1 Integritetsskydd

Integriteten hos alla kunder som använder Pihlajalinnas tjänster är av yttersta vikt för Pihlajalinna. Pihlajalinna förbinder sig att skydda kundernas integritet och att följa tillämplig lagstiftning om behandling av patientuppgifter och dataskydd. Skyddet av privatlivet är en viktig del av Pihlajalinnas principer för ansvarsfullt företagande. Pihlajalinna behandlar patientuppgifter som samlats in om sina kunder i enlighet med de villkor som anges i denna dataskyddsbeskrivning.

2 Allmän information om registerföringen

Personregistrets namn: Varje bolags patientregister (”Patientdataregister”).

Personuppgiftsansvarig är: Varje bolag som hör till Pihlajalinna-koncernen

För hälsotjänster som tillhandahålls av Pihlajalinna där Pihlajalinna är personuppgiftsansvarig (bl.a. företagshälsovårdstjänster) är den personuppgiftsansvarige Pihlajalinna Terveys Oy, eller ett annat bolag inom Pihlajalinna-koncernen enligt förteckningen nedan. Alla personuppgiftsansvariga kan nås via Pihlajalinna Terveys Oy.

Bolag: Pihlajalinna Terveys Oy, FO-nummer 2303024-5 Pihlajalinna Lääkärikeskukset Oy, FO-nummer 2452505-5 Lääkäriasema DokTori Oy, FO-nummer 2617382-3 Linnan Klinikka Oy, FO-nummer 0878086-5 Pihlajalinna Ikioma Oy, FO-nummer 2519853-5 Pihlajalinna Kainuu Oy, FO-nummer 3136375-2

Kontaktuppgifter: PL 110 33101 Tammerfors

Representanter för den personuppgiftsansvarige:

Nationell representant: medicinsk direktör vid Pihlajalinna-koncernen, tfn 010 312 010, [email protected]. Den lokala representanten är den ansvariga läkaren vid respektive enhet.

Om du har frågor om behandlingen av dina personuppgifter eller vill utöva dina rättigheter enligt EU:s allmänna dataskyddsförordning (EU 2016/679) kan du kontakta den personuppgiftsansvariges dataskyddsombud: tfn 010 312 010, [email protected].

Om hälsotjänsterna tillhandahålls av en oberoende tjänsteleverantör som verkar inom Pihlajalinna eller av detta bolags bolag, fastställs registerföringen enligt följande:

Pihlajalinna och tjänsteleverantören som verkar i Pihlajalinnas lokaler är gemensamt personuppgiftsansvariga i den mening som avses i artikel 26 i EU:s allmänna dataskyddsförordning, när tjänsteleverantören driver en privat mottagning och använder Pihlajalinnas patientinformationssystem. Pihlajalinna ansvarar för det tekniska underhållet av patientdataregistret och för lagringen av patientuppgifter. Tjänsteleverantören ansvarar för upprättandet av patientjournaler och för riktigheten av de uppgifter som registreras. Varje gemensamt personuppgiftsansvarig ansvarar för laglig användning av registret.

Pihlajalinna fungerar som primär kontaktpunkt för begäranden om utövande av de registrerades rättigheter. De registrerade kan dock utöva sina rättigheter i förhållande till endera gemensamt personuppgiftsansvarig. Varje gemensamt personuppgiftsansvarig ska inom ramen för sitt ansvarsområde säkerställa att de registrerades rättigheter tillgodoses på lämpligt sätt.

Registren för de olika personuppgiftsansvariga hålls tekniskt åtskilda, och de uppgifter de innehåller får i regel inte lämnas ut utan kundens skriftliga samtycke. Uppgifterna om företagshälsovårdens kunder utgör också ett eget separat delregister, som hålls tekniskt åtskilt från det övriga patientdataregistret och till vilket åtkomsten är begränsad med hjälp av åtkomsträttigheter.

3 Ändamålet med och grunden för behandling av personuppgifter

Ändamålet med behandlingen av personuppgifter i patientdataregistret är att organisera vården av kunden enligt följande:

• organisering, planering, genomförande, uppföljning, arkivering, kvalitetskontroll och vägledning avseende kundens undersökningar, vård och rehabilitering samt förebyggande av sjukdomar;

• planering, statistik, uppföljning, utvärdering och vetenskaplig forskning rörande hälso- och sjukvårdsverksamheten;

• fakturering och indrivning; samt

• tillhandahållande av företagshälsovårdstjänster till företag och sammanslutningar;

• i enlighet med lagen om sekundär användning av personuppgifter inom social- och hälsovården används uppgifterna för kunskapsledning;

• kommunikation mellan kunder och kundtjänstcentralen (t.ex. samtal och chattkonversationer) kan spelas in för att utveckla utbildningen av kundtjänstpersonalen, säkerställa servicekvaliteten och verifiera servicehändelsen.

