TIETOSUOJASELOSTE

Päivitetty 24.11.2023

(Henkilötietolaki 523/1999 10)

Tämä on Fysioterapeutti Sanni Mero – yrityksen henkilötietolain (10 & 23 §) ja EU:n yleisen tietosuoja-asetuksen (GDPR) mukainen rekisteri- ja tietosuojaseloste. Laadittu 10/2018. Päivitetty viimeisimmän kerran 28.6.2024.

Asiakkaiden henkilötietoja käsitellään asianmukaisesti, huolellisesti ja turvallisesti ja niitä kerätään, jotta yritys pystyy tarjoamaan asiakkailleen parasta mahdollista palvelua. Samaa edellytetään yrityksen yhteistyökumppaneilta.

 

Rekisterin pitäjä

Sanni Mero/ Fysioterapeutti Sanni Mero 

044 0822 422

merosanni@gmail.com

sanni@sannimero.fi

Y-tunnus 2688405-1

 

Yhteyshenkilö rekisteriä koskevissa asioissa

Sanni Mero 

044 0822 422

merosanni@gmail.com

sanni@sannimero.fi

 

Rekisterin nimi 

Fysioterapeutti Sanni Meron potilas- ja asiakastietorekisteri

 

Rekisteriin liittyvät sivustot

https:// sannimero.fi

https:// sannimero.mykajabi.com

 

Henkilötietojen käsittelyn tarkoitus

Fysioterapeutti Sanni Meron potilas- ja asiakastietorekisterin henkilötietojen käsittelyn tarkoituksena on mahdollistaa asiakkaan tutkimus, hoito ja kuntoutus sekä ostettujen verkkotuotteiden toimitus (kirjautumistiedot kurssialustalle) ja laskutus. Lisäksi tietoja käsitellään yksilöhoidon suunnittelussa, toteutuksessa ja seurannassa, tarvittavassa yhteydenpidossa, tietojen arkistoinnissa, markkinoinnissa, laadunvalvonnassa ja neuvonnassa.

Myös palveluiden laskutusta ja mahdollisia perintäasioita varten tarvitaan henkilötietojen käsittelyä. Lisäksi henkilötietoja voidaan tarvittaessa joskus käyttää terveydenhuollon toiminnan suunnitteluun, tilastointiin, arviointiin ja tieteelliseen tutkimustoimintaan.

Henkilötietojen käsittely ja tallentaminen potilas- ja asiakastietorekisteriin on edellytys Fysioterapeutti Sanni Meron tuottamien vastaanotto-, koulutus- & verkkopalveluiden käyttöön. 

Henkilötietojen käsittely perustuu asiakassuhteeseen (Henkilötietolain 8 § 1 mom 5) tai verkkotuotteen ostoon. Arkaluonteisten tietojen käsittely perustuu yrityksen toimialaan (Henkilötietolain 12 § 1 mom 10) kohta) ja tällä tarkoitetaan vastaanottotyön yhteydessä käsiteltäviä tietoja. 

Henkilötietojen käsittelyyn liittyvät oikeusperusteet ovat seuraavat;

  • Laki potilaan asemasta ja oikeuksista (785/92) 4 luku
  • Sosiaali- ja terveysministeriön asetus potilasasiakirjoista (298/2009)
  • EU:n yleinen tietosuoja-asetus 6 artiklan 1.c) kohta ja 9 artiklan 2.h) kohta (terveystietojen käsittely)
  • Henkilötietolaki 12 ja 13 §:t -> Tietosuojalaki (XX/2018) 29 § (henkilötunnuksen käsittely)

Potilaslain mukaan vastaanottotyössä Fysioterapeutti Sanni Merolla on lakisääteinen velvollisuus potilasasiakirjojen laatimiseen, jokainen terveydenhuollon ammattihenkilö on velvollinen merkitsemään potilasasiakirjoihin potilaan hoidon järjestämistä, suunnittelua, toteutusta ja seurantaa turvaamaan tarvittavat tiedot. Potilasasiakirjojen laatimisesta ja käyttötarkoituksen perusteella määräytyvistä säilytysajoista säädetään tarkemmin sosiaali- ja terveysministeriön asetuksella.

