Dataskyddsbeskrivning för Pohjola Sjukhuset

1. Allmänt

Med den här dataskyddsbeskrivningen ges den information som krävs enligt EU:s all-männa dataskyddsförordning (nedan dataskyddsförordningen) och den nationella lag-stiftningen, å ena sidan till den registrerade, dvs. den personuppgiftsansvariges kund, och å andra sidan till tillsynsmyndigheten.

Med denna beskrivning berättar vi om all den behandling av personuppgifter som Pohjola Hälsa Ab utför.

2. Personuppgiftsansvarig och den personuppgiftsansvariges kontaktinformation

Pohjola Hälsa Ab
Adress: Trädgårdsmästargränd 2, 00300 HELSINGFORS
Den personuppgiftsansvariges kontaktperson: Olli Savola
Telefonnummer: växel 010 257 8100

E-postadress: responsblankett på finska på adressen http://www.pohjolaterveys.fi/esittely/palaute

3. Dataskyddsombudets kontaktinformation

Ansvarig för patientregistret

Överläkare Olli Savola
Postadress: Trädgårdsmästargränd 2, 00300 HELSINGFORS
E-postadress: olli.savola@pohjolasairaala.fi

Dataskyddsombud

Dataskyddsombud Hanna Lankinen
Postadress: Trädgårdsmästargränd 2, 00300 HELSINGFORS
E-postadress: tietosuojavastaava@pohjolasairaala.fi

4. Kategorier av registrerade

Registrerade är patienter hos Pohjola Hälsa Ab:s tjänster för välbefinnande och hälsa, kunder och personer i intressentgrupper.

5. Ändamålen med behandlingen av personuppgifter och rättslig grund för behandlingen

Den behandling av personuppgifter som Pohjola Hälsa utför regleras i olika lagar och vid behandlingen iakttas kraven i lagstiftningen. Användningsändamålet för personuppgifter-na fastställs alltid enligt vilken registrerad kategori som det är fråga om. 

Patientuppgifterna behandlas endast för de användningsändamål som avses i lagstift-ningen. Uppgifter behandlas för att ordna undersökningar och vård av patienten samt för att planera, leda och föra statistik om den egna verksamheten.  Uppgifter kan behandlas också för att utveckla affärsrörelsen, om lagstiftningen och den registrerades samtycke gör det möjligt. 

Till Pohjola Hälsas verksamhet anknyter särskilt följande användningsändamål för person-uppgifter:

  • planering, genomförande och uppföljning av undersökning och vård av patienten samt vårdhänvisning
  • behandling av uppgifter som gäller lagstadgade och förebyggande tjänster som ges till kunder inom företagshälsovården
  • iakttagande och genomförande av förpliktelser som föranleds av lagen om privat häl-sovårdsverksamhet och annan lagstiftning samt myndigheters bestämmelser
  • produktion och utveckling av tjänster samt kvalitetskontroll
  • statistikföring och planering samt fakturering och indrivning
  • säkerställande av tjänsternas säkerhet och utredning av missbruk samt riskhantering
  • kundbetjäning, skötsel och utveckling av kundrelationen, inklusive kundkommunikat-ion, kundrapportering
  • uppföljning och analys av användningen av tjänster som erbjuds kunder inom digitala tjänster samt segmentering av kunder, så att den personuppgiftsansvarige ska kunna erbjuda användarna bland annat personifierat innehåll i produkterna och tjänsterna
  • utveckling av affärsrörelsen
  • opinions- och marknadsundersökningar
  • direktmarknadsföring
  • marknadsföring och inriktning av reklam

Pohjola Hälsa Ab:s verksamhetsställen och de yrkesutövare inom hälsovården som verkar för dess räkning och/eller tjänsteleverantörer har tillgång till ett gemensamt register, för vars tekniska underhåll Pohjola Hälsa Ab svarar för.

