1 Yksityisyytesi suojaaminen

Pihlajalinna pitää kaikkien sen palveluita käyttävien asiakkaiden yksityisyyttä erittäin tärkeänä. Pihlajalinna sitoutuu suojaamaan asiakkaan yksityisyyttä Pihlajalinnan palveluiden käyttäjänä ja noudattamaan potilastietojen käsittelyä ja tietosuojaa koskevaa lainsäädäntöä. Yksityiselämän suojaaminen on tärkeä osa Pihlajalinnan vastuullisen liiketoiminnan periaatteita. Pihlajalinna käsittelee keräämiään asiakasta koskevia potilastietoja tietosuojaselosteessa kuvattujen ehtojen mukaisesti.

2 Rekisterinpitoa koskevat yleiset tiedot

Henkilörekisterin nimi: Kunkin yhtiön potilasrekisteri ("Potilastietorekisteri").

Rekisterinpitäjänä toimii: Kukin Pihlajalinna-konserniin kuuluva yhtiö

Pihlajalinnan tuottamien terveyspalvelujen osalta, joissa Pihlajalinna on rekisterinpitäjä (mm. työterveyshuollon palvelut), rekisterinpitäjänä toimii Pihlajalinna Terveys Oy, tai muu Pihlajalinna konserniin kuuluva yhtiö, jotka on lueteltu alla. Kaikki rekisterinpitäjät ovat tavoitettavissa Pihlajalinna Terveys Oy:n kautta.

Yhtiöt:

Pihlajalinna Terveys Oy, y-tunnus 2303024-5 Pihlajalinna Lääkärikeskukset Oy, y-tunnus 2452505-5 Lääkäriasema DokTori Oy, y-tunnus 2617382-3 Linnan Klinikka Oy, y-tunnus 0878086-5 Pihlajalinna Ikioma Oy, y-tunnus 2519853-5 Pihlajalinna Kainuu Oy, y-tunnus 3136375-2

Yhteystiedot: PL 110 33101 Tampere

Rekisterinpitäjän edustajat: Valtakunnallisesti Pihlajalinna-konsernin lääketieteellinen johtaja Sari Riihijärvi, 010 312 010, [email protected]. Paikallisena edustajana toimii kunkin yksikön terveydenhuollon palveluista vastaava johtaja.

Jos asia koskee henkilötietojen käsittelyä tai EU:n yleiseen tietosuoja-asetukseen ((EU 2016/679) perustuvien oikeuksien käyttämistä, voit olla yhteydessä rekisterinpitäjän tietosuojavastaavaan sähköpostitse: Marika Vihervaara, p. 010 312 010, [email protected]

Mikäli terveyspalvelut tuottaa Pihlajalinnassa toimiva itsenäinen palveluntuottaja tai tämän yhtiö, määräytyy rekisterinpito seuraavasti:

Pihlajalinna ja Pihlajalinnan tiloissa toimiva palveluntuottaja ovat EU:n yleisen tietosuoja-asetuksen 26 artiklan mukaisia yhteisrekisterinpitäjiä, kun palveluntuottaja pitää yksityisvastaanottoa ja käyttää Pihlajalinnan potilastietojärjestelmiä. Pihlajalinna vastaa potilasrekisterin teknisestä ylläpidosta sekä potilastietojen säilyttämisestä. Palveluntuottaja vastaa potilasasiakirjojen laatimisesta ja tietojen oikeellisuudesta niitä kirjoittaessaan. Kukin yhteisrekisterin rekisterinpitäjä on vastuussa rekisterin laillisesta käytöstä.

Pihlajalinna toimii ensisijaisena yhteyspisteenä rekisteröityjen oikeuksien käyttämistä koskevissa pyynnöissä. Rekisteröidyt voivat kuitenkin käyttää oikeuksiaan suhteessa kumpaankin yhteisrekisterinpitäjään. Kukin yhteisrekisterinpitäjä varmistaa osaltaan, että rekisteröityjen oikeudet toteutuvat asianmukaisesti.

Eri rekisterinpitäjien rekisterit pidetään teknisesti erillään, eikä niiden sisältämiä tietoja voi lähtökohtaisesti luovuttaa ilman asiakkaan kirjallista suostumusta. Myös esimerkiksi työterveyshuollon asiakkaiden tiedot muodostavat oman erillisen osarekisterin, joka on teknisesti erillään muusta potilasrekisteristä, ja johon pääsyä on rajoitettu käyttöoikeuksien avulla.

