Nordic Med Span potilasrekisterin tietosuojaseloste

Tämä on EU:n yleisen tietosuoja-asetuksen mukainen tietosuojaseloste, joka koskee Nordic Med Span potilasrekisteriä. Tietosuojaseloste on laadittu 1.1.2019 ja sitä on päivitetty viimeksi 22.8.2022.

1. Rekisterinpitäjä

Yrityksen nimi: Nordic Med Spa Oy

Y-tunnus: 2936796-5

Osoite: Hämeenkatu 19 (4. krs), 33200 Tampere

Puhelinnumero: 010 3389 555

2. Yhteyshenkilö rekisteriä koskevissa asioissa

Anna Virtanen

Osoite: Hämeenkatu 19 (4. krs), 33200 Tampere
Sähköpostiosoite: info@nordicmedspa.fi
Puhelinnumero: 010 3389 555

3. Rekisterin nimi

Nordic Med Span potilasrekisteri

4. Henkilötietojen käsittelyn tarkoitus ja käsittelyn oikeusperuste

Potilastietojen käsittely perustuu potilaan suostumukseen.  Potilaaksi tulon edellytyksenä on, että henkilöstä voidaan tallentaa tietoja potilasrekisteriin. Potilasrekisteriin tallennettuja tietoja käytetään potilaan hoidon järjestämiseksi, suunnittelemiseksi ja seuraamiseksi. Lisäksi tietoja voidaan käyttää rekisteröidyn suostumuksella tämän terveyttä ja hyvinvointia sekä niitä koskevia palveluita ja etuja koskevien sähköisten viestien lähettämiseen.

5. Rekisterin tietosisältö

Rekisteriin tallennettavia tietoja ovat: 

  • Potilaan yksilöintitiedot: nimi, henkilötunnus
  • Potilaan yhteystiedot (osoite, sähköpostiosoite, puhelinnumero)
  • Potilaan huoltaja(t) ja/tai edunvalvoja
  • Potilaan terveydentilaa ja terveydenhoitoa koskevat tiedot; hoidon järjestämisessä, suunnittelussa, toteuttamisessa ja seurannassa tarvittavat tiedot (esitiedot, hoidossa syntyvät terveystiedot, potilas-/asiakashistoria, tutkimustiedot ja –tulokset, lähetteet, lausunnot, diagnoosit, ajanvaraustiedot ja -historia, laskutustiedot)
  • Tieto potilaan (rekisteröidyn) antamista suostumuksista ja kielloista, sekä niiden antamisajankohta
  • Potilaskuvat ennen ja jälkeen tehdyn toimenpiteen

6. Säännönmukaiset tietolähteet

  • Potilas ja potilaan huoltaja(t) tai muu laillinen edustaja
  • Potilaan hoitoon osallistuva hoitohenkilökunta ja terveydenhuollon ammattihenkilöt (Potilaan hoitoa ja tutkimusta koskevat tiedot kerätään Nordic Med Spassa suoritetuista tutkimuksista ja hoitotoimenpiteistä muodostuneista tiedoista)
  • Potilaan suostumuksella muut terveydenhuollon toimintayksiköt tai terveydenhuollon ammattihenkilöt

7. Tietojen säännönmukaiset luovutukset ja tietojen siirto EU:n tai ETA-alueen ulkopuolelle

Potilastietoja voidaan luovuttaa kolmansille osapuolille ainoastaan potilaan tai hänen laillisen edustajansa suostumuksella taikka mikäli asiasta on laissa nimenomaisesti erikseen säädetty. Silloin kun tietoja luovutetaan salassapitosäännösten estämättä erityissäännöksen perusteella esimerkiksi muille viranomaisille, kyseiset organisaatiot käsittelevät niille luovutettuja salassa pidettäviä tietoja lakisääteisten tehtäviensä toteuttamiseksi ja ainoastaan laissa säädettyyn tarkoitukseen.

