TIetosuojaseloste

Päiväys: 14.3.2022

Tietosuojaselosteella annetaan EU:n yleisen tietosuoja-asetuksen edellyttämät tiedot rekisteröidylle ja valvovalle viranomaiselle (seloste käsittelytoimista).

Rekisterinpitäjä

Medzilla Oy (jäljempänä “Medzilla”)

Y-tunnus 3198348-4

Revontulentie 11 H 23, 02100 ESPOO

Yhteystieto: info@medzilla.fi

 

Rekisteriasioita hoitava henkilö:

Annette Kainu

Yritys: Medzilla Oy

Sähköposti: annette.kainu@medzilla.fi

Tämä tietosuojaseloste on tarkoitettu seuraaville käyttäjille:

  • Medzillan omistamilla verkkosivustoilla (mm. medzilla.fi, PEF.fi) vierailevat käyttäjät (asiakasrekisteri);
  • Medzillan terveydenhuollon kirjautuneen asiakkaan palvelujen ja sovellusten käyttäjät (potilasrekisteri);
  • Medzillan hallinnoimana toisen terveydenhuollon diagnostisen palvelun tai sovellusten käyttäjät (potilasrekisteri);
  • Medzillan verkkokaupassa asioivat yksityishenkilöt (asiakasrekisteri);
  • yksityishenkilöt, jotka ovat kiinnostuneita ottamaan yhteyttä Medzillaan tai joihin Medzilla on ottamassa yhteyttä (asiakasrekisteri).

Ymmärrämme, että tietosuoja on sinulle tärkeää. Olemme sitoutuneet käsittelemään henkilötietojasi huolellisesti ja luotettavasti.

Tämä tietosuojaseloste kertoo mitä henkilötietoja keräämme ja kuinka käytämme niitä. Selosteessa selitetään, mihin käytämme henkilötietojasi ja kuinka suojaamme ja pidämme ne turvassa. Medzilla tarjoaa asiakkailleen digitaalisen terveydenhuollon diagnostisia ja digitaalisiin terapioihin lukeutuvia sovelluksia. Näiden kolmannen osapuolen palvelujen ja sovellusten osalta sovelletaan aina sen käyttäjä- ja tietosuojaselosteita ja käyttäjä itse aina hallitsee tietojaan ja päättää itse tiedon jakamisesta Medzillan kanssa. Tässä tietosuojaselosteessa kerrotaan yleisistä käytännöistämme.  Jos paikalliset lait tai säännökset kuitenkin edellyttävät, että käsittelemme tietoja eri tavalla tai ettemme käsittele niitä lainkaan, noudatamme aina sovellettavaa paikallista lakia.

Medzillalla on asiakasrekisteri, johon on pääsy vain nimetyillä hallinnollisessa roolissa tai asiakaspalvelutehtävissä työskentelevillä Medzilla Oy:n työntekijöillä. Asioidessasi Medzillan omistamilla verkkosivuilla, ostaessasi tuotteita Medzillan verkkokaupasta, osallistuessasi verkkoseminaariin tai verkkokurssiin, tilatessasi uutiskirjeen tai ottaessasi yhteyttä Medzillaan, tietosi tallennetaan Medzillan asiakasrekisteriin.

Medzillan potilasrekisteri on yhteiskäytössä Medzillan ja siellä toimivien laillistettujen terveydenhuollon ammattihenkilöiden kesken, jotka toimivat itsenäisinä ammatinharjoittajina tai erillisten yritysten kautta palvelun tuottajina. Medzillan potilasrekisteriin kirjataan kirjautuneen, vahvasti tunnistetun potilaan henkilötietoja hoitosuhteen perusteella. Tällainen lääketieteellinen hoitosuhde voi muodostua myös diagnostisen tutkimuksen suorittamisella etäyhteydellä, ilman että olet suoraan yhteydessä nimettyyn terveydenhuollon ammattilaiseen. Tässä tietosuojaselosteessa kuvaamme erikseen mitä tietoja sinusta tallennetaan silloin, kun asioit terveysasioidesi hoitoon liittyen.