3 Henkilötietojen käsittelyn tarkoitus ja käsittelyn peruste

Potilastietorekisterin henkilötietojen käsittelyn tarkoituksena on asiakkaan hoidon järjestäminen seuraavasti:

• asiakkaan tutkimuksen, hoidon ja kuntoutuksen järjestäminen, suunnittelu, toteutus, seuranta, arkistointi, laadunvalvonta ja neuvonta sekä sairauksien ehkäiseminen;

• terveydenhuollon toiminnan suunnittelu, tilastointi, seuranta, arviointi ja tieteellinen tutkimustoiminta;

• laskutus ja perintä; sekä

• työterveyshuoltopalveluiden tuottaminen yrityksille ja yhteisöille

• toisiolain mukaisesti tietoja käytetään tietojohtamiseen

• asiakkaiden ja asiakaspalvelukeskuksen välistä yhteydenpitoa (esim. puhelut ja chat-keskustelut) voidaan tallentaa asiakaspalveluhenkilöstön koulutuksen kehittämiseksi ja palvelun laadun varmistamiseksi sekä palvelutapahtuman todentamiseksi.

Pihlajalinnan asiakkaaksi tulon edellytyksenä on, että henkilöstä voidaan tallentaa tietoja Potilastietorekisteriin. Potilastietorekisterissä olevien tietojen käsittely perustuu Pihlajalinnan lakiperusteiseen velvollisuuteen käsitellä potilastietoja, hoitosuhteeseen perustuvaan Pihlajalinnan oikeutettuun etuun sekä joissakin tapauksissa asiakkaan antamaan suostumukseen. Tekoälyavusteista dokumentointia käytetään terveydenhuollon ammattihenkilön työn tukena, mutta sen perusteella ei tehdä potilaaseen kohdistuvia automatisoituja päätöksiä.

Kun Pihlajalinna saa asiakkaalta oikeat ja kattavat tiedot, Pihlajalinna voi tarjota asiakkaalle mahdollisimman hyvää hoitoa ja palvelua.

4 Rekisterin tietosisältö ja tietolähteet

Potilastietorekisteriin kerätyt henkilötiedot ovat pääasiassa joko asiakkaan itsensä tai hänen huoltajansa antamia tietoja taikka tutkimusten ja hoidon yhteydessä asiakkaasta muodostettuja tietoja. Lisäksi tietoja rekisteriin tulee asiakkaan suostumuksella esim. toisilta hoitolaitoksilta ja vakuutusyhtiöiltä.

Asiakkaan tietoja voidaan kuitenkin myös lainsäädännön sallimissa rajoissa yhdistää ja niitä voidaan täydentää muista lähteistä saatavilla olevilla sekä tällaisista lähteistä johdetuilla tiedoilla, kuten muista terveydenhuoltolaitoksista asiakkaan tai hänen huoltajansa suostumuksella hankituilla tiedoilla tai Digi- ja väestötietovirastosta saatavilla tiedoilla.

Potilastietorekisteri voi pitää sisällään seuraavia henkilötietoja:

• koko nimi;

• henkilötunnus;

• yhteystiedot (mukaan lukien osoite, puhelinnumero ja sähköpostiosoite);

• asiakkaan yhteyshenkilö (mukaan lukien asiakkaan nimeämä lähiomainen sekä alaikäisen asiakkaan huoltaja(t)) ja näiden yhteystiedot ja tarvittaessa henkilötunnus;

• asiakkaan hoidon kannalta välttämättömät terveystiedot ja esitiedot (mukaan lukien kertomustiedot, lähetteet sekä lausuntotiedot);

• tutkimustiedot (mukaan lukien laboratorio-, kuvantamis- ja muut tutkimustiedot);

• terveyskyselyiden tiedot;

• ajanvaraustiedot;

• laskutus- ja maksutiedot sisältäen mahdolliset vakuutustiedot;

• merkinnän tekijän nimi, asema ja ajankohta sekä tietojen lukijan tiedot; sekä

• tieto asiakirjojen saapumisesta ja lähteestä;

• asiakkaan antamat tahdonilmaisut ja suostumukset;

• asiakkaan tunnistamiseen liittyvät tiedot;

• puhelun soittajan puhelinnumero, vastaanottajan tunniste, ajankohta ja puhelunauhoite.

