Vaalan Fysioterapia Oy:n tietosuojaseloste

Tämä asiakirja sisältää EU:n yleisen tietosuoja-asetuksen (2016/679) mukaisesti rekisteröidylle
toimitettavat tiedot.

1. Rekisterinpitäjän yhteystiedot

Rekisterinpitäjä on: Vaalan Fysioterapia Oy
Y-tunnus 1073977-3
Vaalantie 15, 91700 Vaala, 08 5361 589
www.vaalanfysioterapia.fi

Tietosuojavastaavan/ tietoturvan vastuuhenkilön yhteystiedot:

Emilia Huusko, puh. 041 3179 336

2. Henkilötietojen käsittelyn tarkoitus ja käsittelyn peruste sekä vastaanottoryhmät

Henkilötietoja käsittelyn peruste ja tarkoitus on sosiaali- ja terveydenhuollon asiakastietojen
käsittelystä annetun lain (ns. asiakastietolaki, laki 703/2023) edellyttämän potilas- ja
asiakasrekisterin ylläpitäminen: EU:n yleinen tietosuoja-asetuksen 6 artiklan 1 c) alakohta
(käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi). Muiden
henkilötietojen osalta käsittelyperuste on asetuksen 6 artiklan 1 b alakohta (käsittely on tarpeen
sopimuksen täytäntöönpanemiseksi).

Potilasrekisteriin kuuluvat mm. potilaan nimi, henkilötunnus, kotiosoite, muut yhteystiedot
sekä kaikki hoidon järjestämisessä ja toteuttamisessa käytettäviä, laadittuja tai saapuneita
asiakirjoja taikka teknisiä tallenteita, jotka sisältävät asiakkaan terveydentilaa koskevia tai
muita henkilökohtaisia tietoja. Näin kerättyjä tietoja käytetään terveydenhuollon palveluiden
tuottamiseen ja siihen kiinteästi liittyviin toimintoihin. Asiakkaan yhteystietoja voidaan käyttää
lain sallimalla tavalla myös palveluiden markkinointiin. Sähköinen suoramarkkinointi
kuluttaja-asiakkaalle edellyttää erillistä suostumusta.

Rekisterinpitäjä voi käyttää potilastietojen käsittelyssä alihankkijoita, kuten sähköisiä
potilastietojärjestelmiä tuottavia yrityksiä tai muita terveydenhuollon palveluntuottajia. Tällöin
sopimuskumppanin kanssa laaditaan EU:n tietosuoja-asetuksen 28 artiklan ja yllä mainitun
asiakastietolain edellyttämä sopimus henkilötietojen käsittelystä.

Potilastiedot ovat lakisääteisen salassapitovelvollisuuden piirissä (asiakastietolaki 4 § ja 5 § sekä
rikoslain 38 luvun 1 ja 2 §). Potilastietoja ei luovuteta sivullisille ilman lakiin perustuvaa syytä
tai asiakkaan nimenomaista ja erikseen saatua suostumusta. Sivullisella tarkoitetaan muita kuin
asianomaisessa toimintayksikössä tai sen toimeksiannosta potilaan hoitoon tai siihen liittyviin
tehtäviin osallistuvia henkilöitä.

Säännönmukaisesti asiakas- ym. henkilötietoja luovutetaan edellä mainittujen perusteiden
täyttyessä seuraaville tahoille: yrityksen tiloissa toimivat ammatinharjoittajat tai palvelun
maksava taho, esim. Kela, Pohde tai vakuutusyhtiö, tai potilaan lähettävä taho, esim. lääkäri.

Muut asiakkaasta kerättävät tiedot kuin potilastiedot ja niiden käyttötarkoitus:
Kuntosaliasiakkaista kerätään hieronta- ja fysioterapia-asiakastietojärjestelmästä erillään
olevaan asiakasjärjestelmään tietoja (nimi, synt.aka, sukupuoli, sähköposti, puhelinnumero,
osoite ja markkinointisuostumukset), joka mahdollistaa sähköisen kulunvalvonnan ja
kuntosalinkäytön asiakkailleen. Näiden järjestelmien asiakastiedot eivät synkronoidu
automaattisesti vaan ovat toisistaan irrallisia järjestelmiä.

