Rekisteri- ja tietosuojaseloste

Tämä on Helsinki Ear Institute yrityksen henkilötietolain (10 ja 24 §) ja EU:n yleisen tietosuoja-asetuksen (GDPR) mukainen rekisteri- ja tietosuojaseloste. Laadittu 1.1.2013. Viimeisin muutos 24.5.2018.

Henkilötietolaki (523/1999) 10 §

1. Rekisterinpitäjä
Oy Helsinki Ear Institute Inc.
Halsuantie 1 (käyntiosoite), 00420 Helsinki
Puhelin: 010 423 2070
Fax: 042 103398804
Sähköposti: hei@tinnitus.fi

2. Yhteyshenkilö rekisteriä koskevissa asioissa 
Jukka Ylikoski
Halsuantie 1 (käyntiosoite), 00420 Helsinki                

3. Rekisterin nimi ja sisältö
Helsinki Ear Instituten rekisteri- ja tietosuojaseloste. Sisältää lääkärin- / sairaanhoitajan antamaa hoitoa, vastaanottoa ja laskutusta varten tarvittavat tiedot.

4. Oikeusperuste ja henkilötietojen käsittelyn tarkoitus
Henkilötietojen käsittelyn ensisijaisena perusteena on Helsinki Ear Instituten asiakkaan ja Helsinki Ear Instituten välinen asiakassuhde, asiakkaan suostumus, asiakkaan antama toimeksianto tai muu asiallinen yhteys.  EU:n yleisen tietosuoja-asetuksen mukaisia oikeusperusteita henkilötietojen käsittelylle lääkäriasemallamme ovat seuraavat:

  • Asiakassuhteen, asiakaspalvelun ja niihin liittyvän viestinnän ja markkinoinnin hoitaminen, toteuttaminen, kehittäminen ja seuranta.
  • Asiakassuhteiden analysointi, ryhmittely ja raportointi sekä muut kokonaisasiakkuuden ja Helsinki Ear Instituten liiketoiminnan kehittämiseen liittyvät tarkoitukset.
  • Viestinnän, markkinoinnin ja palveluiden kohdentaminen sekä kampanja-, kontakti- ja asiointihistorian hallinta.
  • Asiakaspalautteen ja asiakkaan tyytyväisyystietojen kerääminen ja käsittely.
  • Markkinatutkimusten ja mielipidekyselyiden toteuttaminen.

Henkilötietojen käsittelyn tarkoituksena on savuttaa hyvä ja laadukas hoito asiakkaan / potilaan kanssa sovitulla tavalla sekä tässä tarkoituksessa yhteydenpito asiakkaisiin. Tietoja ei käytetä automatisoituun päätöksentekoon tai profilointiin.

Henkilötietojen käsittelyn perusteena on asiakkaalta saatu yksilöity suostumus, joka ilmenee henkilötietovaltakirjasta. Ennen varsinaisen toimeksiantosopimuksen syntymistä henkilötietoja käsitellään vain siltä osin, kuin ne tulevat ilmi potentiaalisen asiakkaan omasta aloitteesta hänen ottaessaan yhteyttä lääkäriasemallemme. Tällöin tietoja käsitellään mahdollisen toimeksiannon vastaanottamisen arvioimisen tarkoituksessa. Mikäli asiaa ei oteta hoidettavaksi eikä kontakti siten johda toimeksiantoon, kaikki asiakirjat ym. tiedot palautetaan asiakkaalle, eikä hänen tietojaan jätetä toimistomme rekistereihin.

Henkilötietoja kerätään sekä suoraan rekisteröidyltä itseltään että hänen valtakirjassa antamallaan valtuutuksella muilta tahoilta. Tietoja hankitaan vain kulloisenkin toimeksiannon hoitamisen vaatimassa laajuudessa ja sen edellyttämiä tarkoituksia varten.

Mikäli kulloinkin hoidettavan asian selvittämiseksi on tarpeen hankkia muita asiakirjoja, näitä tilataan valtakirjan perusteella laadituilla asiakirjapyynnöillä terveydenhuollon toimintayksiköiltä, joissa asiakasta / potilasta on tutkittu ja hoidettu.

