Kuulo-Auris Oy (2640821-5)
Ilkantie 4 D
00400 Helsinki
Raija Saari-Harjunmaa raija.saari-harjunmaa@auris.fi
Suostumus
Käsittelyn oikeusperuste on joko lakisääteinen velvoite, sopimus tai asiakkaan suostumus (tarkennetaan tarvittaessa). Käsittelyn tarkoitus on asiakassuhteen hoitaminen eli sopimuksen mukaisten palvelujen tuottaminen. Henkilötietoja käytetään palveluiden tarjoamiseen, kuntoutuksen suunnitteluun, toteuttamiseen ja arviointiin. Palveluiden toteuttamiseksi rekisterinpitäjän on käsiteltävä joitain hyvinvointi- ja terveystietoja, jotka kuuluvat GDPR:ssä määriteltyihin erityisiin henkilötietoryhmiin. Asiakaslaissa (17 §) säädetään sosiaalihuollon järjestäjän ja toteuttajan oikeudesta antaa sellaisia salassa pidettäviä tietoja, jotka ovat välttämättömiä asiakkaan hoidon, huollon tai koulutuksen tarpeen selvittämiseksi, niiden järjestämiseksi tai toteuttamiseksi tai toimeentulon edellytysten turvaamiseksi. Hyvinvointiin- ja terveyteen liittyvät tiedot kerätään rekisteröidyltä. Keräämme ja käsittelemme vain palvelun toimittamisen kannalta välttämättömät tiedot, jotka rekisteröity haluaa erityisesti luovuttaa työnsuorittajan tai tilaajana toimivan omaisen tiedoksi. Tieto sosiaalihuollon asiakkuudesta on salassa pidettävä. Salassa pidettäviä tietoja ei käytetä omaksi tai toisen hyödyksi. Asiakastietoja ei käytetä mainonnan kohdentamiseen tämän rekisterinpitäjäorganisaation sisällä. Salassa pidettäviä tietoja ei luovuteta kolmansille osapuolille ilman asiakkaan nimenomaista suostumusta 16§ mukaisesti. Henkilötietoja käsitellään tietosuoja-asetuksen sallimissa ja edellyttämissä rajoissa.
Mikäli henkilötietoja ei ole saatu suoraan rekisteröidyltä, ne voivat olla peräisin seuraavista lähteistä: - Kela - Terveydenhuollon yksiköt - Rekisteröidyn valtuuttama omainen tai edustaja.
Rekisterinpitäjän henkilöstö, Kela, Kanta-palvelut, terveydenhuollon toimijat sekä ulkoistuskumppanit soveltuvin osin.
Käsittelyn perustuessa suostumukseen, suostumuksen voi peruuttaa ottamalla yhteyttä rekisterinpitäjän yhteyspisteeseen. Peruutus voi vaikuttaa palvelun saatavuuteen.
Asiakasrekisteri sisältää seuraavia tietoja: - Nimi - Osoite - Puhelinnumero - Sähköpostiosoite - Henkilötunnus - Kela-päätökseen liittyvät tiedot - Tutkimustulokset, hoitosuunnitelmat ja lausunnot - Kuntoutuksesta syntyvät asiakirjat, asiakassuunnitelmat ja muut dokumentit - Lapsen kohdalla tietoja sisaruksista ja vanhemmista - Mahdollisen läheisen, edustajan tai edustajan yhteystiedot.
Tietoja saadaan asiakassuhteen aikana asiakkaan tekemistä ilmoituksista. Tietoja voidaan saada myös viranomaisilta, terveydenhuollon ammattilaisilta sekä rekisteröidyn läheisiltä tai edustajilta. Tiedot hävitetään käyttäjän pyynnöstä ellei lainsäädäntö, avoimet laskut tai perintätoimet estä tietojen poistamista.