Vastuumme toisen palveluntarjoajan sovelluksista tai verkkopalveluista

Verkkosivustomme ja sovelluksemme saattavat sisältää linkkejä sivustoihin tai mobiilisovelluksiin, joita emme omista tai jotka eivät ole hallinnassamme. Tämä tietosuojaseloste ei kata niitä. Jos haluat tietää, miten kyseisissä sivustoissa tai mobiilisovelluksissa kerätään, käytetään ja jaetaan henkilötietoja, tutustu niitä koskeviin tietosuojaselosteisiin. 

 

Henkilötietoja käsitellään seuraaviin tarkoituksiin ja seuraavilla perusteilla:

Potilasrekisteriin kirjattavat tiedot:

  • Terveydenhuollon palveluiden tarjoamiseksi perustuen lakiin
  • Hyvinvointipalveluiden tarpeen arvioimiseksi ja palvelun kohdentamiseksi perustuen asiakkaan ja Medzillan väliseen palvelusopimukseen, lakiin tai oikeutettuun etuun
  • Ammattihenkilöiden toiminnan ja työnlaadun varmistamiseksi perustuen lakiin
  • Oman toiminnan suunnitteluun, kehittämiseen, hallintaan, seurantaan ja raportointiin, laadun varmistamiseen sekä tietojohtamiseen perustuen lakiin ja Medzillan oikeutettuun etuun
  • Tutkimus- ja tilastointitarkoituksiin perustuen suostumukseen, lakiin, yleiseen etuun ja/tai Medzillan oikeutettuun etuun
  • Palautteiden, virallisten selvityspyyntöjen ja vaaratapahtumien käsittelyyn perustuen lakiin ja Medzillan oikeutettuun etuun
  • Kirjautuneelle asiakkaalle tarkoitettujen verkkopalveluiden tarjoamiseksi perustuen lakiin ja/tai asiakkaan ja Medzillan väliseen sopimukseen
  • Laskutusta ja perintää varten perustuen asiakkaan ja Medzillan väliseen sopimukseen
  • Väärinkäytösten todentamiseen ja käytön valvontaan perustuen lakiin sekä oikeutettuun etuun

Sekä potilasrekisteriin että asiakasrekisteriin kirjattavia tietoja voidaan käyttää markkinointi- ja/tai viestintätarkoituksiin perustuen asiakkaan antamaan suostumukseen, sopimukseen ja/tai Medzillan oikeutettuun etuun.

Asiakasrekisteriin lisäksi kirjattavat tiedot:

  • Verkkokaupassa asioivan asiakkaan verkkopalveluiden tarjoamiseksi perustuen lakiin ja/tai asiakkaan ja Medzillan väliseen sopimukseen
  • Laskutusta ja perintää varten perustuen asiakkaan ja Medzillan väliseen sopimukseen
  • Verkkokaupan maksuliikenteen palveluntarjoaja saattaa kerätä maksutavasta riippuen myös muita tietoja verkkokaupan käyttäjältä. Näiden tietojen keräyksestä, käytöstä, säilytyksestä sekä näihin liittyvästä tiedottamisesta vastaa maksupalveluntarjoaja.

 

Käsittelemme seuraavia henkilötietoja:

Potilas- ja asiakasrekisterissä:

  • Perustiedot (nimi, osoite, sähköpostiosoite, puhelinnumero)
  • Maksutiedot
  • Verkkosivujen käyttöön, verkkokäyttäytymiseen ja analytiikkaan liittyvät tiedot
  • Suostumukset ja kiellot liittyen kirjautumattoman asiakkaan palveluihin (evästeet) ja verkkokauppaan kirjautuneen asiakkaan palveluihin.