Rekisterin tietosisältö

Potilastietorekisteri pitää sisällään seuraavat, tai osan seuraavista henkilötiedoista:

  • Koko nimi
  • Henkilötunnus
  • Yhteystiedot (kotiosoite, puhelinnumero ja sähköpostiosoite)
  • Asiakkaan yhteyshenkilö / alaikäisen asiakkaan huoltaja) ja tämän henkilön yhteystiedot ja tarvittaessa henkilötunnus
  • Asiakkaan hoidon kannalta välttämättömät terveystiedot ja esitiedot (mm. kertomustiedot ja potilaskorttitiedot, lähetteet sekä lausuntotiedot)
  • Hoidon kannalta tarvittavat aiemmat tutkimustiedot (mm. laboratorio-, kuvantamis- ja muut tutkimustiedot)
  • Ajanvaraustiedot
  • Laskutustiedot
  • Merkinnän tekijän nimestä, asemasta ja ajankohdasta sekä tietojen lukijan tiedot 
  • Potilaan toimittamat tai hänen suostumuksellaan hankitut, muualta saadut terveystiedot, jotka otetaan tarpeen mukaan osaksi terveyskertomusta 
  • Tieto asiakirjojen saapumisesta ja lähteestä
  • Tietojen tallentamista ja luovuttamista koskevat luvat/ kiellot
  • Mahdolliset tietojen luovutuksia koskevat tiedot ja luovutusten perusteet

 

Lisäksi mahdollisilta maksusitoumusasiakkailta kerätään seuraavia tietoja:

  • Työnantaja ja sen yhteystiedot (jos työterveyden maksusitoumus)
  • Työsuhdetta kuvaavat tiedot (mukaan lukien osasto/toimipiste, ammattinimike ja muut vastaavat tiedot)
  • Vakuutusyhtiötiedot (jos vakuutusyhtiön maksusitoumus)
  • Maksutiedot

 

Lisäksi verkkotuotteita ostavilta asiakkailta kerätään oston yhteydessä seuraavia tietoja:

  • Nimi
  • Sähköpostiosoite
  • Pankkikorttitiedot verkko-ostoksen yhteydessä (joita ei kuitenkaan tallenneta oston yhteydessä)
  • Verkkoyhteyden IP-osoite
  • Tiedot tilatuista / ostetuista palveluista

 

Lisäksi koulututuksiin / työpajoihin osallistuvilta asiakkailta kerätään ilmoittautumisen yhteydessä seuraavia tietoja:

  • Nimi
  • Yrityksen nimi
  • Y-tunnus
  • Laskutustiedot
  • Sähköpostiosoite
  • Puhelinnumero
  • Tiedot ostetuista palveluista

 

Säännönmukaiset tietolähteet

Yllä mainitut tiedot saadaan pääasiallisesti asiakkaalta itseltään tai alaikäisen asiakkaan huoltajalta, puhelimitse, tekstiviestitse, sähköpostitse, verkkoajanvarauksen kautta, sosiaalisen median palveluiden kautta, sopimuksista, asiakastapaamisista ja muista tilanteista, joissa asiakas luovuttaa tietojaan yrityksen palveluiden hankkimiseksi. Lisäksi tietoja vastaanotolla käyvistä asiakkaista voidaan saada lähettäneiden lääkäreiden kautta, asiakkaan suostumuksella toisista terveydenhuollon toimintayksiköistä tai joskus väestörekisterikeskukselta. Tiedoiksi luetaan myös tutkimusten ja hoidon yhteydessä asiakkaasta muodostettuja tietoja. Verkkotuotteiden oston yhteydessä tietoja saadaan https://sannimero.mykajabi.com sivuston ja Stripe-korttimaksuyhteyden kautta. Näitä tietoja ovat asiakkaan nimi & sähköpostiosoite, pankkikorttitietoja ei tallenneta verkkotuotteiden korttimaksun yhteydessä.

 

Rekisterin suojaaminen ja tietojen käsittelyn periaatteet

Fysioterapeutti Sanni Mero noudattaa asiakastietoja käsitellessään lainsäädännön asettamia huolellisuus- ja suojaamisvelvoitteita sekä hyvää tiedonhallintatapaa. Potilastietorekisterin tiedot ovat salassa pidettäviä ja Fysioterapeutti Sanni Mero näin ollen salassapito- ja vaitiolovelvollinen. Tietoja käsittelee vain potilaan hoitoon osallistuva/ osallistuvat henkilöt. Tämä salassapito- ja vaitiolovelvollisuus jatkuu myös mahdollisen yritystoiminnan päättymisen jälkeen. 

