Rekisteri- ja tietosuojaselosteet
EU:n tietosuoja-asetus tulee voimaan 25.5.2018. Asetus velvoittaa myös pieniä yrityksiä henkilötietojen tarkempaan suojaamiseen. Nykyiseen henkilötietolakiin verrattuna tietosuoja-asetus sisältää yrityksille uusia velvoitteita.
Asiakas- ja työntekijärekisteri
Useimmilla yrityksillä on jonkinlainen asiakasrekisteri. Vaikka asiakaskunta koostuisi pelkästään yrityksistä, on rekisterissä yleensä tietoa myös asiakasyritysten yhteyshenkilöistä. Teidän kannattaa käydä rekistereistänne läpi, mitä tietoa sinne on henkilöistä tallennettu.
Yleensä asiakasrekisterit eivät sisällä kovinkaan arkaluontoisia henkilötietoja, joten niiden suhteen ei kannata tehdä kärpäsestä härkästä. Maanläheinen toimintatapojen kartoitus ja sopiminen ovat kuitenkin paikallaan. Esimerkiksi asiakastietojärjestelmän asianmukainen käyttäjähallinta on tärkeää myös liikesalaisuuksien, ei yksinomaan henkilötietojen turvallisuuden näkökulmasta.
Työntekijärekisterinne sekä heidän terveystietonsa sen sijaan sisältävät arkaluontoista henkilötietoa. Työterveyshuollon tarpeisiin tarvitaan tietoa henkilön sairauksista, sairauspoissaoloista, laajalti elämään liittyvista tarpeellisista ja riittävistä tiedosta. Myös henkilötunnusta käytetään työterveydessä säännönmukaisesti.
Tärkeintä on, että teillä on selkeä toimintatapa, miten säilytätte työterveydestä vastaanottamanne henkilötietoja sisältävän aineiston ja esim. Kelan korvauksiin ja työpaikan terveydellisiin olosuhteisin liittyviä tietoja.
Aineisto tulee säilyttää paperilla lukkojen takana tai tiedostomuodossa sellaisissa hakemistoissa, jotka on rajattu käyttöoikeuksin henkilöille, jotka tietoja työssään tarvitsevat ja / tai joilla on salassapitovelvollisuus.
Käytännön toimia pk-yrityksissä
Työterveyshuoltoon liittyviä asioita
Arkistoi työntekijöiden lääkärintodistukset lukkojen taakse tai sähköisessä muodossa hakemistoon, jonka käyttöoikeudet on rajattu.
Hävitä aineistot, kun ne eivät enää ole tarpeen. Jos esimerkiksi lääkärintodistusten perusteella on haettu ja saatu KELA-korvauksia, ovat lääkärintodistukset tositteita, jotka tulee säilyttää 6 vuotta. Ne tulee hävittää säilytysvelvollisuuden umpeuduttua, koska säilytyksellä ei ole enää lakisääteistä tai muuta perustetta.
Muita huomioitavia asioita
- Laadi ohjeet henkilötietojen käsittelyyn ja kouluta henkilötietoja käsittelevä henkilöstö.
- Harkitse, voiko tietoja lähettää suojaamattomassa sähköpostissa. Hyvin monet sähköpostipalvelut käyttävät jo salattua yhteyttä ja tarvittaessa löytyy ilmaisia sovelluksia sähköpostin sisällön suojaamiseen.
- Asiakasrekisteriinne rekisteröidyillä henkilöillä, samoin kuin työntekijöillänne, on oikeus tarkastaa omat tietonsa ja korjauttaa virheet. Mieti menettely, jolla kysyjä (esimerkiksi asiakkaan henkilö) tunnistetaan ja miten tiedot annetaan.
Olemme sopineet kanssanne työterveyshuoltoa varten seuraavat yhteyskäytännöt:
- Yrityksenne työterveyshuoltoa hoitavat nimetyt henkilöt ja tarvittaessa heidän tiimiparinsa tai sijaisensa.
- Toimitatte meille työterveyshuoltoa varten tarvittavat tiedot sovitulla tavalla
- Toimitamme teille työterveyshuollon Kelan korvauksia varten tuotetut tiedot sovitulla tavalla
- Palautamme tai hävitämme sovittavalla tavalla aineistot, kun niitä ei enää tarvita lainsäädännön perusteella.
