. Sentry behandler data i et EU-datasenter (Frankfurt), men morselskapet Functional Software Inc. er amerikansk, noe som kan muliggjøre tilgang for amerikanske myndigheter. Alle slike overføringer eller tilgang utenfor EU/EØS er basert på EU-godkjente standardavtaleklausuler (SCC) eller tilsvarende beskyttelsesmekanismer som hver tjenesteleverandør følger.

Databehandleravtale (DPA): Avtalen i henhold til GDPR art. 28(3) mellom databehandleren (Campflow / Esa Mäkinen) og behandlingsansvarlig (organisasjonen som arrangerer leiren) er tilgjengelig på forespørsel fra info@campflow.fi.

Nettleserens lokale lagring (localStorage): Campflow lagrer også leirdata i brukerens nettlesers localStorage for offline-bruk og ytelse. Disse dataene er bare tilgjengelige for brukeren av enheten og sendes ikke til tredjeparter.

9 Utlevering og overføring

Personopplysninger utleveres ikke til tredjeparter for kommersielle formål. Opplysninger kan utleveres:

  • Til leirens personale på rollebasis: en leder ser bare egen gruppes opplysninger, kjøkkenansvarlig ser allergier, førstehjelpsansvarlig ser helseopplysninger
  • Til myndigheter på grunnlag av lovbestemt plikt (f.eks. melding om barnevern, redningsaktivitet)
  • Til foresatte om eget barn via e-post

Campflow selger, leier eller deler ikke personopplysninger for markedsføringsformål.

10 Den registrertes rettigheter

I henhold til GDPR har du følgende rettigheter:

RettBeskrivelseSlik bruker du den
Rett til innsyn (art. 15)Rett til å vite hvilke opplysninger som er lagret om degKontakt leirarrangøren
Rett til retting (art. 16)Rett til å rette feilaktige opplysningerMeld rettelser til leirarrangøren
Rett til sletting (art. 17)Rett til å be om sletting av opplysningene dineKontakt leirarrangøren; sletting innen 30 dager
Rett til begrensning (art. 18)Rett til å begrense behandlingenKontakt leirarrangøren
Rett til dataportabilitet (art. 20)Rett til å få opplysningene i maskinlesbart formatLeirarrangøren kan eksportere opplysninger i JSON- eller Word-format
Rett til å protestere (art. 21)Rett til å protestere mot behandlingenKontakt leirarrangøren
Tilbakekalling av samtykke (art. 7)Du kan trekke tilbake samtykket når som helstSelvbetjening i foresattportalen, eller kontakt leirarrangøren

Hvis du mener at rettighetene dine ikke har blitt respektert, har du rett til å sende inn en klage til Datatilsynet (eller i Finland: dataombudsmannen):

Dataombudsmannens kontor (Finland)
Adresse: Lintulahdenkuja 4, 00530 Helsingfors
E-post: tietosuoja@om.fi
Nettsted: tietosuoja.fi

11 Datasikkerhet

Campflow beskytter personopplysninger med følgende tiltak:

  • Kryptering: All trafikk er HTTPS-kryptert (TLS). Firebase Firestore krypterer opplysninger i hvile (AES-256)
  • Autentisering: Brukerkontoer og passord håndteres av Firebase Auth; passord hashes og lagres aldri i klartekst
  • Rollebasert tilgangskontroll: En leder ser bare egen gruppe, kjøkkenansvarlig ser bare allergier — ikke alle ser alt
  • API-beskyttelse: Cloud Functions krever en autentisert Firebase-token; eksterne forespørsler blokkeres
  • HTTP-sikkerhetsoverskrifter: HSTS (tvungen HTTPS), X-Frame-Options (clickjacking-beskyttelse), X-Content-Type-Options (MIME sniffing-beskyttelse), Referrer-Policy, Permissions-Policy
  • Botbeskyttelse: Påmeldingsskjemaet er beskyttet med Cloudflare Turnstile
  • E-postverifisering: Nye kontoer krever e-postverifisering
  • Revisjonslogg: Superadminhandlinger (kodeoppretting/sletting, billettsletting, dataoperasjoner) logges til systemloggen
  • Automatisk opprydding: Gamle data slettes automatisk i henhold til en 4-trinns plan (6 mnd — 2 år)
  • Sletting av opplysninger: Brukeren kan permanent slette kontoen sin og alle data; cascade-sletting omfatter alle underkolleksjoner