En förutsättning för att bli kund hos Pihlajalinna är att uppgifter om personen kan lagras i patientdataregistret. Behandlingen av uppgifter i patientdataregistret grundar sig på Pihlajalinnas lagstadgade skyldighet att behandla patientuppgifter, på Pihlajalinnas berättigade intresse på basis av vårdrelationen samt i vissa fall på kundens samtycke. AI-assisterad dokumentation används som stöd för hälso- och sjukvårdspersonalens arbete, men inga automatiserade beslut som rör patienten fattas på dess basis.

När Pihlajalinna erhåller korrekta och heltäckande uppgifter från kunden kan Pihlajalinna erbjuda kunden bästa möjliga vård och service.

4 Registrets innehåll och datakällor

Personuppgifterna i patientdataregistret är huvudsakligen uppgifter som lämnats av kunden själv eller av kundens vårdnadshavare, eller uppgifter som genererats om kunden i samband med undersökningar och vård.

Med kundens samtycke tillförs registret även uppgifter från t.ex. andra vårdinrättningar och försäkringsbolag.

Kundens uppgifter kan dock också kombineras och kompletteras, inom de gränser som lagstiftningen tillåter, med uppgifter från andra källor och uppgifter som härletts från sådana källor, såsom uppgifter som inhämtats från andra vårdinrättningar med kundens eller dennes vårdnadshavares samtycke, eller uppgifter från Myndigheten för digitalisering och befolkningsdata.

Patientdataregistret kan innehålla följande personuppgifter:

• fullständigt namn;

• personbeteckning;

• kontaktuppgifter (inklusive adress, telefonnummer och e-postadress);

• kundens kontaktperson (inklusive av kunden utsedd närmaste anhörig samt vårdnadshavare för minderåriga kunder), deras kontaktuppgifter och vid behov personbeteckning;

• hälsouppgifter och förhandsuppgifter som är nödvändiga för kundens vård (inklusive journaluppgifter, remisser och utlåtanden);

• undersökningsuppgifter (inklusive laboratorie-, bilddiagnostik- och andra undersökningsuppgifter);

• uppgifter från hälsoenkäter;

• tidsbeställningsuppgifter;

• fakturerings- och betalningsuppgifter inklusive eventuella försäkringsuppgifter;

• namn och befattning för den som gjort anteckningen, datum för anteckningen samt uppgifter om den som läst uppgifterna;

• information om inkomna handlingars ursprung och källa;

• viljeyttringar och samtycken från kunden;

• uppgifter som rör identifiering av kunden;

• uppringarens telefonnummer, mottagarens ID, datum och samtalsinspelning.

Från företagshälsovårdens kunder samlas dessutom följande uppgifter:

• arbetsgivare och dennes kontaktuppgifter;

• uppgifter om anställningsförhållandet (inklusive avdelning/verksamhetsställe, yrkesbeteckning och andra motsvarande uppgifter);

• försäkringsbolagsuppgifter;

• eventuella hälsorisker och riskfaktorer som är förknippade med arbetsplatsen.

Via distanstjänster kan kunden även lämna följande personuppgifter till Pihlajalinna:

• video (videoanslutning öppnad med kundens samtycke);

• ljud (ljudanslutning öppnad med kundens samtycke);

• fotografier och videor skickade av kunden; och

• övriga uppgifter som sänds via kundens utrustning för distansundersökning, såsom hjärt- och lungauskultationsljud, videor och fotografier samt pulsdata och kroppstemperatur.

I samband med AI-assisterad dokumentation kan tal från samtal under mottagningsbesök behandlas, tillsammans med en textbaserad transkription som genererats från detta tal och ett utkast till patientjournalanteckning. Uppgifterna genereras från samtalet mellan patienten och hälso- och sjukvårdspersonalen som äger rum under mottagningsbesöket.

5 Skydd av registret och principer för behandling av uppgifter

Vid behandling av patientuppgifter följer Pihlajalinna noggrant de lagstadgade kraven på omsorg och skydd samt god informationshanteringssed. Vi säkerställer alltid att behandlingen är sakligt motiverad och begränsad till vad som är nödvändigt för de ändamål som beskrivs i denna beskrivning.

Uppgifterna i patientdataregistret är konfidentiella och de personer som deltar i behandlingen av dem har tystnadsplikt och sekretesskyldighet. Denna tystnadsplikt och sekretesskyldighet kvarstår även efter att anställningsförhållandet har upphört. Pihlajalinna begränsar antalet personer som behandlar patientuppgifter. Patientuppgifterna är endast tillgängliga för sådana anställda hos Pihlajalinna eller dess samarbetspartners som på grund av sina arbetsuppgifter behöver behandla patientuppgifter.

För att skydda patientuppgifterna tillämpar Pihlajalinna även strikt hantering av användarkoder. Patientdataregistersystemet och de uppgifter som lagrats i det skyddas bland annat av åtkomsträttighetsrestriktioner och lösenord som endast de personer som är behöriga att använda systemet har tillgång till. Pihlajalinna följer och övervakar aktivt och noggrant behandlingen av patientuppgifter på det sätt som lagstiftningen kräver, bland annat med hjälp av loggdata.