Rekisterinpitäjän (= PSTT:n asiakkaan) tulee antaa ohjeistus henkilötietojen käsittelijälle (= PSTT:lle)
Päivitämme myös toimeksiantosopimuksia vastaamaan tietosuoja-asetuksen vaatimuksia. Rekisterinpitäjän tulee ohjeistaa työterveyshuoltoa henkilötietojensa käsittelystä.
Teidän tulee määritellä omien tietojenne käsittely. Oheisena malli ohjeistuksen antamiseen ( Rekisterinpitäjän ohjeistus henkilötietojen käsittelijälle). Mikäli ohjeistus soveltuu sellaisenaan organisaatiollenne, asia ei vaadi teiltä toimenpiteitä. Muussa tapauksessa palauttakaa muokattu lomake meille 1 viikon kuluessa.
Menetelmäkuvausta varten ohessa on Seloste henkilötietojen käsittelytoimista–lomake. Olemme kuvanneet lomakkeelle muun muassa asioita henkilötietojen toimittamisesta, käsittelystä, säilyttämisestä, säilytysajoista sekä tietojen luovuttamisesta, palauttamisesta ja poistamisesta. Käyttehän lomakkeen läpi ja jos huomaatte muutostarpeita, tehdään siihen tarvittaessa muutoksia yhdessä.
Teidän täytyy tiedottaa yrityksessänne henkilötietojen käsittelystä henkilöille, joiden henkilötietoja PSTT:n rekisterissä käsitellään.
Voitte esimerkiksi laittaa nähtäville henkilöstölle yllä mainitun henkilötietojen käsittelytoimien selosteen .
Tämän lisäksi teidän tulee ilmoittaa rekisteröidyille, että mahdolliset rekisterin tietojen tarkastus- tai muutospyynnöt kuuluu toimittaa tietojenkäsittelijälle , PSTT;lle, rekisterinpitäjän kautta. Teidän tulee myös laatia erillinen kuvaus tietosuoja-asetuksen mukaisesti rekisteröidylle tiedotettavista asioista
Rekisteröidyllä on Euroopan Unionin tietosuoja-asetuksen 15- 22 § mukaisesti oikeus:
- tarkastaa henkilötiedot
- tietojen oikaisemiseen
- tietojen poistamiseen
- käsittelyn rajoittamiseen
- siirtää tiedot järjestelmästä toiseen
Rekisteröidyn oikeuksia voi rajoittaa jokin toinen pakottava lainsäädäntö, jonka perusteella tietojen oikaisemisesta, poistamisesta, käsittelyn rajoittamisesta tai siirtämisestä järjestelmästä toiseen on oikeus ja velvollisuus kieltäytyä. Terveydenhuoltoa ohjaa salassapidon ja säilytyksen osalta usea asetus ja lainkohta Suomessa.
PSTT:n rekisteriselosteet löydätte internet-sivultamme.
Huomaattehan, että henkilötietolainsäädännön vastaisesta menettelystä voi olla seurauksena myös rikosoikeudellinen rangaistus tai vahingonkorvausvastuu
Tietosuoja-asetukseen liittyviä käsitteitä
Rekisteröity
tarkoittaa henkilötietojen pohjalta tunnistettavissa olevaa ihmistä, jonka henkilötiedot ovat käsittelyn kohteena. Tietosuoja
- asetus ei siis säätele esimerkiksi yrityksen asiakasrekisterin pitoa muuten kuin asiakkaiden yhteyshenkilöiden osalta.
Henkilötiedot
tarkoittavat kaikkia rekisteröityä koskevia tietoja, joiden perusteella tämä on suoraan tai epäsuorasti tunnistettavissa. Osa tiedoista on asetuksessa säädetty erityisen arkaluontoiseksi. Esimerkkinä voidaan mainita ihmisen terveystiedot ja ay-jäsenyystiedot.
Rekisteri
tarkoittaa mitä tahansa jäsenneltyä henkilötietoja sisältävää tietojoukkoa. Tietokantojen lisäksi esimerkiksi Excel-taulukko voi siis muodostaa rekisterin. Tyypillisiä rekistereitä pk-yrityksissä ovat asiakasrekisteri sekä työntekijärekisteri henkilöstöhallinnon ja palkanlaskennan tarpeisiin.
