Päivitetty 14.12.2018
Tie­to­suo­ja­se­los­te kun­tou­tuk­sen hen­ki­lö­tie­to­jen kä­sit­te­lys­tä

Tässä Tietosuojaselosteessa (jäljempänä ”seloste”) kerrotaan, kuinka Näkövammaisten liitto ry käsittelee kuntoutuksen potilaiden henkilötietoja.

1. Rekisterinpitäjä

Sovellettavan tietosuojalainsäädännön mukainen rekisterinpitäjä on Näkövammaisten liitto ry (jäljempänä "NKL ry"). NKL ry vastaa siitä, että henkilötietojasi käsitellään tätä selostetta ja sovellettavaa tietosuojalainsäädäntöä noudattaen. Sovellettavan tietosuojalainsäädännön ja Kelan tämänhetkisen ohjeistuksen mukaisesti rekisterinpitäjänä on Kelan lähettämien asiakkaiden osalta kaikilta osin NKL ry. 

Rekisterinpitäjän yhteystiedot:

Näkövammaisten liitto ry
Kuntoutus- ja majoituspalvelut
Y-tunnus: 0202748-5

Postisoite: PL 41, 00030 IIRIS

Käyntiosoite: Marjaniementie 74, 00930 Helsinki
puh. (vaihde)  09 396 041

Yhteyshenkilö:
Annamaija Ketola
kehittämispäällikkö
postiosoite: PL 41, 00030 Iiris
puh: 09 3960 4550

Tietosuojavastaava:
lakimies Elli Björkberg, Näkövammaisten liitto ry
tietosuoja@nkl.fi

2. Rekisterin käsittelijä

Mediconsult Oy (aik. FCG Talent Oy)
Y-tunnus:  2922700-6

3. Henkilötietojen käsittelyn tarkoitus ja oikeusperuste

Tietoja käytetään kuntoutuspalveluiden asiakkaiden kuntoutuksen suunnitteluun, toteuttamiseen ja seurantaan ja palveluja koskevaan tilastointiin.

EU:n yleisen tietosuoja-asetuksen ja kansallisen tietosuojalain lisäksi olennaisia rekisteriin sovellettavia erityislakeja ovat laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007), Laki sosiaalihuollon asiakkaan asemasta ja oikeuksista (812/2000) sekä Sosiaali- ja terveysministeriön asetus potilasasiakirjoista (298/2009).

Sosiaali- ja terveysministeriön internetsivuilla on lisätietoja asiakas- ja potilastietoihon sovellettavasta lainsäädännöstä.

Henkilötietojen käsittelyn perusteena voivat olla 
  • asiakkaan nimenomainen suostumus;
    • nimenomainen suostumus on tietosuoja-asetuksen mukainen edellytys erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelyyn; erityisiä henkilötietoryhmiä ovat muun muassa terveyttä koskevat tiedot
    • asiakas voi antaa suostumuksen esimerkiksi asiakkaan henkilötietojen saamiseen sosiaali- ja terveyspalveluita tarjoavilta viranomaisilta
  • asiakkaan kanssa tarvittaessa tehty sopimus kuntoutuksesta (muut kuin Kelan lähettämät asiakkaat)
  • lakisääteinen velvoite ja yleinen etu
    • henkilötietojen arkistointi tapahtuu tietosuoja-asetuksen ja henkilötietolain mukaan yleisen edun tarkoituksessa
    • henkilötietojen säilytystä ja arkistointia koskee lainsäädäntö kuten arkistolaki ja sosiaali- ja terveysministeriön asetus potilasasiakirjoista.

4. Rekisterin tietosisältö ja tietolähteet

Rekisteri on sekä sähköisessä muodossa että manuaalisena paperirekisterinä. Sähköisessä rekisterissä on ainoastaan NKL ry kuntoutuksen tuottamat materiaalit sisältäen seuraavia henkilötietoja:
  • henkilön nimi, henkilötunnus, osoite, puhelinnumero, sähköpostiosoite
  • tieto näkövammasta ja sen aiheuttamasta haitasta
  • mahdollinen muu kuntoutukseen vaikuttava sosiaali- ja terveystieto
  • kuntoutuksen tavoite
  • kuntoutuksen aikainen ohjelma ja siihen liittyvät tapaamiset
  • maksaja
  • kuntoutusseloste ja suositus jatkotoimenpiteistä.
Edellä mainitut tiedot kerätään asiakkaalta itseltään ja/tai asiakkaan suostumuksella sosiaali- ja terveyspalveluita tarjoavilta yksiköiltä.

Paperisena rekisteröidään kuntoutujaa koskevat muut asiakirjat, jotka kerätään asiakkaan suostumuksella kuntoutuksen maksajataholta (Kela), eri terveyden- ja sosiaalihuollon yksiköiltä sekä muilta tahoilta, kuten vakuutusyhtiöiltä ja eläkelaitoksilta. Kaikkien näiden asiakirjojen hankintaan ja käsittelyyn on saatu kuntoutujan nimenomainen suostumus.