6 Överlåtelse och överföring av uppgifter

Patientuppgifter utgör känsliga personuppgifter. Vi lämnar ut dina patientuppgifter till tredje parter endast med ditt samtycke eller baserat på lagstiftning. Sådana lagstadgade utlämningar inkluderar exempelvis den nationella informationssystemtjänst som upprätthålls av FPA (Kanta-tjänsterna), Institutet för hälsa och välfärd (THL) samt försäkringsbolag med avseende på lagstadgade försäkringar. Med avseende på frivilliga försäkringar för privatkunder lämnas nödvändiga uppgifter ut baserat på kundens samtycke. Därutöver kan uppgifter lämnas ut för forskningsändamål samt för utvecklings- och innovationsverksamhet i enlighet med lagstiftningen om patientuppgifter.

Vi lämnar ut patientuppgifter utanför Pihlajalinna till andra leverantörer av social- och hälsovårdstjänster antingen baserat på tillämplig lagstiftning eller baserat på ett utlämnandetillstånd som du beviljat. Du kan hantera utlämnandet av dina uppgifter mellan olika leverantörer av social- och hälsovårdstjänster genom att bevilja ett utlämnandetillstånd i Kanta-tjänsten. Ytterligare information finns på www.kanta.fi/sv

Vi kan överföra dina personuppgifter till tjänsteleverantörer och underleverantörer som behandlar uppgifter på Pihlajalinnas uppdrag för att leverera den tjänst du behöver.

Pihlajalinna överför i regel inte patientuppgifter utanför EU/EES. Underhållsanslutningar till informationssystem kan dock sträcka sig utanför Europeiska unionen eller Europeiska ekonomiska samarbetsområdet. I sådana fall har de skyddsåtgärder som krävs enligt EU:s allmänna dataskyddsförordning genomförts, såsom standardavtalsklausuler om dataskydd som bifogas avtal, och kompletterande skyddsåtgärder som rekommenderas av Europeiska dataskyddsstyrelsen har tillämpats vid behov.

När det gäller socialtjänster och offentliga hälsotjänster fattas beslut om utlämnande av uppgifter av kommunen i egenskap av personuppgiftsansvarig.

7 Dina rättigheter

I enlighet med tillämplig dataskyddslagstiftning har den registrerade rätt att bli informerad om behandlingen av sina personuppgifter, rätt till tillgång till sina uppgifter samt rätt att begära rättelse av felaktiga eller ofullständiga personuppgifter.

Eftersom behandlingen av personuppgifter grundar sig på den personuppgiftsansvariges lagstadgade skyldighet är det inte säkert att alla den registrerades rättigheter till fullo kan tillämpas på detta register. Exempelvis kan patientjournaler inte raderas på begäran av den registrerade när lagringen av uppgifterna grundar sig på tvingande lagstiftning.

Den registrerade kan dessutom ha rätt att begära begränsning av behandlingen och att utöva andra rättigheter enligt dataskyddsförordningen i den mån de är tillämpliga på den aktuella behandlingen. Den registrerade kan begära att uppgifter som inte är lagstadgade att bevara raderas, eller att behandlingen av dem begränsas.

Den registrerade kan begära att AI-assisterad dokumentation inte används under mottagningsbesöket. En sådan begäran påverkar inte tillhandahållandet av vård.

Ytterligare information om hur du utövar dina rättigheter finns på Pihlajalinnas webbplats på adressen https://www.pihlajalinna.fi/sv/for-kunder/hantering-av-dina-personuppgifter och vid Pihlajalinnas verksamhetsställen.

Den registrerade kan lämna in en begäran om utövande av sina rättigheter till de kontaktpersoner som anges i avsnitt 2.

8 Lagringstid för personuppgifter

Patientuppgifter i patientdataregistret lagras under den tid som krävs enligt tvingande lagstiftning (Lagen om behandling av kunduppgifter inom social- och hälsovården, lag 703/2023).

Uppgifter som rör fakturering och indrivning lagras under den tid som krävs enligt bokföringslagstiftningen (Bokföringslagen, lag 1336/1997).

Övriga uppgifter i patientdataregistret, såsom samtals-, ljud- och chattinspelningar och uppgifter relaterade till distanstjänster, lagras endast så länge det är nödvändigt för tillhandahållandet av tjänsten, för att säkerställa servicekvaliteten eller för att uppfylla lagstadgade skyldigheter.

9 Övriga villkor

Pihlajalinna kommer alltid att försöka lösa eventuella oenigheter direkt med patienten. Patienten har dock rätt att få en oenighet om behandlingen av sina personuppgifter prövad av dataskyddsmyndigheten. https://tietosuoja.fi/sv/anmalan-till-dataombudsmannen