Rekisterinpitäjä
tarkoittaa luonnollista henkilöä tai oikeushenkilöä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Pk-yritys on työntekijärekisterinsä pitäjä, vaikka työterveyshuolto olisikin ulkoistettu työterveystoimijalle ja vaikka työterveyshuolto hoitaisi rekisterin tietojen ylläpidon ja käyttäisi rekisteriä työterveyshuollon hoitoon.
Henkilötietojen käsittelijä
tarkoittaa luonnollista henkilöä tai oikeushenkilöä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun. Esimerkiksi työterveyshuolto, joka käsittelee asiakkaiden työntekijöiden tietoja hoitaessaan työntekijöitä ,on henkilötietojen käsittelijä.
Riskiperusteisuus
tarkoittaa sitä, että yrityksen toimet on suunniteltava sen mukaan, mikä riski tietojen vuotamisella tai häviämisellä on. Esimerkiksi asiakasrekisterissä oleva tieto siitä, että Ville Virtanen (insinööri) toimii tuotantopäällikkönä yrityksessä X ja käyttää tiettyä puhelinnumeroa ja sähköpostiosoitetta ei aiheuta samanlaista riskiä kuin terveydenhuoltoalan yrityksen tieto asiakkaan terveydentilan kehityksestä tai palkanlaskentaa varten rekisteröity tieto Pekka Pekkalan sairauspoissaolojen suuresta määrästä.
Tausta ja dokumentin tarkoitus
Ohjeistuksella varmistetaan, että asetuksen velvoite henkilötietojen käsittelyn suojaustoimista toteutetaan huomioiden tietojen riskiperusteisuus. Artiklan 1 mukaisesti ”Tällä asetuksella suojellaan luonnollisten henkilöiden perusoikeuksia ja -vapauksia ja erityisesti heidän oikeuttaan henkilötietojen suojaan.”
Rekisterinpitäjän on ohjeistettava henkilötietojen käsittelijää siitä, kuinka henkilötietoja on käsiteltävä. Tietosuoja-asetus (29 artikla) määrää, että ”Henkilötietojen käsittelijä tai kukaan rekisterinpitäjän tai henkilötietojen käsittelijän alaisuudessa toimiva henkilö, jolla on pääsy henkilötietoihin, ei saa käsitellä niitä muuten kuin rekisterinpitäjän ohjei-den mukaisesti, ellei unionin oikeudessa tai jäsenvaltion lainsäädännössä niin vaadita.”
Käytännön toimenpiteet rekisterinpitäjältä tietojen käsittelijälle:
Kirjallinen toimeksiantosopimus
Rekisterinpitäjä on tehnyt kirjallisen sopimuksen (artikla 28) ulkoistaessaan henkilötietojensa käsittelyn. Sopimuksen mukaisesti käsittelijä huolehtii siinä sovituista tehtävistä. Tarkempi kuvaus tehtävistä on määritelty sopimuksen palveluerittelyllä. Sopimus määrittelee vastuunjaon osapuolten välillä. Sopimusta päivitetään tarvittaessa.
Salassapitosopimus
Rekisterinpitäjä on varmistanut, että henkilötietojen käsittelijän henkilöstö on sitoutunut noudattamaan salassapito-velvollisuutta (artikla 28). Käytännössä käsittelijä on tehnyt salassapitosopimuksen jokaisen kanssa, joka käsittelee näitä tietoja työssään. Muulla käsittelijän henkilöstöllä ei saa olla pääsyä henkilötietoihin.
Alihankkijoiden käyttäminen
Rekisterinpitäjä antaa ennakkoluvan, että henkilötietojen käsittelijä voi käyttää alihankkijoita toiminnassaan (artikla 28). Asetuksen edellyttämällä tavalla käsittelijän on ilmoitettava suunnitelluista muutoksista rekisterinpitäjälle.
Henkilötietojen käsittelyn turvallisuus -menetelmäkuvaukset
Rekisterinpitäjä on sopinut henkilötietojen käsittelijän kanssa henkilötietojen toimittamisesta, käsittelystä, säilyttämi-sestä, säilytysajoista sekä tietojen luovuttamisesta, palauttamisesta ja poistamisesta. Tässä on huomioitu tietojen käsittelyn riskit ja suojaustoimenpiteet sekä Kirjanpitolain mukainen velvoite kirjanpidon aineiston säilyttämisestä, jota palkanlaskennan aineisto on.
Ohjeiden ajantasaisuus käydään läpi määräajoin ja aina, kun prosesseissa tai käytettävissä järjestelmissä tapahtuu muutoksia.
