Päivitetty viimeksi 2.7.2024
1 Yleiset tiedot selosteesta
Tässä tietosuojaselosteessa kuvataan, miten asiakkaiden (”rekisteröity”) henkilötietoja käsitellään A-klinikka Oy:n (”Rekisterinpitäjä”) tuottamissa terveyspalveluissa, mitä oikeuksia rekisteröidyllä henkilöllä on ja miten oikeuksia voi käyttää. A-klinikka Oy vastaa siitä, että henkilötietoja käsitellään huolellisesti ja asianmukaisesti tätä selostetta ja soveltuvaa lainsäädäntöä noudattaen.
Tämä tietosuojaseloste koskee A-klinikka Oy:n tuottamien terveyspalveluiden asiakkaita, joiden osalta se itse toimii rekisterinpitäjänä.
Julkisten terveyspalveluiden (julkinen rahoitus) osalta rekisterinpitäjä on pääsääntöisesti palveluita A-klinikka Oy:ltä ostava julkinen tilaaja, esimerkiksi hyvinvointialue. Jos A-klinikka Oy:n ja rekisteröidyn asiakassuhde perustuu julkisen tilaajan, kuten hyvinvointialueen, A-klinikka Oy:lle tekemään toimeksiantoon tai asiakkaalle on myönnetty palveluseteli julkisen tilaajan toimesta, rekisterinpitäjä on ko. julkinen tilaaja. Näiden asiakastietojen osalta noudatetaan rekisterinpitäjän tietosuojaselostetta. Näissä tilanteissa A-klinikka Oy on tietosuoja-asetuksessa määritelty henkilötietojen käsittelijä, kun se käsittelee henkilötietoja julkisen tilaajan kanssa tehdyn sopimuksen mukaisten palveluiden toteuttamiseksi. A-klinikka Oy toimii kuitenkin myös itsenäisenä rekisterinpitäjänä siltä osin kuin se käsittelee henkilötietoja lakisääteisen tehtävänsä tai velvoitteensa toteuttamiseksi.
Jos julkinen taho asiakkaan palvelun toimeksiantajana toimii asiakastietoja koskevana rekisterinpitäjänä, tilaaja päättää kaikesta tietojen luovutuksesta, myös silloin kun siihen on lakisääteinen peruste.
2 Rekisterinpitäjä
A-klinikka Oy
Kuortaneenkatu 2
00510 Helsinki
Y-tunnus: 2782671-8
Vastuuhenkilö: Ulriika Sundell, lääketieteellinen johtaja, [email protected]
3 Tietosuojavastaavan yhteystiedot
Tietosuojavastaava: Pirjo Tuominen, laatu- ja kehitysjohtaja
s-posti: [email protected]
puhelin: 050 515 0018
4 Henkilötietojen käsittelyn tarkoitus, tietosisällöt, oikeusperusteet ja säilytysajat
4.1 Käsittelyn tarkoitus
Rekisterinpitäjä käsittelee asiakkaidensa ("rekisteröity” tai ”potilas”) henkilötietoja tässä selosteessa kuvattuihin tarkoituksiin.
Asiakkaan tietoja käsitellään siinä laajuudessa, kun se on tarpeen asiakkaan hoitosuhteen järjestämiseksi. Hoitoon liittyvien tietojen käsittelyn tarkoituksena on hoidon eri vaiheissa:
- Hoidon tarpeen arviointi,
- Hoidon järjestäminen, suunnittelu ja toteuttaminen,
- Hoidon arviointi ja seuranta,
- Tilastointi- ja raportointi Tilaajalle ja / tai toimivaltaisille terveydenhuollon viranomaisille
- Ilman potilaan tunnistetietoja kerättävän tilastointitiedon käyttötarkoitus on palvelun suunnittelu sekä tutkimus- ja tilastointitarkoitukset kuten esimerkiksi Hilmoluokitukset ja Avohilmoluokitukset.