Uppgifterna inom företagshälsovården förvaras separat från andra patientuppgifter på så sätt att en patient hos företagshälsovården kan förbjuda att uppgifter som uppkommit inom Pohjola Hälsa Ab:s företagshälsovård används vid verksamhet inom andra hälso-vårdstjänster som den personuppgiftsansvarige tillhandahåller. 

Behandlingen av personuppgifter i registret kan omfatta profilering, om lagstiftningen möjliggör den. Med profilering avses en automatisk behandling av personuppgifter där man genom att använda uppgifterna bedömer vissa personliga egenskaper. 

Personuppgifter i registret behandlas på följande olika rättsliga grunder:

  • lagstadgad skyldighet (bl.a. planering och genomförande av vård, loggföring, överlå-telse av uppgifter till myndigheter)
  • samtycke (bl.a. överlåtelse till andra enheter inom hälsovården och till försäkringsbo-laget, direktmarknadsföring)
  • avtalsförhållande (bl.a. genomförande av vården, fakturering)
  • berättigat intresse (produktion av tjänst, direktmarknadsföring) 

6. Kategorier av personuppgifter och registrets datainnehåll

I registret behandlas följande kategorier av personuppgifter:

Grunddata

  • Patientens/kundens namn, personbeteckning och kontaktinformation
  • En nära anhörig som patienten/kunden utsett samt vårdnadshavare eller laglig före-trädare för en minderårig patient

Samtycken

  • Samtycken och förbud som gäller behandlingen och överlåtelse av uppgifter och som har lämnats av patienten/kunden

Uppgifter i patientjournalen

  • Nödvändiga uppgifter för vården av patienten

Uppgifter om undersökningen

  • Laboratorieuppgifter, uppgifter från diagnostisk avbildning och andra uppgifter om undersökningen

Uppgifter som omfattas av avtalet om företagshälsovård

  • Uppgifter om patientens arbetsgivare
  • Uppgift om avdelning och uppgift om datum när anställningen har börjat
  • Uppgifter om frånvaro 
  • Uppgifterna i anslutning till arbetsgivaren: arbetsplatsutredningar, promemorior från företagshälsovårdens trepartssamtal, promemorior från diskussioner med che-fen/arbetsgemenskapen, antalet anställda
  • Utredningar och kartläggningar i anslutning till välbefinnande i arbete
  • Eventuell uppgift om risker som gäller arbetsförmåga

Uppgifter om kundhändelser

  • Uppgifter om tidsbokning
  • Faktureringsuppgifter
  • Kundbesök

Avtalsuppgifter 

  • Företagskunders uppgifter om (företagshälsovårds)avtal

Inspelningar och innehåll i meddelanden

  • Parterna i diskussionen, tidpunkt och kommunikation 

Uppgifter om användning av nättjänster och mobila tjänster 

  • Uppgifter om användning av nättjänster och mobila tjänster. 

7. Mottagare och kategorier av mottagare av personuppgifter

Patientuppgifter är konfidentiella personuppgifter. Personalen har tystnadsplikt om alla uppgifter de fått kännedom om i samband med vården också efter det att anställningen upphört.

Patientuppgifter får lämnas ut: 

  • med den registrerades specificerade samtycke. Om patienten inte har förutsättningar att bedöma betydelsen av det samtycke som ges, får uppgifter ges med samtycke av patientens lagliga företrädare.
  • med i lagen separat uttryckligen föreskriven rätt att ge eller få information

En registrerad har rätt att när som helst ändra sina samtycken eller förbud till överlåtelse av sina uppgifter. 

Övriga personuppgifter kan överlåtas med den registrerades samtycke eller om lagstift-ningen möjliggör det.

Överföring av personuppgifter

Den personuppgiftsansvarige kan anlita underleverantörer vid behandlingen av uppgifter, men uppgifter överförs inte utanför EU eller EES.

8. Lagringsperiod för personuppgifter eller kriterier för att fastställa lagringsperioden

Patientjournaler och andra patientuppgifter i anslutning till vårdförhållandet ska sparas under den förvaringstid som separat fastställs i lagen.