Menetelmäkuvauksessa on huomioitu asetuksen vaatimus (artikla 24) ”Ottaen huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit rekisterinpitäjän on toteutettava tarvittavat tekniset ja organisatoriset toimenpiteet, joilla voidaan varmistaa ja osoittaa, että käsittelyssä noudatetaan tätä asetusta. Näitä toimenpiteitä on tarkistettava ja päivitettävä tarvittaessa.”
Rekisterinpitäjä noudattaa huolellisuutta henkilöiden tietojen säilyttämisestä ja vastaa siitä, että tietoihin pääsy on rajattu käsittelijöille, joiden tehtävien hoitaminen sitä edellyttää. Rekisterinpitäjä on toimeksiantosopimusta tehtäessä varmistanut, että myös tietojen käsittelijän henkilöstön keskuudessa toimitaan asetuksen mukaisesti ja sillä on asian-tuntemus, luotettavuus ja resurssit asetuksen noudattamiseksi. Ns. arkaluonteiset (artikla 9: muun muassa terveystiedot ja ay-jäsenyys) mukaiset tiedot on suojattava erityisellä huolellisuudella ja säilytettävä erillään muusta palkka-aineistosta.
Rekisterinpitäjä ohjeistaa tietojen käsittelijää käyttämään henkilötietojen välittämisessä suojattua tapaa, josta sovitaan erikseen.
Rekisterinpitäjä on varmistanut kirjallisesti järjestelmätoimittajilta, että heidän järjestelmissään noudatetaan tietosuojavelvoitteita teknisissä ratkaisuissa ja että järjestelmätoimittajien henkilökunta on koulutettu tietosuoja-asetuksen sisällöstä. Rekisterinpitäjä on varmistanut henkilötietojen käsittelijältä, että tämä on toiminut samoin omien järjestelmätoimittajiensa kanssa. Siltä osin kuin järjestelmistä siirretään tietoja toisiin järjestelmiin, on liittymien tietoturvan varmistettava toimivan asianmukaisesti.
Selosteet käsittelytoimista
Rekisterinpitäjä on kuvannut henkilötietojen käsittelytoimet selosteessaan. PSTT on tehnyt oman selosteen käsittelijänä asiakkaan henkilötietojen käsittelystä. (artikla 30).
Tiedottaminen ja tiedonanto rekisteröidylle
Rekisterinpitäjä on huolehtinut tiedottamisesta henkilöille, joiden henkilötietoja rekisterissä käsitellään. Tiedote on saatavilla yrityksen normaaleissa tiedotuskanavissa.
Rekisterinpitäjä on sopimuksessa käsittelijän kanssa ulkoistanut PSTT:lle rekisteröidyn omien tietojen toimittamisen tämän pyynnöstä. Tietopyynnöt käsittelijälle toimittaa sopimuksella ilmoitettu rekisterinpitäjän yhteyshenkilö. Tästä on ilmoitettu rekisteröidyille tehdyssä tiedotteessa.
Käsittelijän velvollisuus opastaa rekisterinpitäjää
Rekisterinpitäjä ohjeistaa tietojen käsittelijää, että tämän velvollisuus on asetuksen mukaan (artikla 28) opastaa rekisterinpitäjää tietosuoja-asetuksen määräysten noudattamisessa.
Mikäli käsittelijä huomaa rekisterinpitäjän henkilöstön toimivan asetuksen vastaisesti, on käsittelijän ilmoitettava siitä rekisterinpitäjälle. Mikäli rekisterinpitäjä tarvitsee tietosuoja-asetuksen sisältöön ja noudattamiseen liittyen opastusta, se pyytää käsittelijältä ohjeistusta.
Tietoturvaloukkauksista ilmoittaminen
Rekisterinpitäjä edellyttää tietojen käsittelijää tekemään ilmoitukset tietoturvaloukkausten ilmi tullessa asetuksen mukaisesti (artikla 33 ja 34).
Ohjeistuksessa mainitut dokumentit
Tässä ohjeistuksessa mainittujen dokumenttien, ohjeistusten ja muiden asiakirjojen ajantasaisuutta tarkastellaan vähintään kerran vuodessa. Mikäli prosesseihin tai järjestelmiin tulee muutoksia, niiden tietoturvallisuus ja suojaus-toimet varmistetaan ennen käyttöönottoa.