Vain potilasrekisterissä:

  • Laajemmat perustiedot (sis. sukupuoli, syntymäaika)
  • Terveystiedot
  • Hyvinvointiin liittyvät tiedot
  • Ajanvaraustiedot
  • Asiakaspalvelutapahtumien tallenteet
  • Laskutustiedot
  • Kirjautuneen asiakkaan verkkopalveluiden tiedot
  • Kolmannen osapuolen terveyssovellukset, joiden tiedot potilas on päättänyt jakaa Medzillan kanssa
  • Kirjautuneen asiakkaan terveyssovellusten kautta jakamia tietoja siltä osin kun tiedot on tallennettava annettujen hoito-ohjeiden ja suositusten perustelujen dokumentoimiseksi. Nämä tiedot voivat sisältää kytkettyjen puettavien laitteiden terveys- ja hyvinvointitiedoista, kuten liikuntatiedot, unitiedot, leposyke, verenpaine, pulssioksimetritiedot ja PEF- tai spirometriatiedot, koostettuja yhteenvetoja. Terveyssovellusten tiedot voivat sisältää näiden sovellusten käytön aikana tietoja käyttäjän nykyisestä ja aiemmasta sijainnista, mutta näitä tietoja ei tallenneta Medzillan potilasrekisteriin. Myös näiden tietojen tarkastelun osalta noudatetaan potilaan antamaa yksilöivää suostumusta ja kolmannen osapuolen tarjoaman terveyssovelluksen käyttöehtoja ja tietosuojaselostetta.
  • Palautteiden, virallisten selvityspyyntöjen ja vaaratapahtumien tiedot
  • Muut palveluun liittyvät tiedot
  • Tunnistamis- ja varmentamisvälineiden ja -palveluiden käyttöön liittyvät tiedot
  • Suostumukset ja kiellot

 

Henkilötietojen käsittelyajat

Medzilla säilyttää vain Medzillan toiminnan ja henkilötietojen käyttötarkoitusten kannalta tarpeellisia tietoja, joiden käsittelylle on lailliset edellytykset. Henkilötietojen säilytysaika määräytyy henkilötiedon käsittelyn tarkoituksen ja/tai henkilötiedon perusteella. Henkilötietojen säilytysaikaan vaikuttaa myös lainsäädännössä asetetut velvoitteet henkilötietojen säilyttämiseen sekä muut säilytysaikaa määrittävät määräajat (esim. kanneaika tai syyteoikeuden vanhentumisaika) erilaisten toimenpiteiden toteuttamiselle.

Potilaan hoitoon liittyviä tietoja säilytetään potilasasiakirjoista annetun Sosiaali- ja terveysministeriön asetuksen mukaisesti 12 vuotta kuolemasta tai, jos siitä ei ole tietoa, 120 vuotta potilaan syntymästä.

Mikäli asiakkaan ulkoiseen digitaaliseen diagnostiseen (esimerkiksi MIR Spirobank) tai seurantasovellukseen (esimerkiksi Orla DTx etämittaus, Glucostratus Balance) tai digitaaliseen terapiaan (esimerkiksi Kamu Health) kirjaamia tietoja ei ole viety osaksi potilasasiakirjoja, tietoja säilytetään siinä palvelussa, kunnes palvelua käyttävä asiakas itse poistaa tiedot kyseisestä palvelusta. Kolmannen osapuolen digitaalisen palvelun tai sovelluksen tietoja tallennetaan Medzillan potilasrekisteriin vain yhteenvetotasolla ja vain niiltä osin kun tietojen tallentamista potilastietojärjestelmään edellytetään potilasasiakirjoja koskevan lainsäädännön velvoittamana.

Mahdollisia asiakaspalvelutapahtumien nauhoitteita ja tallenteita säilytetään kolme kuukautta.