Asiakasietojen suojaamiseksi Fysioterapeutti Sanni Mero noudattaa myös hyvää käyttäjätunnusten käytönhallintaa ja arkiston säilytystapaa. Potilastiedot (manuaalinen kirjaus) ovat tallennettuina vaadittavien säännösten mukaan lukituissa tiloissa (kahden lukon takana) ja verkkokurssialusta (Kajabi) ja korttimaksualusta (Stripe) ja niille tallennetut tiedot ovat suojattuina palomuurin, sisäänkirjautumistunnusten ja salasanojen taakse. Kirjautumistunnukset ja salasanat ovat ainoastaan järjestelmiä (Kajabi, Stripe) käyttävän henkilön (Sanni Mero) hallussa. Avaimet manuaaliseen arkistoon ovat vain tietoja työnsä perusteella käsittelevällä henkilöllä (Fysioterapeutti Sanni Mero). 

Niissä tapauksissa, joissa rekisteritietoja säilytetään internet-palvelimilla, niiden laitteiston fyysisestä ja digitaalisesta tietoturvasta huolehditaan asiaankuuluvasti. Palvelimien käyttöoikeuksia ja muita henkilötietojen turvallisuuden kannalta kriittisiä tietoja käsitellään luottamuksellisesti ja vain niiden työntekijöiden toimesta, joiden työnkuvaan se kuuluu.

 

Tietojen säännönmukaiset luovutukset

Pääsääntöisesti Fysioterapeutti Sanni Mero ei luovuta rekisterissä olevia potilas- ja asiakastietoja kolmansille osapuolille. Poikkeuksena perustietoja (ei potilastietoja) voidaan tarvittaessa luovuttaa sellaisille toimijoille, jotka käsittelevät tietoja rekisterinpitäjän lukuun, esimerkiksi kirjanpitäjälle. Tietoja ei pääsääntöisesti luovuteta EU:n tai Euroopan talousalueen ulkopuolelle. Jotkut alustat, kuten Kajabin verkkokurssialusta tai Stripe-korttimaksuyhteysalusta, saattavat kuitenkin säilyttää dataansa EU:n ulkopuolella. Kaikki Fysioterapeutti Sanni Meron käyttämät palveluntarjoajat ovat sitoutuneet EU:n privacy Shield – standardiin.

Asiakastietoja voidaan luovuttaa ensisijaisesti asiakkaan tai toissijaisesti hänen laillisen edustajansa suostumuksella, tai nimenomaisen lainsäännöksen nojalla. Tilanteissa, joissa tietojen luovuttaminen edellyttää asiakkaan omaa suostumista, on asiakkaalla on oikeus milloin tahansa myös peruuttaa antamansa suostumus.

Tilanteessa, jossa vastaanottopalvelun (fysioterapia) maksajana on esimerkiksi vakuutusyhtiö tai työteveyshuolto, laskun liitteenä toimitetaan laskutuksen oikeellisuuden tarkistamiseksi tarpeelliset tiedot (ketä on hoidettu, mitä toimenpiteitä on tehty, kustannukset).

Jos asiakas on alaikäinen, mutta kykeneväinen ikänsä ja kehitystasonsa puolesta päättämään hoidostaan, on hänellä tuolloin oikeus kieltää terveydentilaansa ja hoitoaan koskevien tietojen antaminen huoltajalleen tai muulle lailliselle edustajalleen tai hän voi myös kieltää tietojensa käytön toisissa terveydenhuollon toimintayksiköissä. 

Tilanteessa, jossa asiakas itse ei ole kyvykäs arvioimaan annettavan tietojenluovutus-suostumuksen merkitystä (mielenterveyshäiriö, kehitysvammaisuus, tm. syy, eikä laillista tilanteeseen tarkoitettua edustajaa), voidaan potilaan tutkimuksen ja hoidon järjestämiseksi välttämättömiä tietoja luovuttaa ilman potilaan suostumusta toiselle suomalaiselle tai ulkomaiselle terveydenhuollon toimintayksikölle tai ammattihenkilölle. Lisäksi näin menetellään, jos suostumusta ei voida saada potilaan tajuttomuuden tai siihen rinnastettavan syyn vuoksi (Laki potilaan asemasta ja oikeuksista 785/1991, 13 §). Tällaisessä tilanteessa hoidettavan asiakkaan tietoja hoidossa olosta ja terveydentilasta saadaan lain mukaan antaa myös asiakkaan lähiomaiselle, jollei ole painavaa syytä olettaa että asiakas kieltäisi kyseisen menettelyn. 