5. Rekisterin tietosisältö
Rekisteröidystä voidaan tallentaa muun muassa seuraavankaltaisia tietoja:

  • Nimi, kutsumanimi, henkilötunnus, asiakasnumero, sukupuoli, kieli, osoite, puhelinnumero, sähköpostiosoite ja muut tarpeelliset yhteystiedot.
  • Lähiomainen, huoltaja
  • Palvelujen käyttö- ja ostotiedot sekä markkinoinnin ja viestinnän toteutustiedot eri asiointi kanavissa, kuten internet- ja automaattipalveluissa.
  • Rekisteröidyn itse tuottama sisältö kuten asiakaspalaute sekä hänen itsestään antamat lisätiedot kuten asiakkuuteen liittyvät toiveet, tyytyväisyystiedot, kiinnostuksen kohteet, harrastustiedot tai muut vastaavat tiedot.
  • Tinnitus vaikeusarvio-kyselyn käyttäjän itse tallettamat tiedot käyttäjästä itsestään ja profiiliinsa liitetyistä muista henkilöistä.
  • Rekisteröityä mahdollisesti koskevaa vakuutusta, työterveyspalveluita ja –sopimusta, vastaavia seikkoja koskevia tietoja.
  • Rekisteröidyn toivomia ja käyttämiä palveluita maksutietoineen.
  • Tietoa henkilöistä, jotka ovat hoitaneet rekisteröityä. Ammattihenkilöitä, palveluita, toimintayksiköitä ja muita seikkoja koskevia muita toivomuksia tai muistiinpanoja.
  • Kieltoja, rajoituksia, suostumuksia ja muita valintoja.
  • Muita rekisterin tarkoitukseen liittyviä tietoja.
  • unnistamis- ja varmentamisvälineiden ja –palveluiden käyttöön liittyviä tarpeellisia tietoja.
  • Tiedon käsittelyyn liittyviä tietoja, kuten tallennuspäivämäärä ja tietolähde.

6. Tietojen säilytysaika

Potilasasiakirjoille on säädetty säilytysajat potilaan oikeusturvan ja laadukkaan hoidon valvonnan turvaamiseksi. Säilytysajoilla on merkitystä ennen kaikkea potilasvahinkoja koskevien korvausvaatimusaikojen suhteen. Potilasasiakirjoja säilytetään joko pysyvästi tai tietyn määräajan. Pysyvästi säilytettäviä potilasasiakirjoja ovat esimerkiksi perinöllisyyslääketieteellisen tutkimuksen ja hoidon aikana syntyneet asiakirjat, sekä puolustusvoimien terveydenhuollon asiakirjat. Myös 18 ja 28 päivinä syntyneiden henkilöiden julkisessa terveydenhuollossa syntyneet potilasasiakirjat on säädetty pysyvästi säilytettäväksi. Lain muutoksen johdosta kaikki ennen 1.5.1999 laaditut ja saadut asiakirjat säilytetään myös pysyvästi. Määräaikaisesti säilytetään suurinta osaa asiakirjoista. Pääsääntöinen määräaika potilasasiakirjojen säilytykselle on 12 vuotta potilaan kuolemasta tai jos kuolemasta ei ole tietoa, 120 vuotta potilaan syntymästä. Potilaan perustiedot ja keskeiset hoitotiedot, sekä potilaan hoitotahtoa koskevat asiakirjat ja niitä koskevat yhteenvedot kuuluvat kyseisen säilytysajan piiriin. Sama määräaika koskee merkintöjä, jotka on tehty potilaan hoidon suunnittelua, seurantaa ja arviointia varten.