Personvernhendelse (GDPR art. 33-34)

Hvis det oppdages et brudd på personvernet (f.eks. uautorisert tilgang, lekkasje, manipulasjon):

  1. Campflow (databehandler) informerer organisasjonen som er behandlingsansvarlig senest innen 48 timer etter oppdagelse (DPA art. 28(3)(f))
  2. Organisasjonen (behandlingsansvarlig) vurderer risikoen og varsler Datatilsynet innen 72 timer hvis risiko foreligger (GDPR art. 33)
  3. Hvis hendelsen medfører høy risiko, varsler organisasjonen også de registrerte (foresatte) uten unødig opphold (GDPR art. 34)
  4. Internt dokumenteres hendelsen (innhold, virkninger, tiltak)

Rapportering av hendelse: tekniske observasjoner via tilbakemeldingskanalen i appen, organisasjonsrelaterte saker direkte til organisasjonen.

12 Informasjonskapsler og analyse

Campflow bruker ikke sporings- eller analyseinformasjonskapsler. Applikasjonen bruker bare:

  • Firebase Auth-cookies: Sesjonshåndtering (nødvendig — opprettholde innlogging)
  • localStorage: Leirdata lagres i nettleserens lokale minne for offline-støtte (ikke en informasjonskapsel)

Campflow bruker ikke Google Analytics, Facebook Pixel eller andre tredjepartssporingsverktøy.

13 Barns personopplysninger

Campflow behandler hovedsakelig mindreåriges (6–17 år) personopplysninger. I henhold til GDPR artikkel 8 er aldersgrensen 16 år, men Finland har senket den til 13 år i den finske personvernloven (1050/2018) §5. Campflow krever foresattes samtykke for alle deltakere under 18 år for barnets ekstra beskyttelse.

Spesielle beskyttelsestiltak:

  • Et barn kan ikke melde seg på leiren selv — påmelding krever foresattes opplysninger og bekreftelse
  • Barns helseopplysninger er bare synlige for autorisert personell (rollebasert begrensning)
  • Deling av barnefoto krever foresattes fototillatelse
  • Foresatt kan når som helst be om sletting av barnets opplysninger

14 Endringer i personvernerklæringen

Denne personvernerklæringen kan oppdateres når tjenesten utvikles eller lovgivningen endres. Vesentlige endringer kunngjøres via applikasjonen. Den nyeste versjonen av erklæringen er alltid tilgjengelig på campflow.fi/tietosuoja.html.

VersjonDatoEndring
1.58.5.2026Personalet kan nå selv oppdatere sine egne grunnopplysninger, allergier og beredskapsstatus fra avatar-menyen "Mine opplysninger". Rettslig grunnlag GDPR Art. 6(1)(b) avtale + Art. 16 rett til retting. Tillatte felt: navn, telefon, kjønn, allergier, beredskap. Rolle-rettigheter og servRoles settes fortsatt av leirens admin (forhindrer privilege escalation). Audit-logg activity/servant_self_update oppbevares 12 måneder; allergi-endringer registrerer også gammel + ny verdi (Art. 9 sporbarhet for medisinske situasjoner). E-postverifisering kreves (email_verified) — forhindrer email-takeover-angrep.
1.42.5.2026Lagt til strekkode-skanning: bruk av Open Food Facts -database (Frankrike, EU; kun GTIN sendes, ingen personopplysninger). Ny audit-samling barcodeScans oppbevares 2 år.
1.31.5.2026Lagt til underleverandører: Sentry, Firebase Cloud Messaging, Performance Monitoring, Remote Config. Korrigert aldersgrense i tråd med Finlands personopplysningslov (1050/2018) § 5: 13 år.
1.218.4.2026Lagringstider mer realistiske og i tråd med implementeringen: deltakeropplysninger 6 mnd→12 mnd (neste års planlegging), avviste påmeldinger 3 mnd→6 mnd (reklamasjonstid). Lagt til "Alle gjenværende opplysninger"-rad (2 år fullstendig sletting). Tabellen ordnet fra korteste til lengste lagring.
1.117.4.2026Underleverandørliste komplettert: Cloudflare Turnstile (botkontroll), Google Fonts (skriftdistribusjon), Cloudflare CDN (html2pdf-bibliotek)
1.012.4.2026Første versjon