4.2 Käsiteltävät henkilötietoryhmät
Käsiteltävät henkilötietoryhmät ovat:
- I. Asiakkaan yhteys- ja yksilöintitiedot:
- Nimi, henkilötunnus, yhteystiedot (osoite, puhelinnumero, sähköpostiosoite), kotikunta sekä tilaaja- ja laskutustiedot,
- Mahdollinen asiakkaan nimeämä lähiomainen, asiakkaan laillinen edustaja sekä muut asiakkaan antamat yhteyshenkilöt;
- II. Asiakkaan hoidon kannalta välttämättömät terveystiedot:
- Diagnoosit, reseptit, lausunnot, lähetteet ja todistukset, hoitosuunnitelmat, vaikuttavuusmittarit, hoidonvaraustiedot
- Muut hoidon kannalta välttämättömät tiedot, kuten hoitohenkilökunnan laatimat muut mahdolliset hoitoon liittyvät kirjaukset
- III. Asiakkaan hoitoon liittyvät muut tiedot
- Mahdolliset tietojen luovutuksia koskevat tiedot ja luovutusten perusteet;
- Asiakkaan hoitoa toteuttaneen henkilön tiedot;
- Potilaan antamat Kanta-palveluun kirjatut luovutusluvat/-kiellot
- IV. Tilastointia ja tutkimusta varten käsiteltävät tiedot
- vaikuttavuusmittareiden tieto,
- elämäntilannetieto
- sekä päihteiden käytön tieto ja
- käytettyjä palveluita koskeva tieto.
Kaikki käsiteltävät tiedot muodostavat yhden loogisen sähköisen rekisterikokonaisuuden. Potilastiedot säilytetään kuitenkin muista tiedoista erillisessä järjestelmä potilastietolainsäädännön edellyttämällä tavalla.
Sähköisen rekisterin lisäksi voidaan ylläpitää osarekisterinä erillisiä paperilla olevia rekistereitä, joilla varmistetaan asiakkaiden hoidon toteutumista.
Julkisen tilaajan ollessa rekisterinpitäjä, säilytetään nämä asiakastiedot erillisenä ja ne luovutetaan rekisterinpitäjälle asiakas- tai sopimussuhteen päätyttyä arkistoitavaksi.
4.3 Käsittelyn oikeusperusteet
Asiakastietojen käsittely (henkilötietoryhmät I, II ja III) perustuu ensisijaisesti hoitosuhdetta koskevaan velvoittavaan lainsäädäntöön (Lakisääteinen velvoite (GDPR 6(1)(c) ja 9(2)(h) sekä Rekisterinpitäjän saaman toimeksiantosopimuksen täytäntöönpanoon (GDPR 6(1)(b). Lisäksi henkilötietojen käsittely, esimerkiksi henkilötietojen luovutus vakuutusyhtiölle, voi perustua asiakkaan suostumukseen.
Tilastointitiedon oikeusperusteena on Rekisterinpitäjän oikeutettu etu GDPR 6(1)(f).
4.4 Säilytysajat
Asiakasrekisteriin tallennettujen henkilötietojen säilytysajoissa noudatetaan kulloinkin voimassa olevaa sääntelyä tietojen säilytysajoista. Säilytysajat määräytyvät sovellettavan lainsäädännön mukaisesti. Potilastietoja säilytetään lainsäädännön vaatimusten mukaisesti (12 vuoden ajan tai 120 vuotta potilaan kuolemasta).
5 Henkilötietoja käsittelevät tahot ja tietojen suojaamisen yleiset periaatteet
Asiakastiedot on säädetty salassa pidettäviksi, niitä ei luovuteta sivullisille ilman lainsäädännön mukaista perustetta. Henkilökunnalla on salassapitovelvollisuus.
Ainoastaan asiakkaan hoitoon tai siihen liittyviin tehtäviin osallistuvat saavat käsitellä asiakastietoja ja vain siinä laajuudessa kuin heidän työtehtävänsä tai vastuunsa sitä edellyttävät potilaan hoidon asianmukaiseksi järjestämiseksi. Rekisterinpitäjä päättää organisatorisista ratkaisuista ja määrittää käyttöoikeuksia koskevat ehdot ja käytänteet, joita hoitohenkilöstölle myönnetään. Sähköisesti käsiteltäviin tietoihin on pääsy vain siihen oikeutetun työntekijän henkilökohtaisella käyttäjätunnuksella ja salasanalla. Asiakastietojen käyttöä valvotaan lokitietoja seuraamalla. Mahdollinen fyysinen tietoaineisto suojataan asianmukaisin toimenpitein, kuten säilyttämällä tieto asianmukaisesti lukituissa tiloissa, joihin on rajoitettu pääsy ja pääsyä voidaan asianmukaisesti seurata.