Työterveyshuollon asiakkaista kerätään lisäksi seuraavia tietoja:

• työnantaja ja sen yhteystiedot;

• työsuhdetta kuvaavat tiedot (mukaan lukien osasto/toimipiste, ammattinimike ja muut vastaavat tiedot);

• vakuutusyhtiötiedot;

• työpaikkaan mahdollisesti liittyvät terveydelliset vaarat ja riskitekijät.

Etäasioinnin välityksellä asiakas voi toimittaa Pihlajalinnalle lisäksi seuraavia henkilötietoja:

• video (asiakkaan suostumuksella avattu videoyhteys)

• ääni (asiakkaan suostumuksella avattu ääniyhteys)

• asiakkaan lähettämät valokuvat ja videot

• mahdollisella asiakkaan etätutkimusvälineistöllä lähetetyt muut tiedot kuten esim. sydämen ja keuhkojen auskultaatioäänet, video- ja valokuvat sekä syketiedot ja kehon lämpötila.

Tekoälyavusteisen dokumentoinnin yhteydessä voidaan käsitellä vastaanotolla käydyn keskustelun puhetta ja siitä muodostettua tekstimuotoista litterointia sekä potilasasiakirjamerkinnän luonnosta. Tiedot muodostuvat vastaanottotilanteessa käydystä potilaan ja terveydenhuollon ammattihenkilön välisestä keskustelusta.

5 Rekisterin suojaaminen ja tietojen käsittelyn periaatteet

Pihlajalinna noudattaa potilastietoja käsitellessään tiukasti lainsäädännön asettamia huolellisuus- ja suojaamisvelvoitteita sekä hyvää tiedonhallintatapaa. Pihlajalinna varmistaa aina potilastietoja käsitellessään, että tietojen käsittely on asiallisesti perusteltua ja tarpeellista kuvattuihin käyttötarkoituksiin nähden.

Potilastietorekisterin tiedot ovat salassa pidettäviä ja niiden käsittelyyn osallistuvat henkilöt ovat salassapito- ja vaitiolovelvollisia. Tämä salassapito- ja vaitiolovelvollisuus jatkuu myös palvelussuhteiden päätyttyä. Pihlajalinna rajoittaa potilastietoja käsittelevien henkilöiden piiriä. Potilastietoihin on pääsy vain sellaisella Pihlajalinnan tai sen yhteistyökumppaneiden henkilöstöllä, jolla on työtehtäviensä perusteella tarpeellista käsitellä potilastietoja.

Potilastietojen suojaamiseksi Pihlajalinna noudattaa myös tarkkaa käyttäjätunnusten käytönhallintaa. Potilastietojärjestelmä ja siihen tallennetut tiedot on suojattu muun maussa käyttöoikeuksien rajoituksin ja salasanoin, jotka ovat ainoastaan kyseisen järjestelmän käyttäjiksi valtuutettujen henkilöiden hallussa. Pihlajalinna seuraa ja valvoo aktiivisesti ja tiukasti potilastietojen käsittelyä lainsäädännön edellyttämällä tavalla mm. lokitietojen avulla.

6 Tietojen luovutukset ja siirrot

Potilastiedot ovat arkaluonteisia henkilötietoja. Luovutamme potilastietojasi kolmansille osapuolille ainoastaan suostumuksellasi tai lainsäädäntöön perustuen. Tällaisia lainsäädäntöön perustuvia luovutuksia ovat esim. Kelan ylläpitämä valtakunnallinen tietojärjestelmäpalvelu (Kanta-palvelut) Terveyden ja Hyvinvointilaitos (THL) ja vakuutusyhtiöt lakisääteisten vakuutusten osalta. Yksityisasiakkaiden vapaaehtoisten vakuutusten osalta tarpeellisia tietoja luovutetaan asiakkaan suostumuksen perusteella.

Lisäksi tietoja voidaan luovuttaa tutkimuskäyttöön sekä kehittämis- ja innovaatiotoimintaan potilastietoja koskevan lainsäädännön mukaisesti.