Asiakastietojen säilytysaika: Asiakastietoja pidetään ainoastaan asiakassuhteen ajan, jonka jälkeen ne hävitetään asianmukaisesti. Sosiaalihuollon asiakirjat säilytetään seuraavasti: Laki sosiaalihuollon asiakaskirjoista annetun lain liitteen muuttamisesta (784/2022) mukaan kaikki asiakirjat säilytetään 30 vuotta palvelun päättymisestä tai asiakkaan kuolemasta. Pysyvästi säilytetään 8., 18., ja 28. päivänä syntyneiden päätökset, suunnitelmat ja asiakaskertomukset. Kuulo-Auris Oy:n toimiessa Kelan palveluntuottajana heidän tulee lisäksi noudattaa Kelan kanssa sovittuja säilytysaikoja. Kela ei kuitenkaan syrjäytä potilasasiakirjojen säilytysaikoja, jotka määräytyvät potilaslain ja asiakastietolain mukaisesti. Rekisteröity voi pyytää tietojensa poistamista (GDPR:n mukainen oikeus tulla unohdetuksi), jos tiedot eivät ole välttämättömiä lakisääteisen velvoitteen, sopimuksen täytäntöönpanon vuoksi.
Asiakasrekisterin tiedot ovat ainoastaan organisaation käytössä, paitsi käyttäessä ulkoista palveluntarjoajaa mahdollisen lisäarvopalvelun tuottamiseen. Rekisteröityneen henkilötiedot hävitetään käyttäjän pyynnöstä ellei lainsäädäntö, avoimet laskut tai perintätoimet estä tietojen poistamista.
Rekisterin tietoja ei luovuteta EU:n tai ETA:n ulkopuolelle. On kuitenkin mahdollista, että käsittelyssä käytetään EU/ETA -alueen ulkopuolisia järjestelmien palveluntarjoajia, jolloin kotipaikka tai palveluntarjoajien pilvet voivat sijaita EU/ETA -alueen ulkopuolella. Tällöin ei kuitenkaan ole kyse rekisterinpitäjyydestä, eli kaikki edellä mainitut tapaukset koskevat ainoastaan henkilötietojen käsittelyä käsittelijän roolissa. Nämä palveluntarjoajat eivät kuitenkaan varsinaisesti käsittele henkilötietoja, mutta koska heillä voi olla pääsy niihin, niin, heille lankeaa henkilötietojen käsittelijän rooli. Siirtoperusteena käytetään tällöin SCC -vakiolausekkeita, jolloin tietojen siirroissa on toteutettu lisäsuojatoimia, kuten sisäiset ohjeistukset (henkilötietojen pseudonymisoinnista ja vastaavista) sekä mahdollisesti TIA -analyysi tilanteen vaatiessa sellaisen. EU – USA -väliset tietojen siirrot. Kun henkilötietoja käsittelevä organisaatio on sitoutunut EU-USA tietosuojakehykseen (DPF), käytetään siirtoperusteena silloin sitä sen voimassaolon aikana. Kaikkien palveluntarjoajien kanssa on toteutettu artikla 28 mukaisesti DPA -sopimus siihen liittyvine vaatimuksineen.
Asiakastapahtumissa kerättävät yhteystiedot ja muut manuaalisesti käsiteltävät asiakastietoja sisältävät asiakirjat säilytetään alkukäsittelyn jälkeen lukituissa ja paloturvallisissa säilytystiloissa. Ainoastaan määrätyillä, salassapitositoumuksen allekirjoittaneilla työntekijöillä on oikeus käsitellä manuaalisesti tallennettuja asiakastietoja. Kaikki työntekijät allekirjoittavat salassapitosopimuksen osana työsopimusta. Henkilöstön ja harjoittelijoiden perehdytykseen sisältyy tietoturvaan liittyvät asiat. Jokaisella työntekijällä on sähköisiin järjestelmiin henkilökohtaiset tunnukset ja salasanat tehtävänkuvien mukaisesti. Kirjalliset dokumentit säilytetään lukituissa tiloissa. Henkilötietoja sisältävien aineistojen hävitys tehdään tietoturvallisesti. Rekisterin tietojen suojaamisessa ja käsittelyssä noudatetaan tietosuojalain säännöksiä ja periaatteita, viranomaisten määräyksiä sekä hyvää tietojenkäsittelytapaa.
Ainoastaan määrätyillä organisaation ja sen lukuun toimivien yritysten työntekijöillä on oikeus käyttää asiakasomistaja- ja asiakasrekisteriä ja ylläpitää sen tietoja. Kullakin määritellyllä käyttäjällä on oma henkilökohtainen käyttäjätunnus ja salasana. Kaikki työntekijät allekirjoittavat salassapitosopimuksen osana työsopimusta. Henkilöstön ja harjoittelijoiden perehdytykseen sisältyy tietoturvaan liittyvät asiat. Jokainen käyttäjä on allekirjoittanut salassapitositoumuksen. Järjestelmä on suojattu palomuurilla, joka suojaa ulkopuolelta tulevia yhteydenottoja järjestelmään. Rekisterin tietojen suojaamisessa ja käsittelyssä noudatetaan tietosuojalain säännöksiä ja periaatteita, viranomaisten määräyksiä sekä hyvää tietojenkäsittelytapaa.