Tiettyjen asiakirjojen säilytysaika sen sijaan loppuu 12 vuoden päästä asiakirjan laatimisesta. Tällaisia asiakirjoja ovat tutkimus- ja laskenta-aineistot. Muita säilytysaikoja ovat 12 ja 20 vuotta tai aika, jolloin asiakirjan käyttötarkoitus on saavutettu. Potilasasiakirjoja, näytteitä ja malleja, joiden lain mukainen säilytysaika on päättynyt, saa kuitenkin säilyttää, jos se on välttämätöntä potilaan hoidon toteuttamiseksi. Tällöin säilytystä on arvioitava aina viiden vuoden välein, ellei laista tai viranomaisen luvasta muuta johdu.

 Eri tietojen suhteen noudatetaan eri säilytysaikaa sen mukaan, mikä henkilötiedon käsittelyn kulloinenkin oikeusperuste on. 

7. Tietovarannot – missä tietoja säilytetään

Lääkäriasemallamme on henkilötietoja seuraavissa paikoissa:

– sähköisessä muodossa Google Drive -pilvipalvelussa ja Siro -pilvipalvelussa

– MessageLockTM - pilvipalvelussa

– työntekijöiden käytössä olevilla tietokoneilla

– asiakkaiden fyysisissä paperikansioissa

– asiakkaiden nimi- ja osoitetiedot laskutusta varten Helpostilasku-laskutusohjelmassa

– Microsoft- , Gmail- ja MMD.net webmail.vienet.fi -sähköpostikansioissa

– asioiden ratkaisut paperisina arkistossa lukitussa toimistossa

– työntekijöiden henkilökohtaisissa, toimistolla sijaitsevissa paperisissa työkalentereissa määräaikojen noudattamista varten

– työpuhelimissa esimerkiksi asiakkailta saatujen tekstiviestien muodossa

8. Säännönmukaiset tietolähteet
Rekisteriin tallennettavat tiedot saadaan asiakkaalta mm. sähköpostitse, puhelimitse, sopimuksista, asiakastapaamisista ja muista tilanteista, joissa asiakas luovuttaa tietojaan. Asiakkaan valtakirjalla osoittamalla suostumuksella tietoja hankitaan edellä eritellysti muilta tahoilta kuin asiakkaalta itseltään. Tietoja saadaan ensisijaisesti seuraavista lähteistä:

  • Rekisteröity itse ja rekisteröidyn asiakkuuteen tai asialliseen yhteyteen liittyvä palveluiden käyttö, viestintä sekä asiointiin ja muuhun toimintaan liittyvät tapahtumat.
  • Tunnistamis-, varmennus-, osoite-, päivitys-, luottotieto- tai muuta vastaavaa palvelua tarjoava osapuoli.
  • Väestörekisterikeskuksen väestötietojärjestelmä, vakuutusyhtiö, urheiluseura.
  • Helsinki Ear Institute ja muut luotettavat lähteet.

9. Tietojen säännönmukaiset luovutukset
Asiakastietoja ei luovuteta Helsinki Ear Instituten lukuun toimivien palveluiden ja viestinnän tuotantoon, kehittämiseen tai ylläpitoon osallistuvien osapuolien ulkopuolelle muuten kuin sopimuksen, muun suostumuksen ja säädösten mukaan.

10. Tietojen siirto EU:n tai ETA:n ulkopuolelle
Asiakastietoja ei pääsääntöisesti siirretä Euroopan unionin tai Euroopan talousalueen ulkopuolelle.

Rekisteritietoja säilytetään Internet-palvelimilla, joita hallinnoivat MMD Networks Oy ja Ropo Capital Oy. Sekä Microsoftin ja  Googlen tarjoamissa palveluissa, Google Drivessa sekä Gmail-ja Microsoft Office 365 -sähköpostipalvelimella. sesti ja vain niiden työntekijöiden toimesta, joiden työnkuvaan se kuuluu. Nämä vastaavat, että laitteiston fyysisestä ja digitaalisesta tietoturvasta huolehditaan asiaankuuluvasti. MMD Networks Oy, Ropo Capital sekä rekisterin ylläpitäjä huolehtivat siitä, että tallennettuja tietoja sekä palvelimien käyttöoikeuksia ja muita henkilötietojen turvallisuuden kannalta kriittisiä tietoja käsitellään luottamuksellisesti ja vain niiden työntekijöiden toimesta, joiden työnkuvaan se kuuluu.

