Pohjola Sairaalan tietosuojaseloste

1. Yleistä 

Tällä tietosuojaselosteella annetaan EU:n yleisen tietosuoja-asetuksen (jäljempänä tietosuoja-asetus) sekä kansallisen lainsäädännön edellyttämiä tietoja yhtäältä rekisteröidylle eli rekisterinpitäjän asiakkaalle ja toisaalta valvovalle viranomaiselle.

Tällä selosteella kerromme kaikesta Pohjola Terveys Oy:n suorittamasta henkilötietojen käsittelystä.

2. Rekisterinpitäjä ja rekisterinpitäjän yhteystiedot

Pohjola Terveys Oy
Osoite: Puutarhurinkuja 2, 00300 HELSINKI
Rekisterinpitäjän yhteyshenkilö: Olli Savola
Puhelinnumero: vaihde 010 257 8100 

Sähköpostiosoite: palautelomake osoitteessa http://www.pohjolaterveys.fi/esittely/palaute

3. Tietosuojavastaavan yhteystiedot

Potilasrekisterivastaava

Ylilääkäri Olli Savola
Postiosoite: Puutarhurinkuja 2, 00300 HELSINKI
Sähköpostiosoite: olli.savola@pohjolasairaala.fi

Tietosuojavastaava

Tietosuojavastaava Hanna Lankinen 
Postiosoite: Puutarhurinkuja 2, 00300 HELSINKI
Sähköpostiosoite: tietosuojavastaava@pohjolasairaala.fi

4. Rekisteröityjen ryhmät 

Rekisteröityjä ovat Pohjola Terveys Oy:n hyvinvointi- ja terveyspalvelujen potilaat, asiakkaat ja sidosryhmien henkilöt.

5. Henkilötietojen käsittelyn tarkoitukset ja käsittelyn oikeusperuste

Pohjola Terveyden suorittamaa henkilötietojen käsittelyä säännellään eri laeissa ja käsittelyssä noudatetaan aina lainsäädännön vaatimuksia. Henkilötietojen käyttötarkoitukset määräytyvät aina sen mukaisesti, mistä rekisteröityjen ryhmästä on kysymys. 

Potilastietoja käsitellään vain lainsäädännön mukaisissa käyttötarkoituksissa. Tietoja käsitellään potilaan tutkimusten ja hoidon järjestämiseksi sekä oman toiminnan suunnitteluun, johtamiseen ja tilastointiin.  Tietoja voidaan käsitellä myös liiketoiminnan kehittämiseksi silloin, kun lainsäädäntö tai rekisteröidyn suostumus sen mahdollistaa. 

Pohjola Terveyden toimintaan liittyy erityisesti seuraavia henkilötietojen käyttötarkoituksia:

  • potilaan tutkimusten ja hoidon suunnittelu, toteutus ja seuranta sekä hoitoonohjaus
  • työterveyshuollon asiakkaille annettavien lakisääteisiä ja ennaltaehkäiseviä palveluja koskevien tietojen käsittely
  • yksityisestä terveydenhuoltotoiminnasta annetun lain sekä muusta lainsäädännöstä ja viranomaisten määräyksistä aiheutuvien velvoitteiden noudattaminen ja toteuttaminen
  • palvelujen tuottaminen, kehittäminen ja laadunvarmistus
  • tilastointi ja suunnittelu sekä laskutus ja perintä
  • palvelujen turvallisuuden varmistaminen ja väärinkäytösten selvittäminen sekä riskienhallintaasiakaspalvelu,
  • asiakassuhteen hoito ja kehittäminen, mukaan lukien asiakasviestintä, asiakasraportointi
  • asiakkaalle tarjotuissa digipalveluissa palvelujen käytön seuranta ja analysointi sekä asiakkaiden segmentointi, jotta rekisterinpitäjä pystyy tarjoamaan käyttäjille muun muassa personoitua sisältöä tuotteissa ja palveluissa
  • liiketoiminnan kehittäminen
  • mielipide- ja markkinatutkimukset
  • suoramarkkinointi
  • markkinoinnin ja mainonnan kohdentaminen

Pohjola Terveys Oy:n toimipisteillä ja sen lukuun toimivilla terveydenhuollon ammatinharjoittajilla ja/tai palveluntuottajayrityksillä on käytössään yhteisrekisteri, jonka tekninen ylläpito kuuluu Pohjola Terveys Oy:lle.

Työterveydenhuollon tiedot säilytetään muusta potilastiedosta erillään siten, että työterveyshuollon potilaan on mahdollista kieltää Pohjola Terveys Oy:n työterveyshuollossa syntyneiden tietojen käyttö muiden rekisterinpitäjän tarjoamien terveyspalvelujen toiminnassa. 