Silloin, kun tietojen luovutus edellyttää potilaan suostumusta, rekisteröidyllä on oikeus milloin tahansa peruuttaa antamansa suostumus. Potilastietoja ei siirretä tai luovuteta EU:n tai ETA-alueen ulkopuolelle.

8. Henkilötietojen säilytysajat ja hävittäminen

Henkilötietoja säilytetään potilasrekisterissä Sosiaali- ja terveysministeriön potilasasiakirja-asetuksen (298/2009) mukaisesti, ja niin kauan, kun potilastietoja on asetuksen mukaan säilytettävä. Yksityiskohtaiset potilasasiakirjaryhmien säilytysajat on määritelty sosiaali- ja terveysministeriön potilasasiakirja-asetuksen (298/2009) liitteessä.

Potilastiedot arkistoidaan Sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetun lain (159/2007) ja sähköisestä lääkemääräyksestä annetun lain (61/2007) mukaisesti Kansaneläkelaitoksen ylläpitämään valtakunnalliseen arkistointipalveluun (eResepti ja eArkisto).

Potilastietoja hävitettäessä noudatetaan asianmukaista huolellisuutta ja tiedot hävitetään tietoturvallisesti niin, etteivät sivulliset pääse tietoihin käsiksi.

9. Rekisterin suojauksen periaatteet

Potilastiedot ovat salassa pidettäviä. Tietoja käsittelevillä on salassapito- ja vaitiolovelvollisuus kaikkeen potilaan hoidon yhteydessä saatuun tietoon. Rekisterinpitäjä huolehtii siitä, että tallennettuja tietoja sekä palvelimien käyttöoikeuksia ja muita henkilötietojen turvallisuuden kannalta kriittisiä tietoja käsitellään luottamuksellisesti ja vain niiden työntekijöiden toimesta, joiden työnkuvaan se kuuluu.

Rekisteritietoihin (potilastietojärjestelmä) on rajattu pääsy ainoastaan määrätyillä henkilöillä. Järjestelmän käyttö ja pääsy potilastietoihin vaatii henkilökohtaisen käyttäjätunnuksen ja salasanan. Käyttäjätietoja ei saa luovuttaa muiden käyttöön. Tunnukset saataessa järjestelmän käyttöönoton yhteydessä henkilökunta on saanut koulutuksen ja ohjeet.

Rekisteritietojen käsittelyssä noudatetaan asianmukaista huolellisuutta ja tietojärjestelmien avulla käsiteltävät tiedot suojataan asianmukaisesti. Kun rekisteritietoja säilytetään Internet-palvelimilla, niiden laitteiston fyysisestä ja digitaalisesta tietoturvasta huolehditaan asiaankuuluvasti.

10. Tarkastusoikeus ja oikeus vaatia tiedon korjaamista

Jokaisella rekisterissä olevalla henkilöllä on oikeus tarkistaa rekisteriin tallennetut tietonsa ja vaatia mahdollisen virheellisen tiedon korjaamista tai puutteellisen tiedon täydentämistä.

Tarkastusoikeuden käyttäminen on pääsääntöisesti maksutonta. Jatkuvasti toistuvien kyselyiden tai ilmeisen perusteettomien tai kohtuuttomien kyselyiden kohdalla rekisterinpitäjä voi periä pyynnön toteuttamisesta hallinnollisiin kustannuksiinsa perustuvan maksun.

Tiedon korjaamista koskevaa pyyntöä ei voida toteuttaa potilaan vaatimalla tavalla, jos tietoa käsitellään rekisterinpitäjän lakisääteisen velvollisuuden toteuttamiseksi ja tiedon säilyttämiselle on siten lain mukaiset perusteet. Mikäli Rekisterinpitäjä kieltäytyy antamasta tietoja, rekisteröidylle annetaan tietopyyntöön kirjallinen vastaus, josta käy ilmi perustelut tarkastusoikeuden epäämiseen.