11. Rekisterin suojauksen periaatteet

Rekisterin käsittelyssä noudatetaan huolellisuutta ja tietojärjestelmien avulla käsiteltävät tiedot suojataan asianmukaisesti. Kun rekisteritietoja säilytetään Internet-palvelimilla, niiden laitteiston fyysisestä ja digitaalisesta tietoturvasta huolehditaan asiaankuuluvasti.

Rekisterinpitäjä huolehtii siitä, että tallennettuja tietoja sekä palvelimien käyttöoikeuksia ja muita henkilötietojen turvallisuuden kannalta kriittisiä tietoja käsitellään luottamuksellisesti ja ainoastaan niiden työntekijöiden toimesta, joiden työnkuvaan se kuuluu. Henkilötietojen käsittelyyn osallistuvien työntekijöiden kanssa on tehty salassapitosopimukset.

Sähköpostiviestinnässä käytetään arkaluonteisista tiedoista viestittäessä suojattua Turvapostia - MessageLockTM, securemail.iaet.fi

a. manuaalinen aineisto
Manuaaliset asiakastiedot valvonnan alaisina asiakaskansioissa, säilytetään lukollisissa arkistokaapeissa.

b. ATK:lla käsiteltävät tiedot
Asiakasrekisteritietoja käsitellään automaattisen tietojenkäsittelyn (ATK) avulla, tietokoneella olevia tietoja käytetään käyttäjätunnuksilla ja salasanalla sekä potilastietojen käyttöä valvotaan  lokitiedostoin).

12. Tarkastusoikeus ja oikeus vaatia tiedon korjaamista

Jokaisella rekisterissä olevalla henkilöllä on oikeus tarkistaa rekisteriin tallennetut tietonsa ja vaatia mahdollisen virheellisen tiedon korjaamista tai puutteellisen tiedon täydentämistä.

Mikäli henkilö haluaa tarkistaa hänestä tallennetut tiedot tai vaatia niihin oikaisua, pyyntö tulee lähettää kirjallisesti rekisterinpitäjälle. Rekisterinpitäjä voi pyytää tarvittaessa pyynnön esittäjää todistamaan henkilöllisyytensä. Rekisterinpitäjä vastaa asiakkaalle EU:n tietosuoja-asetuksessa säädetyssä ajassa (pääsääntöisesti kuukauden kuluessa).

13. Muut henkilötietojen käsittelyyn liittyvät oikeudet

Rekisteröidyllä on oikeus peruuttaa suostumuksensa milloin tahansa. Suostumuksen peruuttaminen ei vaikuta suostumuksen perusteella ennen sen peruuttamista suoritetun käsittelyn lainmukaisuuteen. Rekisterissä olevalla henkilöllä on oikeus pyytää häntä koskevien henkilötietojen poistamiseen rekisteristä (”oikeus tulla unohdetuksi”).

Niin ikään rekisteröidyillä on muut EU:n yleisen tietosuoja-asetuksen mukaiset oikeudet, kuten henkilötietojen käsittelyn rajoittaminen tietyissä tilanteissa. Rekisteröidyllä on oikeus myös saada tietonsa siirretyksi asetuksessa tarkoitetulla tavalla.

Pyynnöt tulee lähettää kirjallisesti rekisterinpitäjälle. Rekisterinpitäjä voi pyytää tarvittaessa pyynnön esittäjää todistamaan henkilöllisyytensä. Rekisterinpitäjä vastaa asiakkaalle EU:n tietosuoja-asetuksessa säädetyssä ajassa (pääsääntöisesti kuukauden kuluessa). Rekisteröidyn pyynnön perusteella toimitetut tiedot ja rekisterinpitäjän toimet rekisterinpitäjän oikeuksien toteuttamiseksi ovat lähtökohtaisesti maksuttomia.

Rekisteröidyllä on myös aina oikeus tehdä valitus tietosuojaviranomaiselle.