Henkilötietojen käsittelyyn ei sovelleta automaattista käsittelyä, profilointia tai mitään muutakaan niihin vertautuvaa järjestelmää.
Rekisteröidyllä on oikeus tarkistaa, mitä tietoja hänestä on rekisterissä. Tarkastuspyyntö tulee tehdä kirjallisena ottamalla yhteys rekisterinpitäjän asiakaspalveluun tai rekisterin yhteyshenkilöön suomeksi tai englanniksi. Rekisteröidyllä on oikeus kieltää tietojensa käsittely ja luovuttaminen suoramainontaa, etämyyntiä ja suoramarkkinointia sekä markkina- ja mielipidetutkimusta varten ottamalla yhteys rekisterinpitäjän asiakaspalvelupisteeseen.
Rekisteröidyllä on oikeus siirtää omat tietonsa järjestelmästä toiseen. Siirtopyynnön voi osoittaa rekisterin yhteyshenkilölle.
Rekisterissä oleva, käsittelyn tarkoituksen kannalta virheellinen, tarpeeton, puutteellinen tai vanhentunut henkilötieto on oikaistava, poistettava tai täydennettävä. Korjauspyyntö tulee tehdä omakätisesti allekirjoitetulla kirjallisella pyynnöllä organisaation asiakaspalveluun tai henkilörekisterin ylläpitäjälle tai todisteellisesti tunnistettavasta sähköpostiosoitteesta. Pyynnössä tulee yksilöidä mitä tietoja vaaditaan korjattavaksi ja millä perusteella. Korjaaminen toteutetaan viivytyksettä. Virheen korjaamisesta ilmoitetaan sille, jolta virheelliset tiedot on saatu tai jolle tiedot on luovutettu. Korjauspyynnön epäämisestä rekisterin vastuuhenkilö antaa kirjallisen todistuksen, jossa mainitaan syyt, joiden vuoksi korjauspyyntö on evätty. Asianomainen voi saattaa epäämisen tietosuojavaltuutetun ratkaistavaksi.
Rekisteröidyllä on oikeus pyytää tietojenkäsittelyn rajoittamista esim. jos rekisterissä olevat henkilötiedot ovat virheelliset. Yhteydenotot rekisterin vastuuhenkilölle.
Rekisteröidyllä on oikeus pyytää häntä koskevia henkilötietoja sekä rekisteröidyllä on oikeus pyytää henkilötietojen oikaisemista tai poistamista. Pyynnöt voi osoittaa rekisterin yhteyshenkilölle. Mikäli toimit yritys- tai organisaation yhteyshenkilönä ei tietojasi voida poistaa tänä aikana.
Mikäli katsot, että sinua koskevassa henkilötietojen käsittelyssä on rikottu tietosuoja-asetusta, niin sinulla on oikeus tehdä kantelu valvontaviranomaiselle. Kantelun voit tehdä myös siinä jäsenvaltiossa, jossa sinulla on vakinainen asuinpaikka tai työpaikka. Kansallisen valvontaviranomaisen yhteystiedot ovat: Tietosuojavaltuutetun toimisto Käyntiosoite: Lintulahdenkuja 4, 00530 Helsinki Postiosoite: PL 800, 00531 Helsinki Puhelinvaihde: 029 566 6700 Kirjaamo: 029 566 6768 tietosuoja@om.fi www.tietosuoja.fi
Rekisteröidyllä on oikeus saada pääsy tietoihin, tehdä valitus valvontaviranomaiselle, vaatia tiedon korjaamista, poistaa tiedot ja siirtää tiedot järjestelmästä toiseen. Rekisteröidyllä on oikeus kieltää tietojensa luovuttaminen ja käsittely suoramainontaa ja muuta markkinointia varten, vaatia tietojen anonymisointia soveltuvin osin sekä oikeus tulla kokonaan unohdetuksi.