Rekisterinpitäjä
Pohjois-Suomen Työterveys ry (PSTT), Peltokatu 17, 90120 Oulu, 0403040000
Yhteyshenkilö rekisteriä koskevissa asioissa
Tietosuojavastaavan yhteystiedot
Paula Kolari, vastaava työterveyshoitaja
0403040000
etunimi.sukunimi@pohjois-suomentyoterveys.fi
Rekisterin nimi
Tieto Oy:n Dynamic Health rekisteri / Tutkimusrekisteri /Matkalaskurekisteri/
HR-rekisteri/ Asiakasrekisteri/Laskutusrekisteri/Jäsenrekisteri/
Organisaation hallinto
Henkilötietojen käsittelyn tarkoitus
Rekisteri on perustettu PSTT:n asiakassuhteiden ja työsuhteiden hoitamiseksi. Rekisteriin merkitään ne tiedot, joita tarvitaan PSTT.n palveluiden hoitamiseksi.
Rekisterin tietosisältö
Rekisterinpitäjän palkan-ja palkkionsaajat sekä korvaustensaajat palkka- ja henkilöstöhallinnon toteuttamiseksi rekisterinpitäjän henkilöasiakkaiden saatavien seuraamista varten, hallintoelimet yhdistyksen hallintoa varten.
Yhdistyksen jäsenet yhdistyksen hallintoa ja laskutusta vasten.
Työterveysasiakkaan nimi, sosiaaliturvatunnus, yritys/organisaatio, tehtävänimike, sähköpostisoite, postiosoite, toimiala, terveystiedot ja niihin liittyvät tutkimustulokset .sukupuoli, kieli, työsuhdetiedot ,palkka- ja palkkiotiedot ja -perusteet ,verokorttitiedot, työsopimus, tunnit ja työaikakirjaukset, poissaolot, lomat, lääkärintodistukset
Henkilörekisterin tietoja säilytetään Suomen lainsäädännön mukaisesti tarvittaessa 6-100 vuotta, ellei viranomaismääräyksistä muuta johdu. Määräysten mukaan rekisterissä pitää olla riittävät ja tarpeelliset tiedot hoitoa varten. Tarpeettomat tiedot hävitetään.
Säännönmukaiset tietolähteet
Tietolähteinä ovat asiakasrekisteri, joihin tiedot on saatu rekisteröidyiltä henkilöiltä tai asiakassopimuksen myötä seuranneista selvityksistä tai tutkimuksista .
Lisäksi tietoja saadaan veroviranomaisilta, Kelalta, vakuutusyhtiöiltä, ammattiyhdistyksiltä, työttömyyskassoilta sekä muilta tahoilta, joiden antamaa tietoa on käsiteltävä toimeksiannon hoitamiseksi. Tietoa voidaan kerätä myös sähköisistä järjestelmistä.
Tietojen säännönmukaiset luovutukset
Tietoja voimme luovuttaa Suomen laissa ja asetuksissa määrätyille tahoille yrityksen ulkopuolelle, viranomaisille, vakuutusyhtiöille , Kelalle, PSTT:n sisäisille toimijoille ja muille terveysalan toimijoille. Varmistamme aina, että asiaan kuuluvia terveysalan salassapitovelvoitteita noudatetaan.
Palveluksien tarjoaminen ja sopimuksien noudattaminen edellyttää henkilötietojen luovuttamista. Jos rekisteröity pyytää PSTT:n toteuttamaan hoidollisen asian, PSTT:n on luovutettava tiettyjä tietoja voidakseen toteuttaa hoidolliset tehtävät.
Sähköpostiosoitteita tai osoitetietoja ja yhteystietoja voidaan käyttää kohdentamaan digitaalista markkinointia ja yhteydenpitoa.
Rekisterinpitäjä toimittaa henkilötietoja yhteisesti sovitulla tavalla tietojen käsittelijälle
Tietoja voidaan luovuttaa lakien ja asetusten mukaisesti ja ilman erillistä valtuutusta veroviranomaisille, Kelalle, vakuutusyhtiöille, , työttömyyskassoille sekä työeläkekassoille.
Lisäksi tietoja voidaan ilman erillistä valtuutusta luovuttaa tilintarkastajalle (rekisterinpitäjän ja tilintarkastajan väliseen sopimukseen pohjautuen) sekä lakisääteisten velvollisuuksien täyttämiseksi muille viranomaisille.