Ammattihenkilöstö sekä avustava henkilöstö, joka osallistuu potilastyöhön, ovat velvollisia kirjaamaan annettavan palvelun suunnittelun, seurannan ja valvonnan kannalta tarpeelliset ja riittävät tiedot ja määrämuotoisina asiakirjoina ja tallentamaanne potilastietolainsäädännön edellyttämällä tavalla.
6 Tietolähteet
Asiakasta koskevat henkilötiedot saadaan säännönmukaisesti:
- Asiakkaalta itseltään
- Asiakkaan hoitoon osallistuvalta hoitohenkilökunnalta
Asiakkaan suostumuksella tietoja voidaan saada myös muista sosiaali- tai terveydenhuollon toimintayksiköistä tai ammattihenkilöiltä.
7 Tietojen säännönmukaiset luovutukset ja kansainväliset tietosiirrot
Asiakkaan henkilötietoja luovutetaan säännönmukaisesti:
- Muille tahoille potilaan tai hänen laillisen edustajansa suostumuksella tai lainsäännöksen nojalla,
- Rekisteröidyn terveyspalvelun järjestämiseksi ja toteuttamiseksi tarpeellisia tietoja toiselle terveydenhuollon palvelunantajalle potilaan antaman suostumuksen, lainsäännöksen taikka Kanta-palvelujen luovutusluvan ja kieltojen mukaisesti.
- Rekisteröidyn terveyspalvelun toteuttamiseksi välttämättömiä tietoja muulle terveydenhuollon palvelunantajalle, jos potilaalla ei ole mielenterveyden häiriön, muistisairauden kehitysvammaisuuden tai vastaavan syyn vuoksi edellytyksiä arvioida annettavan Kanta-palvelujen luovutusluvan merkitystä eikä hänellä ole laillista edustajaa, taikka jos luovutuslupaa ei voida saada potilaan tajuttomuuden tai muun siihen verrattavan syyn vuoksi.
- Viranomaiselle, kuten terveydenhuoltosektorin toimivaltaisille viranomaisille, poliisille tai muulle valvovalle viranomaiselle lakisääteisen luovutusperusteen nojalla. Tällaisia viranomaisia voivat olla esimerkiksi Kansaneläkelaitos (KELA), Terveyden ja Hyvinvoinnin laitos (THL) sekä lääkealan turvallisuus- ja kehittämiskeskus Fimea.
- Valtakunnallisiin rekistereihin tutkimus-, suunnittelu- ja tilastotarkoituksia varten tutkimusorganisaatioille asiakkaan antaman suostumuksen perusteella lainsäädännön mukaisesti. Tässä kohdassa mainittuihin tarkoituksiin tietoa voidaan luovuttaa myös anonymisoituina eli poistamalla rekisteröityjen tunnistetiedot, jolloin kyse ei ole henkilötietojen luovuttamisesta.
- Kelan ylläpitämiin valtakunnallisiin tietojärjestelmäpalveluihin, eli Kanta-palveluihin (lakisääteisesti), jotka ovat luonteeltaan yhteisrekistereitä. Lisätietoja tahdonilmaisupalvelun, tiedonhallintapalvelun sekä Reseptikeskuksen yhteisrekisteristä: www.kanta.fi/tietosuojaselosteet
Tietojen luovutuksesta tehdään asianmukainen merkintä rekisteriin.
Rekisteröidyn henkilötietoja ei siirretä EU:n tai ETA-alueen ulkopuolelle.
8 Rekisteröidyn oikeudet
Rekisteröidylle henkilölle kuuluu monia oikeuksia, joiden avulla rekisteröity voi vaikuttaa henkilötietojensa käsittelyyn. Tässä selosteessa kuvattuja oikeuksia voi käyttää lähettämällä asiaa koskevan pyynnön sähköpostitse osoitteeseen [email protected].