3. Henkilötietojen säilytysaika

Potilastietoja säilytetään niin pitkään kuin laki potilaan asemasta ja oikeuksista sekä sen
perusteella annettu potilasasiakirja-asetus (94/2022) edellyttävät. Pääsääntöisesti potilastietoja
säilytetään asetuksen mukaisesti 12 vuotta potilaan kuolemasta, tai mikäli kuolemasta ei ole
tietoa, 120 vuotta potilaan syntymästä.

Kuntosaliasiakkuuksista tiedot säilytetään toistaiseksi, enintään 2 vuotta aktiivisen käyntiajan
loputtua.

4. Rekisteröidyn oikeudet

Rekisteröitynä sinulla on tietosuoja-asetuksen mukainen oikeus pyytää sinusta kerättyjä tietoja
nähtäville sekä oikeus pyytää kyseisten tietojen oikaisemista, poistamista tai pyytää käsittelyn
rajoittamista sekä vastustaa tietojen käsittelyä. Mikäli kyseessä on sähköisesti tuotettu tieto
jonka käsittely perustuu sopimukseen, on sinulle myös oikeus saada sinusta kerätyt
automaattisesti käsitellyt tiedot siirretyksi sähköisesti järjestelmästä toiseen.
Siltä osin kuin tietojen säilytys perustuu lakiin, ei rekisteröidyllä ole ehdotonta oikeutta vaatia
potilastietoja poistettavaksi tai oikeutta vastustaa tai rajoittaa tietojen lakisääteistä käsittelyä
tietosuoja-asetuksen sallimalla tavalla. Hoidon yhteydessä annettavat pakolliset tiedot on
lueteltu yllä viitatun asiakastietolain 27 §:ssä.

5. Oikeus peruuttaa suostumus

Potilastietojen käsittely ei perustu rekisteröidyn suostumukseen, vaan on rekisterinpitäjän
lakisääteinen velvollisuus. Milloin (muiden kuin lakisääteisten potilas-) tietojen käsittely
perustuu suostumukseen, on sinulla rekisteröitynä oikeus peruuttaa tällainen suostumus
milloin tahansa. Suostumuksen peruuttaminen ei vielä kuitenkaan lopeta henkilötietojen
käsittelyä, mikäli käsittelylle on muu tietosuoja-asetuksen 6 artiklassa mainittu tai
lainsäädännöllä säädetty peruste.

6. Oikeus tehdä valitus valvontaviranomaiselle

Rekisteröitynä sinulla on oikeus tehdä tietojesi käsittelystä valitus valvontaviranomaiselle.
Toimivaltainen valvontaviranomainen Suomessa on tietosuojavaltuutetun toimisto
www.tietosuoja.fi

7. Henkilötietojen antaminen on palvelun suorittamisen lakisääteinen edellytys

Henkilötietojen (nimi, yhteystiedot, kotipaikka, henkilötunnus jne.) antaminen on
terveydenhuollon palveluiden antamisen edellytys ja perustuu potilaan asemasta ja oikeuksista
annettuun lakiin ja asetukseen. Potilastietojen tallentamisesta lakisääteiseen kansalliseen
Kanta-arkistoon informoidaan yllä mainitun asiakastietolain edellyttämällä tavalla Kelan Kanta-
palveluiden omilla materiaaleilla tai suullisesti. Annettu Kanta-informointi kirjataan aina
suoraan Kanta-palveluihin erilleen palveluntuottajan potilasrekisteristä.

8. Automaattinen päätöksenteko tai profilointi

Rekisterinpitäjän hallinnoimien henkilötietojen käsittelyyn ei liity automaattista
päätöksentekoa tai profilointia.

9. Tietojen käyttötarkoituksen muutoksesta on ilmoitettava asiakkaalle

Jos rekisterinpitäjä aikoo käsitellä henkilötietoja edelleen muuhun tarkoitukseen kuin siihen,
johon henkilötiedot alun perin kerättiin, on rekisterinpitäjän tietosuoja-asetuksen mukaisesti ilmoitettava rekisteröidylle ennen kyseistä jatkokäsittelyä tästä muusta tarkoituksesta ja annettava kaikki asiaankuuluvat lisätiedot tietosuoja-asetuksen mukaisesti.

Tämän lisäksi on huomioitava, että lakisääteisten potilastietojen käyttötarkoituksen on
muutoksen jälkeenkin oltava potilassalaisuutta koskevan lainsäädännön sallimat.