Kirjallisen materiaalin luovuttamisen yhteydessä laaditaan tietojen luovutustodistus, josta käy ilmi luovutettavan aineiston perustiedot, kenelle luovutettu ja milloin. Tämä tosite säilytetään toimipisteittäin omissa kansioissa tai sähköisessä rekisterissä.
Tietojen siirto EU:n tai ETA:n ulkopuolelle
Rekisteriin kerättyjä tietoja ei siirretä EU:n tai Euroopan talousalueen ulkopuolelle.
Rekisterin suojauksen periaatteet
Manuaalinen aineisto
Manuaalista aineistoa syntyy rekisteristä.
Tietojärjestelmissä käsiteltävät tiedot
Rekisterin sähköiset tiedot ovat palvelun tarjoajan PSTT:n palvelimilla, joiden vartioinnista, valvonnasta ja salauksesta yritys on ilmoittanut sopimuksessaan. Tiedot säilötään EU:n alueelle. PSTT:n sähköisen järjestelmän käyttöoikeuden edellytyksenä on työsuhde PSTT:n tai sen tytäryhtiön kanssa. Kullakin käyttäjällä on henkilökohtainen tunnus ja salasana, jotka annetaan hänen käyttöönsä työsuhteen ajaksi. Käyttäjätunnukseen liitettyjen käyttöoikeuksien laajuus riippuu henkilön tehtävästä organisaatiossa. Käyttöoikeuksia ohjaa ns. minimitiedon periaate ja niiden käyttöä sekä tarvetta tarkkaillaan säännöllisesti. Työsuhteen päättyessä käyttötunnus muutetaan sellaiseen muotoon, ettei käyttäjä pysty sitä enää hyödyntämään.
Manuaalinen aineisto on PSTT:n tiloissa lukittavissa kaapeissa ja tiloissa, käyttöä henkilöstö valvoo.
Tekniset ja organisatoriset turvatoimet
Sähköisesti käsiteltävien rekisterien sisältämät tiedot suojataan teknisesti palomuureilla, salasanoilla ja tunnistautumistiedoilla. Tiedot varmuuskopioidaan ja varmuuskopiot säilytetään asianmukaisesti suojatulla tavalla järjestelmäkohtaisesti.
Tietojen käsittelijä suojaa asiakkaan tietoja luvattomalta käytöltä. Ainoastaan yksilöidyillä tietojen käsittelijän työntekijöillä on pääsy rekisterin sisältämiin tietoihin erikseen myönnettyjen käyttöoikeuksien perusteella. Käyttäjien käyttöoikeuksia valvotaan. Tietojen käsittelijältä poistuneiden työntekijöiden käyttöoikeudet poistetaan työsuhteen päättyessä kaikista järjestelmistä.
Rekisterinpitäjän tietoja käsittelee tietojen käsittelijän työntekijöistä vain se osa, joka on osoitettu tekemään kyseinen työ. Henkilötietojen käsittely muilla perusteilla on kielletty, vaikka tekninen pääsy asiakastietoon olisi mahdollinen työtehtävien perusteella. Koko tietojen käsittelijän henkilöstöllä on vaitiolovelvollisuus liittyen kaikkeen rekisterinpitäjän tietoon henkilötietoineen.
Salassapitovelvollisuus on kirjattu tietojen käsittelijän henkilöstön työsopimuksiin sekä erillisiin salassapitosopimuksiin. Rekisterinpitäjän tietoja käsittelevät työntekijät koulutetaan säännöllisillä koulutuksilla, mukaan lukien tietoturva-ja tietosuoja-asiat.