Andra personuppgifter än patientuppgifter behandlas under giltighetstiden för avtalsför-hållandet/kundförhållandet. Då avtalsförhållandet/kundförhållandet har upphört ska upp-gifterna raderas eller anonymiseras, då någon behandlingsgrund för förvaring av person-uppgifter exempelvis i anslutning till ett avtalsförhållande inte längre finns. Uppgifterna raderas i enlighet med de raderingsprocesser som den personuppgiftsansvarige fastställt.

9. Personuppgiftskällor och uppdatering av personuppgifter

Personuppgifter samlas huvudsakligen in av den registrerade.

Uppgifterna kan också samlas in med tillstånd av den registrerades förmyndare eller lag-liga företrädare samt av andra vård- och rehabiliteringsenheter med tillstånd av patienten, patientens förmyndare eller lagliga företrädare. 

Till registrets regelbundna uppgiftskällor hör också uppgifter som samlats in i anslutning till undersökningar och vård, utredningar, utlåtanden och konsultationssvar samt de upp-gifter som arbetsgivaren meddelat och som omfattas av avtalet om företagshälsovård.

Personens uppgifter uppdateras i regel som en manuell process där uppgifter begärs av den registrerade personligen. 

Personuppgifter kan också samlas in när den registrerade använder vissa av den person-uppgiftsansvariges tjänster, såsom nättjänster.

Personuppgifterna kan samlas in och uppdateras också från tredje parters register, såsom exempelvis myndigheters register.

10. Den registrerades rättigheter

Den registrerade har rätt att få den personuppgiftsansvariges bekräftelse på om den regi-strerades personuppgifter behandlas eller inte eller om de har behandlats.

Om den personuppgiftsansvarige behandlar den registrerades personuppgifter, har den registrerade i regel rätt att få kontrollera sina uppgifter. 

Den personuppgiftsansvarige kan debitera en rimlig administrationsavgift för ytterligare kopior som den registrerade begär. Om den registrerade gör sin begäran elektroniskt och inte har bett om något annat leveranssätt, levereras informationen i ett elektroniskt for-mat som är allmänt använt, förutsatt att informationen kan levereras på ett informations-säkert sätt.

Den registrerade har också rätt att be den registeransvarige att rätta eller radera den regi-strerades personuppgifter och den registrerade kan motsätta sig behandlingen av sina personuppgifter för marknadsföring, om uppgifter används för detta syfte.

Den registrerade har också i vissa situationer rätt att begära att behandlingen av person-uppgifterna ska begränsas eller annars göra invändningar mot behandlingen av person-uppgifter. Dessutom har den registrerade i vissa situationer rätt att överföra annat än pa-tientuppgifter i maskinläsbart format exempelvis till sig själv.

Den registrerade kan framföra begäran som gäller den registrerades rättigheter direkt till Pohjola Hälsa Ab:s kundtjänst.

Om den registrerade anser att behandlingen av den registrerades personuppgifter inte är lagenlig, har den registrerade rätt att lämna in ett klagomål till tillsynsmyndigheten.

11. Rätt att återkalla samtycke

Om den personuppgiftsansvarige behandlar den registrerades personuppgifter på basis av samtycke, har den registrerade rätt att återkalla sitt samtycke när som helst. Om sam-tycket återkallas, kan det dock påverka tjänsternas användbarhet och funktioner.

12. Hur registret är skyddat

Den personuppgiftsansvarige har skyddat uppgifterna på ett tillbörligt sätt tekniskt och or-ganisatoriskt. Registret skyddas med bland annat följande medel:

  • skydd av utrustning och filer
  • passerkontroll
  • identifiering av användare
  • åtkomsträttigheter
  • registrering av användningstillfällen
  • regler och kontroll för behandlingen

Den personuppgiftsansvarige kräver också att dess underleverantörer på ett tillbörligt sätt skyddar de personuppgifter som behandlas.