Pyyntö tarkastusoikeuden käyttämisestä tai tietojen korjaamisesta tulee lähettää kirjallisesti (sähköpostitse tai postitse) rekisterinpitäjälle tämän tietosuojaselosteen kohdassa 2 mainittuun osoitteeseen.

Rekisterinpitäjä voi antaa tarkistuspyynnön kohteena olevat tiedot vain henkilöllisyyden todistamista vastaan tai muutoin luotettavaa tunnistusmenetelmää käyttäen. Rekisterinpitäjä määrittelee tapauskohtaisesti riittävän tunnistamisen menetelmät

Rekisterinpitäjä vastaa rekisteröidyn pyyntöön ilman aiheetonta viivytystä ja kuitenkin tietosuoja-asetuksen mukaisessa määräajassa (pääsääntöisesti yksi kuukausi). Mikäli asiakkaan pyyntö on monimutkainen tai pyyntöjä on paljon, määräaikaa voidaan tarvittaessa jatkaa enintään kahdella kuukaudella. Tällöin rekisteröidylle ilmoitetaan määräajan jatkamisesta kuukauden kuluessa pyynnön vastaanottamisesta sekä viivästymisen syyt.

11. Muut henkilötietojen käsittelyyn liittyvät oikeudet

Rekisteröidyllä on oikeus pyytää häntä koskevien henkilötietojen poistamista rekisteristä (“oikeus tulla unohdetuksi”). Niin ikään rekisteröidyillä on muut EU:n yleisen tietosuoja-asetuksen mukaiset oikeudet kuten henkilötietojen käsittelyn rajoittaminen tietyissä tilanteissa, sekä oikeus saada henkilötietonsa rekisterinpitäjältä koneluettavassa muodossa ja siirtää kyseiset tiedot toiselle rekisterinpitäjälle. Tämä edellyttää, että kyseiset henkilötiedot ovat potilaan itse rekisterinpitäjälle toimittamia tietoja.

Oikeutta tulla unohdetuksi ei voida toteuttaa potilaan vaatimalla tavalla, jos tietoa käsitellään rekisterinpitäjän lakisääteisen velvollisuuden toteuttamiseksi ja tiedon säilyttämiselle on siten lain mukaiset perusteet. Mikäli Rekisterinpitäjä kieltäytyy toteuttamasta pyyntöä, rekisteröidylle annetaan tietopyyntöön kirjallinen vastaus, josta käy ilmi perustelut oikeuden epäämiseen.

Pyynnöt tulee lähettää kirjallisesti rekisterinpitäjälle sähköpostitse tai postitse tämän tietosuojaselosteen kohdassa 2 mainittuun osoitteeseen.

Rekisterinpitäjä voi toteuttaa pyynnön ainoastaan henkilöllisyyden todistamista vastaan tai muutoin luotettavaa tunnistusmenetelmää käyttäen. Rekisterinpitäjä määrittelee tapauskohtaisesti riittävän tunnistamisen menetelmät.

Rekisterinpitäjä vastaa rekisteröidyn pyyntöön ilman aiheetonta viivytystä ja kuitenkin tietosuoja-asetuksen mukaisessa määräajassa (pääsääntöisesti yksi kuukausi). Mikäli asiakkaan pyyntö on monimutkainen tai pyyntöjä on paljon, määräaikaa voidaan tarvittaessa jatkaa enintään kahdella kuukaudella. Tällöin rekisteröidylle ilmoitetaan määräajan jatkamisesta kuukauden kuluessa pyynnön vastaanottamisesta sekä viivästymisen syyt.

12. Valitusoikeus valvontaviranomaiselle

Rekisteröidyllä on oikeus tehdä tietosuoja-asetuksen vastaisiksi arvioimistaan henkilötietojen käsittelytoimista valitus Tietosuojavaltuutetun toimistolle.

© Copyright - Nordic Med Spa