Rekisterinpitäjän tietoja käsitellään tietojärjestelmissä jotka sijaitsevat konesaleissa Suomessa tai Euroopan Unionin alueella sijaitsevissa pilvipalveluissa. Manuaalisesti ylläpidettävät aineistot sijaitsevat tietojen käsittelijän toimitiloissa, lukituissa kaapeissa / työhuoneissa
Tarkastusoikeus
Rekisteröidyllä on oikeus tarkistaa henkilörekisteriin tallennetut tietonsa. Tarkastuspyyntö tehdään kirjallisesti henkilökohtaisesti verkkosivuston kautta:
https://www.pohjois-suomentyoterveys.fi/ota-yhteytta/anna-palautetta/
Rekisterinpitäjä on tehnyt erillisen kuvauksen tietosuoja-asetuksen mukaisesti rekisteröidylle tiedotettavista asioista
Oikeus vaatia tiedon korjaamista
Rekisteröidyllä on oikeus vaatia rekisterissä olevan virheellisen tiedon korjausta. Korjauspyyntö tehdään kirjallisesti sähköpostiosoitteeseen
Muut henkilötietojen käsittelyyn liittyvät oikeudet
Rekisteröidyllä on oikeus kieltää tiedotus-, markkinointi- ja muut mahdolliset viestit, joita lähetetään asiakassuhteen ylläpitoa varten. Kieltäminen tapahtuu kirjallisena verkkosivuston kautta lomakkeelta https://www.pohjois-suomentyoterveys.fi/ota-yhteytta/anna-palautetta/
Rekisterinpitäjän ohjeistus tietojen käsittelijälle
Rekisterinpitäjä on antanut henkilötietojen käsittelijälle henkilöstörekisterin tietojen käsittelystä ohjeistuksen, joka säilytetään asiakaskohtaisissa tiedostokansioissa, osana toimeksiantoon liittyvää muuta ohjeistusta. Rekisterinpitäjä ja tietojen käsittelijä sopivat henkilötietojen kausittaisesta, kuukausittaisesta ja/tai vuosittaisesta käsittelystä osana asiakaskohtaista toimintaohjetta. Tietojen käsittelijä päivittää ja ylläpitää ohjeistusta.
Tietoturvaloukkauksista ilmoittaminen
Rekisterinpitäjälle
Ilmoitus tehdään heti tietosuojaloukkauksen tultua ilmi. Ilmoituksessa kerrotaan tietosuojaloukkauksen luonne sekä toimenpiteet, joihin on ryhdytty lain edellyttämällä tavalla.
Rekisteröidylle
Ilmoitus tehdään rekisteröidylle rekisterinpitäjän toimesta, jos tietosuojaloukkauksesta aiheutuu todennäköisesti korkea riski tämän oikeuksille. Ilmoituksessa kerrotaan tietosuojaloukkauksen luonne sekä toimenpiteet, joihin on ryhdytty lain edellyttämällä tavalla.
Valvontaviranomaiselle
Ilmoitus tehdään tietosuojaviranomaisille kolmen (3) vuorokauden kuluessa ilmitulosta, mikäli tietosuojaloukkauksesta todennäköisesti aiheutuu luonnollisen henkilön oikeuksiin kohdistuvaa riskiä. Ilmoituksessa kerrotaan tietosuojaloukkauksen luonne sekä toimenpiteet, joihin on ryhdytty lain edellyttämällä tavalla.
Rekisteröidyn oikeudet
Rekisterinpitäjä on tehnyt erillisen kuvauksen tietosuoja-asetuksen mukaisesti rekisteröidylle tiedotettavista asioista. Rekisteröidyllä on Euroopan Unionin tietosuoja-asetuksen mukaisesti oikeus:tarkastaa henkilötiedot, tietojen oikaisemiseen, tietojen poistamiseen, käsittelyn rajoittamiseen, siirtää tiedot järjestelmästä toiseen. Joidenkin rekisterinpitäjän oikeuksien toteutumista rajoittaa jokin toinen pakottava lainsäädäntö, jonka perusteella tietojen käsittelijällä on oikeus ja velvollisuus kieltäytyä tietojen oikaisemisesta. Jos rekisterinpitäjän työntekijä/asiakas haluaa tarkistaa tai muuttaa tietojaan PSTT:n omistuksessa olevaan henkilörekisteriin kuuluvista tiedoista, tulee hänen tehdä kirjallinen tietojen tarkastus- tai muutospyyntö rekisterinpitäjälle ja rekisterinpitäjä huolehtii toimeenpanosta yhdessä tietojen käsittelijän kanssa.
Rekisterinpitäjän ohjeistus tietojen käsittelijälle
Rekisterinpitäjä on antanut henkilötietojen käsittelijälle henkilöstörekisterin tietojen käsittelystä ohjeistuksen, joka säilytetään asiakaskohtaisissa tiedostokansioissa, osana toimeksiantoon liittyvää muuta ohjeistusta.Rekisterinpitäjä ja tietojen käsittelijä sopivat henkilötietojen kausittaisesta, kuukausittaisesta ja / tai vuosittaisesta käsittelystä osana asiakaskohtaista toimintaohjetta. Tietojen käsittelijä päivittää ja ylläpitää ohjeistusta.