5. Säännönmukaiset tietojen luovutukset ja tietojen siirto eu:n tai euroopan talousalueen ulkopuolelle

Säännönmukaiset tietojen luovutukset
  • Lainsäädännön edellyttämä luovutuksen viranomaisille
    • esimerkiksi Väestörekisterikeskukselle voidaan luovuttaa asiakkaan nimi ja syntymäaikatiedot rekisteröidyn kuolintietojen lisäämiseksi rekisteriin
  • Kuntoutujan nimi, sotu ja laskutustiedot luovutetaan NKL ry:n reskontran pitäjälle kunkin kuntoutusjakson jälkeen.
  • Muita luovutuksia tehdään vain rekisteröidyn allekirjoittaman valtakirjan nojalla.
Tietojen siirrot

Rekisterinpitäjä voi käyttää kolmatta osapuolta henkilötietojen käsittelyssä, jolloin kolmas osapuoli käsittelee tietoja rekisterinpitäjän lukuun rekisterinpitäjän ohjeiden ja rekisterinpitäjän ja käsittelijän kanssa erikseen sovitun sopimuksen mukaisesti. Henkilötietojen käsittelijä vastaa rekisterinpitäjän ohella rekisteröidyn tietojen lainmukaisesta käsittelystä. 
  • Tietojen siirto käsittelijälle perustuu palvelusopimuksiin
  • Tällä hetkellä (joulukuu 2018) rekisterinpitäjällä on henkilötietojen käsittelyä koskeva sopimus Mediconsult Oy:n kanssa. Henkilötietojen suojasta on huolehdittu sopimuksella.
  • NKL ry / Kuntoutus-Iiris ostaa silmälääkäripalveluja Ophta Oy:ltä. Yhtiön palveluksessa oleva silmälääkäri käsittelee kuntoutuksen rekisteritietoja. Silmälääkäri noudattaa NKL ry:n ohjeita ja käytäntöjä kuntoutujien potilas- ja henkilötietojen keräämisessä, luovuttamisessa, säilyttämisessä, suojaamisessa, hävittämisessä ja muussa käsittelyssä. 
Tietojen siirto EU- tai ETA-alueen ulkopuolelle
  • Ei säännönmukaisia tietojen siirtoja EU:n  tai ETA-alueen ulkopuolelle

6. Rekisterin säilytyspaikka ja suojauksen periaatteet

a) Manuaalinen aineisto

Asiakirjat säilytetään aakkosjärjestyksessä lukituissa arkistokaapeissa, jotka on sijoitettu asiakastietojen paperiarkistoon (asiakasarkisto), jonne pääsyoikeus on erikseen annettu. Asiakasarkisto on suojattu kulunvalvontajärjestelmällä.  Pääsyoikeuden myöntää kehittämispäällikkö. Kyseiset henkilöt noutavat asiakirjat kuntoutusjaksoa varten. He myös palauttavat asiakirjat arkistoon kuntoutusjakson päätyttyä. Asiakirjojen käsittelystä on annettu erilliset ohjeet sekä laadittu omavalvontasuunnitelma.

b) Sähköiseen Elbit-rekisteriin talletetut tiedot

Sähköiseen Elbit-rekisteriin talletetaan kuntoutujaa koskevat tiedot kohdan 4 mukaisesti. Rekisterin käyttöoikeus on kuntoutus- ja majoitusyksikön työntekijällä, joka tarvitsee tietoja asiakkaan palvelun toteuttamiseksi ja palautteen / yhteenvedon laatimiseksi. Terveydenhuollon ammattihenkilön asiakkaan hoidosta ja tutkimuksesta tehdyt potilastiedot tallennetaan rekisteriin potilastietoina ja niihin on käyttöoikeus vain kuntoutuslinjan ammattihenkilöllä.

Rekisteriä käyttävä henkilö tarvitsee henkilökohtaisen käyttäjätunnuksen ja salasanan päästäkseen rekisteriin.

Luvan käyttäjätunnuksen antamiseen myöntääkehittämispäällikkö. Käyttöoikeus päättyy välittömästi työsuhteen päätyttyä tai henkilön siirryttyä uusiin tehtäviin kuntoutus- ja majoituspalveluiden ulkopuolelle.

Rekisterin käytöstä jää järjestelmään lokitietoja. Rekisteritietojen käytön seurannasta on erillinen ohje. Lokitiedoista syntyy oma henkilörekisteri, jota koskee oma tietosuojaseloste.

Palvelin on sijoitettu NKL ry:n palvelinhuoneeseen, jonne pääsevät vain järjestelmäpalvelusta vastaavat henkilöt. Tila on suojattu kulunvalvontajärjestelmällä. Lisäksi palvelinhuoneessa on aktiivinen rikosilmoitinjärjestelmä, josta on yhteys vartiointiliikkeeseen. Huone on ilmastoitu ja palosuojattu. 

c) Työasema R:lle tallennetut asiakastiedot

Työasemaa käytetään kuntoutusjakson suunnittelussa ja toteutuksen seurannassa. Työasemalle on käyttöoikeus kuntoutus- ja majoituspalveluiden työntekijällä samoin ehdoin kuin sähköisessä Elbit-rekisterissä. R:lle tallennetut tiedot hävitetään välittömästi ko. kuntoutusjakson päätyttyä. Tietojen hävittämisestä vastaa tiedot tallentanut työntekijä. Osa järjestelmän tietokannasta on SQL-serverillä.