Tuomioistuimelle tai viranomaisille, joilla on lakiin perustuva oikeus tiedon saantiin, tiedot annetaan kirjallisen ja yksilöidyn pyynnön perusteella pääsääntöisesti lausuntoina ko. asian vaatimassa laajuudessa. Pyytäjän on näissä tilanteissa ilmoitettava lainkohta pyynnön perusteeksi.

Asiakirjatietoja voidaan tarvittaessa luovuttaa mahdolliseen tieteelliseen tutkimukseen,potilaslain 13.4 §:ssä säädetyn mukaisesti.  

 

Tarkastusoikeus ja oikeus vaatia tiedon korjaamista

Fysioterapeutti Sanni Meron asiakkaalla on oikeus tarkistaa potilastietorekisteriin tallennetut itseään koskevat henkilötiedot ja vaatia mahdollisen virheellisen tiedon korjaamista tai puutteellisen tiedon täydentämistä. Mikäli asiakas on lapsi, myös tämän huoltajalla on pääsääntöisesti oikeus tarkastaa lastaan koskevat tiedot.

Mikäli asiakas haluaa tarkistaa itsestään tallennetut tiedot tai vaatia niihin oikaisua, pyyntö tarvitaan kirjallisena rekisterinpitäjälle (Fysioterapeutti Sanni Mero) ja tarvittaessa rekisterinpitäjä voi pyytää asiakasta todentamaan henkilöllisyytensä ennen tietojen luovutusta. Tiedon korjaus toteutetaan lainsäädännön edellyttämällä tavalla siten, että muun muassa tiedot tehdystä oikaisusta sekä alkuperäisestä merkinnästä ilmenevät Potilastietorekisteristä. Tiedon oikaisemista tai poistamista ei voida kuitenkaan suorittaa potilaan vaatimalla tavalla, jos tieto potilaan tutkimuksen tai hoidon kannalta arvioiden on tarpeellinen/välttämätön ja tiedon tallentamiselle on lain mukaiset perusteet. Hoitovastuuseen liittyvien syiden vuoksi on terveydenhuollon rekistereissä säilytettävä myös aikaisempi tieto asianmukaisin korjausmerkinnöin (Sosiaali- ja terveysministeriön asetus potilasasiakirjoista 289/2009).

Vaatimuksen tietojen oikaisemiseksi tai poistamiseksi voi tehdä kirjallisesti. Vaatimus tulee yksilöidä ja perustella riittävästi. Korjauksen tekee alkuperäisen kirjauksen tehnyt henkilö (Fysioterapeutti Sanni Mero).

  • Pyyntöihin tietojen tarkistamisesta tai korjaamisesta Fysioterapeutti Sanni Mero vastaa pääsääntöisesti 1 kuukauden kuluessa (EU:n tietosuoja-asetus 16. artikla).

 

Henkilötietojen säilytysaika

Potilastietorekisteriin kerättyjä asiakastietoja säilytetään sosiaali- ja terveysministeriön potilasasiakirjoista antaman asetuksen (298/2009) mukaisesti. Potilastietojen käsittelyä koskevat lokitiedot säilytetään vähintään 12 vuotta niiden syntymisestä. Muita potilastietorekisteriin sisältyviä tietoja, kuten laskutusta ja perintää koskevia tietoja säilytetään käsittelyn kannalta tarpeellisen ajan verran, tai lainsäädännön (esim. kirjanpitolaki) edellyttämällä tavalla.

Verkkokurssien, webinaarien, koulutuspaikkojen & työpajapaikkojen varausten & ostojen yhteydessä kerättyjä tietoja säilytetään vain sen ajan, kun se on asianmukaista tai kunnes tilaaja ilmoittaa haluavansa poistaa tietonsa sähköpostilistalta. Verkko-ostosten yhteydessä kerättyjä tietoja asiakas voi myös itse pyytää poistettavaksi rekisteristä.

 

Muut ehdot

Erimielisyystilanteet Fysioterapeutti Sanni Mero pyrkii aina ratkaisemaan asiakkaan kanssa keskustelemalla. Asiakkaalla on kuitenkin oikeus saattaa henkilötietojensa käsittelyä koskeva erimielisyys tarvittaessa myös tietosuojaviranomaisen tutkittavaksi.