Työterveysyritys, Pohjois-Suomen Työterveys ry /PSTT:
Peltokatu 17 , 90120 Oulu, Finland. Asiakaspalvelu puh. 0403040000, timo.ohukainen@pohjois-suomentyoterveys.fi , Y-tunnus: 0187784-0. Osoitelähde: PSTT:n asiakas- ja kohderyhmärekisteri
Henkilötietolain (523/1999) 10§:n ja 24§:n mukainen rekisteriseloste
REKISTERINPITÄJÄ
Pohjois-Suomen Työterveys ry (Y-tunnus: 0187784-0)
Uusikatu 53 90120 Oulu
Käyntiosoite Peltokatu 17 90120 Oulu
REKISTERIASIOITA HOITAVA HENKILÖ
email: etunimi.sukunimi@psttry.fi
TIETOSUOJAVASTAAVA
Paula Kolari, vastaava työterveyshoitaja
+358403040000
Sähköposti etunimi.sukunimi@psttry.fi
REKISTERIN NIMI
Pohjois-Suomen Työterveys ry:n asiakasrekisteri Dymanic Health / Tieto oy
REKISTERIN PITÄMISEN PERUSTE
Henkilö on rekisteröitynyt Pohjois-Suomen Työterveys ry:n asiakkaaksi, ostanut Pohjois-Suomen Työterveys ry:ltä terveyspalveluja tai osallistuu Pohjois-Suomen Työterveys ry:n järjestämään tilaisuuteen tai kokoukseen
REKISTERIN KÄYTTÖTARKOITUS
Rekisterin käyttötarkoitus on Pohjois-Suomen Työterveys ry:n asiakasrekisterin ylläpitäminen sekä asiakkaiden henkilötietojen arkistointi ja käsittely sekä asiakassuhteen hoitaminen. Tietoja voidaan käyttää Pohjois-Suomen Työterveys ry:n toiminnan kehittämiseen, tilastollisiin tarkoitukseen. Henkilötietoja käsitellään henkilötietolain sallimissa ja edellyttämissä rajoissa.
Rekisterin tietoja voidaan käyttää Pohjois- Suomen Työterveys ry:n omissa rekistereissä mainonnan kohdistamiseen luovuttamatta henkilötietoja ulkopuolisille tahoille. Pohjois- Suomen Työterveys ry käyttää asiakas- ja palvelusuhteen ylläpitämiseen yhteistyökumppaneita. Osa rekisteritiedoista saatetaan siirtää yhteistyökumppanin palvelimille teknisten vaatimusten vuoksi. Tietoja käsitellään ainoastaan asiakassuhteen Pohjois- Suomen Työterveys ry ylläpitämiseen teknisten rajapintojen kautta.
REKISTERIN SISÄLTÄMÄT TIEDOT
Henkilörekisteri sisältää seuraavia tietoja:
- Henkilön etu- ja sukunimi
- Sähköpostiosoite
- Postiosoite
- Puhelinnumero
- Osoite
- Sosiaaliturvatunnus
TIETOJEN LUOVUTUS
Asiakasrekisterin tiedot ovat ainoastaan Pohjois-Suomen Työterveys ry:n käytössä, paitsi käyttäessä ulkoista Pohjois-Suomen Työterveys ry palveluntarjoajaa joko lisäarvopalvelun tuottamiseen. Tietoja ei kuitenkaan luovuteta Pohjois- Suomen Työterveys ry:n ulkopuolelle tai sen yhteistyökumppaneiden omaan käyttöön, perintään tai laskutukseen liittyvissä asioissa sekä lainsäädännön velvoittaessa. Henkilötietoja ei siirretä Euroopan Unionin ulkopuolelle.
Rekisteröityneen henkilötiedot arkistoidaan potilasarkisto lainsäädännön mukaisesti ellei avoimet laskut tai perintätoimet estä tietojen arkistoimista.
REKISTERIN SUOJAUS
Rekisteriä ei luovuteta sivullisille. Rekisterin käyttöoikeus edellyttää sisäisen verkon Pohjois- Suomen Työterveys ry:n käyttäjäoikeuksia. Rekisteri sijaitsee salasanasuojatulla Pohjois-Suomen Työterveys ry:n palvelimella.