Näkövammaisten liitolla on omavalvontasuunnitelma, jossa on kuvattu mm. järjestelmään liittyvät riskit ja miten niiden suojaamiseen on varauduttu.

7. Henkilötietojen säilyttäminen

Tietojen säilytyksessä noudatetaan lakia sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (9.2.2007/159) sekä sosiaali- ja terveysministeriön asetusta potilasasiakirjoista (30.3.2009/298), joissa säännellään tarkemmin potilastietojen säilyttämisestä, arkistoinnista sekä erilaisista säilytysajoista.

Tavanomaisesti sekä manuaaliseen että sähköiseen rekisteriin sisältyvät tiedot poistetaan pysyvästi, kun 12 vuotta  on kulunut potilaan kuolemasta.

Paperit silputaan ja hävitetään tietoturvallisesti ja sähköisen rekisterin osalta tietojenkäsittelijä hoitaa tietojen tietoturvallisen hävittämisen.

8. Rekisteröidyn oikeudet

Jokaisella rekisteröidyllä on tietojensa käsittelyä koskevia seuraavia oikeuksia:
  • Tarkastusoikeus eli oikeus tarkistaa rekisteriin tallennetut henkilötiedot.
  • Jos tiedoissa ilmenee virheellisyyksiä tai puutteita, voi rekisteröity pyytää korjaamaan tai täydentämään tiedot oikeiksi.
  • Vastustamisoikeus eli oikeus vastustaa henkilötietojensa käsittelyä, mikäli rekisteröity kokee, että henkilötietoja on käsitelty lainvastaisesti tai tapahtuu ilman asianmukaista oikeutta.
  • Poisto-oikeus eli oikeus pyytää poistamaan rekisteriin tallennettuja tietoja. Rekisteröidyllä on lisäksi oikeus rajoittaa tietojen käsittelyä.
    • pyynnöstä huolimatta rekisterinpitäjä voi säilyttää ja käsitellä tietoja esimerkiksi arkistotarkoituksiin sekä muihin lainmukaisiin tarkoituksiin
  • Oikeus siirtää henkilötietoja toiseen rekisteriin, jos se on teknisesti mahdollista
    • vain kun käsittelyperusteen on rekisteröidyn suostumus tai  sopimus
    • mahdollinen, jos tiedot on toimitettu rekisterinpitäjälle yleisesti käytettävissä olevassa koneellisesti luettavassa muodossa
    • lisäksi edellytyksenä on, että tietoja käsitellään automaattisesti.
Rekisteröidyn pyyntöjen toteuttaminen

Pyyntö tietojen tarkistamiseen, käsittelyn kieltämiseen tai poistamiseen tulee tehdä rekisterinpitäjälle osoitetulla omakätisesti allekirjoitetulla tai sitä vastaavalla tavalla varmennetulla asiakirjalla tai henkilökohtaisesti rekisterinpitäjän luona. Käsittelyn voi kieltää ja tietoja voi pyytää poistettavaksi käyttämällä asiamiestä. Asiamiehellä tulee olla tietoja poistamista tai käsittelyn kieltämistä koskeva yksilöity valtakirja. Rekisteröity voi käyttää pyyntöjen toteuttamisessa myös avustajaa.

Mikäli kyseessä on alaikäisen kuntoutujan tietojen tarkistaminen, pyyntö käsitellään tapauskohtaisesti noudattaen lain, tietosuojavaltuutetun sekä oikeuskäytännössä vakiintuneita ohjeita.

Rekisterinpitäjä voi kieltäytyä toteuttamasta vastustamista tai poistoa koskevaa pyyntöä ainoastaan laissa säädetyin perustein.

Rekisterinpitäjä käsittelee pyynnön EU:n tietosuoja-asetuksessa säädetyssä ajassa (pääsääntöisesti kuukauden kuluessa).

Kirjalliset tarkastuspyynnöt osoitetaan kuntoutuksen kehityspäällikölle:
Annamaija Ketola
PL 41, 00030 Iiris
p. (09) 3960 4550

Oikeus saattaa asia tietosuojavaltuutetun käsiteltäväksi

Rekisteröidyllä on oikeus saattaa asia tietosuojavaltuutetun käsiteltäväksi, jos rekisteröity katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan sitä koskevaa lainsäädäntöä.

Tietosuojavaltuutetun yhteystiedot löytyvät tietosuojavaltuutetun verkkosivuilta.

Rekisteröidyllä on myös oikeus vaatia, että kiistanalaisten tietojen käsittelyä rajoitetaan siksi aikaa, kunnes asia saadaan ratkaistuksi.