Rekisterin piiriin kuuluva henkilötietojen käsittely voi sisältää profilointia, mikäli lainsäädäntö sen mahdollistaa. Profiloinnilla tarkoitetaan henkilötietojen automaattista käsittelyä, jossa näitä tietoja käyttämällä arvioidaan tiettyjä henkilökohtaisia ominaisuuksia. 

Rekisterissä olevia henkilötietoja käsitellään seuraavilla oikeusperusteilla:

  • lakisääteinen velvoite (mm. hoidon suunnittelu ja toteutus, lokittaminen, tietojen luovutus viranomaisille)
  • suostumus (mm. luovutukset toisiin terveydenhuollon yksiköihin ja vakuutusyhtiölle, suoramarkkinointi)
  • sopimussuhde (mm. hoidon toteuttaminen, laskutus)
  • oikeutettu etu (palvelun tuottaminen, suoramarkkinointi)

6. Henkilötietoryhmät ja rekisterin tietosisältö

Rekisterissä käsitellään seuraavia henkilötietoryhmiä: 

Perustiedot

  • Potilaan /asiakkaan nimi, henkilötunnus ja yhteystiedot
  • Potilaan /asiakkaan nimeämä lähiomainen sekä alaikäisen potilaan huoltaja tai laillinen edustaja


Suostumukset

  • Potilaan / asiakkaan antamat tietojen käsittelyä ja luovutuksia koskevat suostumukset ja kiellot

Potilaskertomustiedot 

  • Potilaan hoidon kannalta välttämättömät tiedot 

Tutkimustiedot

  • Laboratorio-, kuvantamis- ja muut tutkimustiedot 

Työterveyshuollon sopimuksen piiriin kuuluvat tiedot 

  • Tiedot potilaan työnantajasta
  • Osastotieto ja tieto työsuhteen aloituspäivämäärästä
  • Sairauspoissaolotiedot
  • Työnantajaan liittyvät tiedot: työpaikkaselvitykset, työterveysneuvottelumuistiot, esimies/työyhteisöpalavereiden muistiot, henkilöstön määrä
  • Työhyvinvointiin liittyvät selvitykset ja kartoitukset 
  • Mahdollinen tieto työkykyriskistä

Asiakastapahtumatiedot 

  • Ajanvaraustiedot
  • Laskutustiedot 
  • Asiakaskäynti 

Sopimustiedot

  • yritysasiakkaiden (työterveys) sopimustiedot

Tallenteet ja viestinnän sisältö

  • Keskustelun osapuolet, ajankohta ja viestintä 

Verkko- ja mobiilipalveluiden käyttötiedot 

  • Verkko- ja mobiilipalveluiden käyttöä koskevat tiedot. 

7. Henkilötietojen vastaanottajat ja vastaanottajaryhmät 

Potilastiedot ovat salassa pidettäviä henkilötietoja. Henkilökunnalla on salassapitovelvollisuus kaikkeen hoidon yhteydessä saatuun tietoon myös työsuhteen päättymisen jälkeen.

Potilastietoja voidaan luovuttaa: 

  • rekisteröidyn yksilöidyllä suostumuksella. Jos potilaalla ei ole edellytyksiä arvioida annettavan suostumuksen merkitystä, tietoja saa antaa hänen laillisen edustajansa suostumuksella.
  • laissa erikseen nimenomaisesti säädetyllä oikeudella tiedon antamiseen tai tiedon saamiseen

Rekisteröidyllä on milloin tahansa oikeus muuttaa antamiaan suostumuksia tai kieltoja koskien tietojensa luovutusta. 

Muita henkilötietoja voidaan luovuttaa rekisteröidyn suostumuksella tai lainsäädännön niin mahdollistaessa.

Henkilötietojen siirtäminen

Rekisterinpitäjä voi käyttää alihankkijoita tietojen käsittelyssä, mutta tietoja ei siirretä EU:n tai ETA:n ulkopuolelle.

8. Henkilötietojen säilytysaika ja säilytysajan määrittämiskriteerit 

Potilasasiakirjoja ja muita hoitosuhteeseen liittyviä potilastietoja säilytetään laissa erikseen määritetyn säilytysajan mukaisesti.

Muita henkilötietoja kuin potilastietoja käsitellään sopimussuhteen / asiakassuhteen voimassaolon ajan. Sopimussuhteen / asiakassuhteen päätyttyä tiedot poistetaan tai anonymisoidaan, kun henkilötiedon säilyttämiselle ei ole enää esimerkiksi sopimussuhteeseen liittyvää käsittelyperustetta. Tiedot poistetaan rekisterinpitäjän määrittämien poistoprosessien mukaisesti.