Medzilla poistaa käyttötarkoitukseen nähden tarpeettomiksi käyneitä henkilötietoja myös asiakassuhteen aikana, mm. markkinoinnin toteuttamiseen ja verkkopalveluiden käyttöön liittyviä henkilötietoja. Käyttötarkoitukseensa tarpeettomaksi muuttuneet tiedot, vanhentuneet tiedot tai tiedot, joiden käsittelylle ei enää muutoin ole perustetta, anonymisoidaan tai tuhotaan turvallisesti.

 

Tietolähteet

Käsiteltävät henkilötiedot kerätään pääsääntöisesti potilaalta itseltään, potilaan huoltajalta tai muulta lailliselta edustajalta. Henkilötietoja kerätään myös tutkimuksen ja hoidon yhteydessä hoitohenkilökunnalta.

Potilaan perustiedot päivitetään Digi- ja väestötietoviraston väestötietojärjestelmästä.

Henkilötietoja saadaan myös toisilta terveydenhuollon toimintayksiköiltä tai terveydenhuollon ammattihenkilöiltä potilaan suostumuksella tai lakiin perustuen.

Henkilötietoja saadaan myös potilaan nimenomaisella suostumuksella kolmannen osapuolen terveyssovelluksien jaettujen tietojen kautta. Nämä sovellukset voivat pyytää käyttäjältä myös pääsyn käyttäjän Apple HealthKit- ja Google Fit -palveluun kytkettyjen laitteiden terveys-ja hyvinvointitietoihin ja näihin liittyen myös sijaintitietoihin.

Tietyissä tilanteissa tietoja saadaan myös vakuutusyhtiöistä tai työeläkeyhtiöistä.

Maksutietoja voidaan saada myös verkkokaupan maksuliikenteen palveluntarjoajalta liittyen yksilöityyn maksutapahtumaan verkkokaupassa.

 

Henkilötietojen käsittely ja luovutus

Yhteisrekisterisuostumuksella henkilötietoja käsittelevät Medzillan terveydenhuollon ammattilaiset ja asiantuntijat.

Henkilötietojen käsittelyä ulkoistetaan ulkopuolisille palveluntarjoajille, jotka käsittelevät henkilötietoja Medzillan lukuun. Potilastietoja ei siirretä EU- tai ETA -alueen ulkopuolelle. Asiakastietoja voidaan siirtää rajatusti EU- tai ETA –alueen ulkopuolelle lainsäädännön sallimissa rajoissa. Tällöin siirto tapahtuu käyttäen EU-komission mallisopimuslausekkeita tai muuta tietosuojalansäädännön sallimaa siirtomekanismia.

Emme myy, vuokraa, lainaa tai anna nimeäsi, sähköpostiosoitettasi tai muita henkilötietojasi kenellekään ilman suostumustasi. Jos palveluntarjoaja tai kaikki sen omaisuus ostetaan, asiakastiedot saattavat kuitenkin siirtyä ostajalle.

Kolmannen osapuolen terveyssovellusten käyttö perustuu aina käyttäjän aloitteesta henkilö- ja terveystietojen jakamiseen Medzillan kanssa. Medzilla ei jaa asiakkaidensa henkilötietoja kolmannen osapuolen terveyspalvelusovellusten käytön yhteydessä.

 

Henkilötietoja luovutetaan seuraaville tahoille:

  • Kelan Reseptikeskus. Sähköiset reseptit tallentuvat Reseptikeskukseen, jonka rekisterinpitäjänä toimii Kela. Lisätietoja www.kanta.fi.
  • Kanta Potilastiedon arkisto. Terveystiedot arkistoidaan Kelan ylläpitämään Kanta-palveluiden Potilastiedon arkistoon Sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetun lain mukaisesti. Lisätietoja www.kanta.fi.
  • Lisäksi potilastietoja luovutetaan suostumukseen tai lakiin perustuen seuraaville tahoille:
    • Toinen terveydenhuollon toimintayksikkö/organisaatio/hoitopaikka tai terveydenhuollon ammattihenkilö
    • Hoidon järjestämiseksi tarpeellisia tietoja voidaan luovuttaa terveydenhuollon toimintayksiköille, potilaan antaman suullisen tai kirjallisen suostumuksen tai asiayhteydestä muuten ilmenevän, potilasasiakirjaan merkittävän suostumuksen mukaisesti.
  • Vakuutusyhtiöt.
    • Lakisääteisten vakuutusten osalta tarpeellisia tietoja luovutetaan vakuutusyhtiöille lakiin perustuen ilman suostumusta.
    • Vapaaehtoisten vakuutusten osalta tarpeellisia tietoja luovutetaan potilaan suostumuksen perusteella.
  • Viranomaiset ja/tai yhteisöt
    • Tuomioistuimille, muille viranomaisille tai yhteisöille, joilla on lakiin perustuva tiedonsaantioikeus, tietoja luovutetaan kirjallisen ja yksilöidyn pyynnön perusteella asian vaatimassa muodossa ja laajuudessa.
  • Potilaan lähiomaiset
    • Potilaan ollessa tajuttomana tai muun verrattavan syyn vuoksi hoidettavana, tietoja voidaan luovuttaa lähiomaisille tai muulle läheiselle, jollei ole syytä olettaa, että potilas on kieltänyt tietojen luovutuksen.
    • Potilasasiakirjoihin sisältyvien tietojen luovuttamisesta tieteelliseen tutkimukseen on voimassa, mitä potilaslain 13.4 §:ssä säädetään.
    • Anonymisoitua ja/tai tilastollista tietoa voidaan käsitellä tutkimus- ja tilastointitarkoituksiin ilman suostumusta.
  • Kuolemantapauksissa salassapitovelvoite ja yksityisyyden suojan tarve jatkuu, jolloin tietoja ei voida luovuttaa ilman laissa olevaa perustetta.
  • Tartuntatautilain perusteella voidaan luovuttaa epidemian havaitsemiseen, syyn selvittämiseen ja tartunnan jäljittämiseen tarvittavat tiedot Terveyden ja hyvinvoinnin laitokselle sekä sairaanhoitopiirin kuntayhtymälle.
  • Asiakasrekisterin tietoja tilauksen yhteydessä ilmoitetussa laajuudessa voidaan luovuttaa tilausten toimittamiseksi verkkokaupan logistiikkakumppanille.

 

Rekisteröidyn oikeudet

Oikeus saada pääsy henkilötietoihin

Rekisteröidyllä on oikeus saada tietoa henkilötietojen käsittelystä ja tutustua itseään koskeviin tietoihin.

Rekisteröity voi tarkastella ja tutustua tietoihinsa ensisijaisesti kirjautuneelle asiakkaalle tarkoitetuissa verkkopalveluissa sekä Omakanta -palvelussa (www.kanta.fi/omakanta).

Oikeus tietojen oikaisemiseen

Rekisteröidyllä on oikeus pyytää virheellisten ja puutteellisten tietojen oikaisua.

Oikeus tietojen poistamiseen

Rekisteröidyllä on oikeus pyytää henkilötietojen poistoa. Poistopyyntöjä toteutetaan lainsäädännön mahdollistamissa rajoissa. Terveydentilaa koskevien tietojen osalta Medzillalla on lakisääteinen velvoite säilyttää tietoja potilasasiakirjoista annetun Sosiaali- ja terveysministeriön asetuksen mukaisesti.

Oikeus käsittelyn vastustamiseen tai rajoittamiseen

Rekisteröidyllä on tietyissä tilanteissa oikeus henkilökohtaiseen erityiseen tilanteeseensa liittyvällä perusteella milloin tahansa vastustaa häntä koskevien henkilötietojen käsittelyä.

Rekisteröidyllä on oikeus pyytää henkilötietojen käsittelyn rajoittamista, mikäli rekisteröity kiistää henkilötietojensa paikkansapitävyyden. Tällöin henkilötietojen käsittelyä rajoitetaan selvityksen ajaksi.