Oikeus tulla informoiduksi
Rekisteröidyllä henkilöllä on oikeus saada tietoa henkilötietojensa käsittelystä läpinäkyvästi ja helposti ymmärrettävässä muodossa. Lisätietoja tietosuojasta ja henkilötietojen käsittelystä voi kysyä ottamalla yhteyttä tässä tietosuojaselosteessa mainittuihin yhteyshenkilöihin.
Tarkastusoikeus
Rekisteröidyllä on oikeus saada tieto siitä, mitä häntä koskevia tietoja käsitellään ja halutessaan saada jäljennös kyseisistä tiedoista.
Oikeus vaatia tiedon oikaisemista
Rekisteröidyllä on oikeus vaatia rekisterissä olevan itseään koskevan virheellisen tai vanhentuneen tiedon korjaamista.
Oikeus käsittelyn rajoittamiseen
Rekisteröidyllä on oikeus vaatia henkilötietojen käsittelyn rajoittamista, jos tietojen paikkansapitävyys on kiistetty tai jos jokin muu GDPR 18 artiklan mukaisista edellytyksistä täyttyy. Käsittelyn rajoittaminen tarkoittaa, että tiedot säilytetään, mutta niitä käsitellään muilla tavoin ainoastaan suostumuksen perusteella, oikeudellista vaatimusta varten, toisen henkilön oikeuksien suojaamiseksi tai tärkeää unionin tai jäsenvaltion yleistä etua koskevasta syystä. Käsittelyn rajoittaminen soveltuu esimerkiksi silloin, jos käsittelyn laillisuus on kiistetty. Tällöin tietojen käsittelyä rajoitetaan, kunnes käsittelyn laillisuus on varmistettu.
Oikeus vastustaa käsittelyä
Rekisteröidyllä henkilöllä on oikeus vastustaa henkilötietojen käsittelyä henkilökohtaiseen erityiseen tilanteeseensa vedoten, kun tietoja käsitellään yleistä etua koskevan tehtävän suorittamiseksi, rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi tai rekisterinpitäjän tai kolmannen osapuolten oikeutettujen etujen toteuttamiseksi. Rekisteröidyn tulee vaatimuksen yhteydessä yksilöidä se erityinen tilanne, jolla perusteella hän vastustaa käsittelyä.
Tietojen käsittely lopetetaan, ellei käsittely ole tarpeen jonkun muun oikeutetun käsittelyperusteen nojalla: Rekisterinpitäjä voi kieltäytyä toteuttamasta vastustamista koskevaa pyyntöä, jos rekisterinpitäjä voi osoittaa, että käsittelyyn on olemassa huomattavan tärkeä ja perusteltu syy, joka syrjäyttää rekisteröidyn edut, oikeudet ja vapaudet, tai käsittely on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi.
Oikeus siirtää tiedot järjestelmästä toiseen
Rekisteröidyllä henkilöllä on oikeus siirtää rekisterinpitäjälle toimittamansa häntä koskevat henkilötiedot järjestelmästä toiseen, edellyttäen että henkilötietojen käsittely perustuu suostumukseen tai sopimukseen (GDPR art. 6(1)(a) tai (b)) ja jos käsittely suoritetaan automaattisesti. Rekisteröidyllä on oikeus saada siirrettyä tietonsa suoraan rekisterinpitäjältä toiselle, mikäli se on teknisesti mahdollista ja pyyntö koskee asiakkaan itse rekisterinpitäjälle toimittamia henkilötietoja. Oikeutta siirtää tiedot järjestelmästä toiseen ei sovelleta lakisääteisissä rekistereissä.
Oikeus tietojen poistamiseen
Rekisteröidyn peruutettua antamansa suostumuksen tai jos jokin muu GDPR 17 artiklan mukaisista edellytyksistä täyttyy, rekisteröidyllä on oikeus saada kaikki henkilötietonsa poistetuksi eli tulla unohdetuksi.
Oikeus tehdä valitus valvontaviranomaiselle
Rekisteröidyllä on oikeus tehdä valitus toimivaltaiselle valvontaviranomaiselle, Suomessa Tietosuojavaltuutetun toimisto, jos hän epäilee, että häntä koskien henkilötietojen käsittelyssä rikotaan EU:n yleistä tietosuoja-asetusta tai kansallisia tietosuojaa ohjaavia lakeja ja asetuksia.