Potilasasiakirjoja ja muita hoitosuhteeseen liittyviä potilastietoja säilytetään laissa erikseen määritetyn säilytysajan mukaisesti.

Muita henkilötietoja kuin potilastietoja käsitellään sopimussuhteen / asiakassuhteen voimassaolon ajan. Sopimussuhteen / asiakassuhteen päätyttyä tiedot poistetaan tai anonymisoidaan, kun henkilötiedon säilyttämiselle ei ole enää esimerkiksi sopimussuhteeseen liittyvää käsittelyperustetta. Tiedot poistetaan rekisterinpitäjän määrittämien poistoprosessien mukaisesti.

9. Henkilötietojen lähteet ja päivittäminen

Henkilötietoja kerätään pääasiassa rekisteröidyltä itseltään.

Tietoja voidaan kerätä myös rekisteröidyn huoltajalta tai laillisen edustajalta sekä muista hoito- ja kuntoutusyksiköistä potilaan, hänen huoltajansa tai laillisen edustajansa luvalla. 

Rekisterin säännönmukaisiin tietolähteisiin kuuluvat myös tutkimusten ja hoidon yhteydessä muodostuneet tiedot, selvitykset, lausunnot ja konsultaatiovastaukset sekä työterveyshuollon sopimuksen piiriin kuuluvat työnantajan ilmoittamat tiedot.

Henkilön tiedot päivitetään pääasiassa manuaaliprosessina pyytäen tiedot rekisteröidyltä henkilökohtaisesti. 

Henkilötietoja voidaan kerätä myös, kun rekisteröity käyttää tiettyjä rekisterinpitäjän palveluja, kuten verkkopalvelut.

Henkilötietoja voidaan kerätä ja päivittää myös kolmansien osapuolten rekistereistä, kuten esimerkiksi viranomaisrekistereistä.

10. Rekisteröidyn oikeudet

Rekisteröidyllä on oikeus saada rekisterinpitäjän vahvistus siitä, käsitelläänkö rekisteröidyn henkilötietoja vai ei tai onko niitä käsitelty.

Mikäli rekisterinpitäjä käsittelee rekisteröidyn henkilötietoja, rekisteröidyllä on pääsääntöisesti oikeus saada tarkastaa tietonsa. 

Rekisterinpitäjä voi periä kohtuullisen hallinnollisen maksun rekisteröidyn pyytämistä lisäjäljennöskappaleista. Mikäli rekisteröity tekee pyynnön sähköisesti, eikä hän ole pyytänyt muuta toimitusmuotoa, tiedot toimitetaan yleisesti käytössä olevassa sähköisessä muodossa edellyttäen, että tiedot voidaan toimittaa tietoturvallisella tavalla.

Rekisteröidyllä on myös oikeus pyytää rekisterinpitäjää oikaisemaan tai poistamaan henkilötietojaan ja hän voi vastustaa henkilötietojensa käsittelyä markkinointiin, mikäli tietoja käytetään tässä käyttötarkoituksessa.

Rekisteröidyllä on myös tietyissä tilanteissa oikeus pyytää henkilötietojensa käsittelyn rajoittamista tai muuten vastustaa käsittelyä. Lisäksi rekisteröidyllä on tietyissä tilanteissa oikeus siirtää muuta kuin potilastietoa koneluettavassa muodossa esimerkiksi itselleen.

Rekisteröity voi esittää oikeuksiaan koskevat pyynnöt suoraan Pohjola Terveys Oy:n asiakaspalveluun.

Mikäli rekisteröity katsoo, ettei hänen henkilötietojensa käsittely ole lainmukaista, hänellä on oikeus tehdä asiassa valitus valvontaviranomaiselle.

11. Oikeus peruuttaa suostumus

Mikäli rekisterinpitäjä käsittelee rekisteröidyn henkilötietoja suostumuksen perusteella, rekisteröidyllä on oikeus peruuttaa suostumuksensa milloin tahansa. Suostumuksen peruuttaminen voi kuitenkin vaikuttaa palvelujen käytettävyyteen ja toiminnallisuuksiin.

12 Miten rekisterin suojaus on järjestetty

Rekisterinpitäjä on suojannut tiedot asianmukaisesti teknisesti ja organisatorisesti. Rekisterin suojauksessa käytetään mm. seuraavia keinoja:

  • laitteistojen ja tiedostojen suojaus
  • kulunvalvonta
  • käyttäjien tunnistus
  • käyttövaltuudet
  • käyttötapahtumien rekisteröinti
  • käsittelyn ohjeistus ja valvonta

Rekisterinpitäjä edellyttää myös alihankkijoiltaan käsiteltävien henkilötietojen asianmukaista suojaamista.