Oikeus siirtää tiedot järjestelmästä toiseen

Rekisteröidyllä on oikeus pyytää tietojen siirtoa järjestelmästä toiseen, jos tiedot ovat rekisteröidyn itse toimittamia ja henkilötietojen käsittely perustuu suostumukseen tai sopimukseen. Potilastietojen osalta siirto-oikeus ei ole sovellettavissa.

Potilastietojen osalta toinen terveydenhuollon toimija voi katsoa terveystietoja Kanta-palveluiden kautta asiakkaan suostumusten ja kieltojen mukaisesti. Kyseisiä suostumuksia ja kieltoja voit ylläpitää Omakanta -palvelun kautta (www.kanta.fi/omakanta).

Oikeus olla joutumatta automaattisen päätöksenteon kohteeksi

Rekisteröidyllä on oikeus olla joutumatta sellaisen päätöksen kohteeksi, joka perustuu pelkästään automaattiseen käsittelyyn, kuten profilointiin, ja jolla on häntä koskevia oikeusvaikutuksia tai joka vaikuttaa häneen vastaavalla tavalla merkittävästi. Kieltoon on kuitenkin poikkeuksia.

Suostumuksen peruuttaminen

Milloin henkilötietojen käsittely perustuu suostumukseen, asiakas voi peruuttaa antamansa suostumuksen milloin tahansa. Suostumuksen voi peruuttaa olemalla yhteydessä asiakaspalveluun.

Oikeus tehdä valitus valvontaviranomaiselle

Rekisteröidyllä on oikeus tehdä kantelu valvovalle viranomaiselle (Suomessa tietosuojavaltuutettu), mikäli asiakas katsoo, että henkilötietojen käsittelyssä on rikottu tietosuojalainsäädäntöä.

Rekisteröityjen oikeuksia koskevat pyynnöt tulee tehdä sähköisesti kirjallisesti henkilökohtaisesti vahvasti tunnistautuen. Pyynnön jättämisen yhteydessä rekisteröidyn henkilöllisyys varmennetaan luotettavalla tavalla.

 

Henkilötietojen suojaus

Medzilla käyttää asianmukaisia fyysisiä, teknisiä ja hallinnollisia suojakeinoja tietojen suojaamiseksi väärinkäytöksiltä. Tällaisia keinoja ovat muun muassa tietoverkkoliikenteen kontrollointi ja suodattaminen, salaustekniikoiden ja turvallisten laitetilojen käyttö, asianmukainen kulunvalvonta, hallittu käyttöoikeuksien myöntäminen ja niiden käytön valvonta, henkilötietojen käsittelyyn osallistuvan henkilöstön ohjeistaminen sekä palvelujemme suunnittelussa, toteuttamisessa ja ylläpidossa tapahtuva riskienhallinta. Medzilla valitsee käyttämänsä alihankkijat huolellisesti ja huolehtii sopimus- ja muilla järjestelyillä siitä, että tietoja käsitellään myös niiden toimesta lainsäädännön ja hyvän tietosuojakäytännön mukaan. Käyttäessään kolmannen osapuolen terveyssovelluksia käyttäjän tulee itse perehtyä palvelun tarjoajan tietosuojaselosteeseen ja hyväksyä käyttöehdot. Medzilla ei vastaa tällaisten kolmannen osapuolen terveys- ja hyvinvointisovellusten tietosuojakäytäntöjen ajantasaisuudesta. Käyttäjä itse päättää Apple HealthKit- ja Google Fit -palveluun kytkettyjen laitteiden terveys-ja hyvinvointitietojen ja sijainnin mahdollisesta jakamisesta näissä palveluissa.

 

Yhteystiedot

Tietosuojavastaava
e-mail tietosuoja@medzilla.fi

Potilasasiamies
e-mail potilasasiamies@medzilla.fi

 

Medzilla Oy
Revontulentie 11 H 23
02100 Espoo

 

/14.3.22