Luovutamme potilastietoja Pihlajalinnan ulkopuolelle toisille sosiaali- ja terveydenhuollon palvelunantajille joko sovellettavan lainsäädännön tai antamasi luovutusluvan nojalla. Voit hallinnoida tietojesi luovutuksia eri sosiaali- ja terveydenhuollon palvelunantajien välillä antamalla luovutusluvan Kanta-palvelussa. Lisätietoja saat osoitteesta www.kanta.fi

Saatamme siirtää henkilötietojasi Pihlajalinnan toimeksiannosta käsitteleville palveluntarjoajille ja alihankkijoille, jotta voimme toteuttaa tarvitsemasi palvelun.

Pihlajalinna ei pääsääntöisesti siirrä potilastietoja EU/ETA-alueen ulkopuolelle. Tietojärjestelmien huoltoyhteydet voivat kuitenkin ulottua Euroopan unionin tai Euroopan talousalueen ulkopuolelle. Tällöin on toteutettu Euroopan unionin yleisen tietosuoja-asetuksen mukaiset suojatoimet, kuten sopimukseen liitettävät tietosuojaa koskevat vakiolausekkeet, ja lisäksi on tarvittaessa käytetty Euroopan tietosuojaneuvoston ohjeistamia täydentäviä suojatoimia.

Sosiaalipalveluiden sekä julkisten terveyspalveluiden osalta tietojen luovutuksista päättää rekisterinpitäjänä toimiva kunta.

7 Oikeutesi

Rekisteröidyllä on soveltuvan tietosuojalainsäädännön mukaisesti oikeus saada tieto henkilötietojensa käsittelystä, oikeus saada pääsy tietoihin sekä oikeus vaatia virheellisten tai puutteellisten henkilötietojen oikaisemista.

Koska henkilötietojen käsittely perustuu rekisterinpitäjän lakisääteiseen velvoitteeseen, kaikki rekisteröidyn oikeudet eivät välttämättä sovellu täysimääräisesti tähän rekisteriin. Esimerkiksi potilasasiakirjoja ei voida poistaa rekisteröidyn pyynnöstä silloin, kun tietojen säilyttäminen perustuu pakottavaan lainsäädäntöön.

Rekisteröidyllä voi lisäksi olla oikeus vaatia käsittelyn rajoittamista ja käyttää muita tietosuoja-asetuksen mukaisia oikeuksia siltä osin kuin ne soveltuvat kyseiseen käsittelyyn. Rekisteröity voi pyytää rekisterinpitäjältä muiden kuin lakisääteisesti säilytettävien tietojen poistamista tai käsittelyn rajoittamista.

Rekisteröity voi halutessaan pyytää, että tekoälyavusteista dokumentointia ei käytetä vastaanotolla. Tällainen pyyntö ei vaikuta hoidon toteuttamiseen.

Lisätietoja oikeuksiesi toteuttamisesta saat Pihlajalinnan verkkosivuilta osoitteesta https://www.pihlajalinna.fi/yleista/henkilotietojesi-kasittely sekä Pihlajalinnan toimipisteistä.

Rekisteröity voi esittää oikeuksiensa käyttämistä koskevan pyynnön kohdassa 2 mainituille yhteyshenkilöille.

8 Henkilötietojen säilytysaika

Potilastietorekisteriin kerättyjä potilastietoja säilytetään pakottavan lainsäädännön edellyttämän määräajan (Laki sosiaali- ja terveydenhuollon asiakastietojen käsittelystä, laki 703/2023).

Laskutusta ja perintää koskevia tietoja säilytetään kirjanpitolainsäädännön edellyttämä aika (Kirjanpitolaki, laki 1336/1997).

Muita potilastietorekisterin sisältyviä tietoja, kuten puhelu-, ääni- ja chat-tallenteita sekä etäasiointiin liittyviä tietoja säilytetään vain niin kauan kuin se on tarpeen palvelun toteuttamiseksi, laadun varmistamiseksi tai lakisääteisten velvoitteiden täyttämiseksi.

9 Muut ehdot

Pihlajalinna pyrkii aina ratkaisemaan mahdollisen erimielisyyden suoraan potilaan kanssa. Asiakkaalla on kuitenkin oikeus saattaa henkilötietojensa käsittelyä koskeva erimielisyys myös tietosuojaviranomaisen tutkittavaksi. https://tietosuoja.fi/ilmoitus-tietosuojavaltuutetulle