T I E T O S U O J A S E L O S T E
Päivitetty 16.1.2026
Henkilötietolaki 523/1999 10
Tämä on Fysioterapeutti Sanni Mero – yrityksen henkilötietolain (10 & 23 §) ja EU:n yleisen tietosuoja-asetuksen (GDPR) mukainen rekisteri- ja tietosuojaseloste. Laadittu 10/2018. Päivitetty viimeisimmän kerran 8.5.2025.
Asiakkaiden henkilötietoja käsitellään asianmukaisesti, huolellisesti ja turvallisesti ja niitä kerätään, jotta yritys pystyy tarjoamaan asiakkailleen parasta mahdollista palvelua. Samaa edellytetään yrityksen yhteistyökumppaneilta.
Rekisterin pitäjä
Sanni Mero/ Fysioterapeutti Sanni Mero
044 0822 422
Y-tunnus 2688405-1
Yhteyshenkilö rekisteriä koskevissa asioissa
Sanni Mero
044 0822 422
Rekisterin nimi
Fysioterapeutti Sanni Meron potilas- ja asiakastietorekisteri
Rekisteriin liittyvät sivustot
https:// sannimero.fi
Henkilötietojen käsittelyn tarkoitus
Fysioterapeutti Sanni Meron potilas- ja asiakastietorekisterin henkilötietojen käsittelyn tarkoituksena on:
1. Mahdollistaa fysioterapia-asiakkaan tutkimus, hoito ja kuntoutus sekä valmennusasiakkaan valmennuspalvelu joko lähitapaamisina Tampereella tai etätapaamisina Doxy:n kautta, sekä näiden suunnittelu & seuranta.
2. Mahdollistaa vastaanottokäyntien sekä välillä tapahtuva tarvittava yhteydenpito puhelimitse / tekstiviestitse & valmennustapaamisten välillä tapahtuva etätuki Whatsapp:n välityksellä / tekstiviestitse / sähköpostitse.
3. Mahdollistaa koulutusten- & työpajojen järjestäminen asiakkaille joko lähitapahtumina tai etänä.
4. Mahdollistaa verkkoajanvaraus vastaanotolle Timman kautta.
5. Mahdollistaa valmennussopimusten tekeminen ja solmiminen palvelun tuottajan & asiakkaan välillä asiakkaan ostaessa valmennuspaketin.
6. Mahdollistaa ostettujen / tilattujen verkkotuotteiden maksu Stripen kautta pankkikorttitiedoilla & sisäänkirjautumistietojen välitys verkkokurssialustalle (Kajabi) sähköpostitse Kajabin kautta.
7. Mahdollistaa asiakkaiden laskutus sähköpostitse sekä Netvisor-järjestelmän kautta ja korttimaksut Zettle PayPalin kautta sekä mahdollistaa mahdolliset laskutusten perintä-asiat.
8. Mahdollistaa sähköpostilistan ylläpitäminen, markkinointi ja asiakkaiden kontaktointi asiakkaan liittyessä sähköpostilistalle tai täyttäessä & lähettäessä yhteydenottolomakkeen Fysioterapeutti Sanni Meron kotisivujen kautta.
9. Lisäksi tietoja käsitellään arkistoinnissa, laadunvalvonnassa ja neuvonnassa.
10. Lisäksi fysioterapia-asiakkaiden henkilötietoja voidaan tarvittaessa joskus käyttää terveydenhuollon toiminnan suunnitteluun, tilastointiin, arviointiin ja tieteelliseen tutkimustoimintaan.
Fysioterapeutti Sanni Meron Kotisivuja ylläpidetään Kajabissa (https://sannimero.fi), jonka kautta tietoja kerätään ja säilytetään edellä mainittujen Kajabin ulkopuolisten kanavien (Timma, Stripe, Doxy, Netvisor) lisäksi tilanteen niin vaatiessa. Lisäksi tietoja käsitellään tietojen arkistoinnissa, laadunvalvonnassa ja neuvonnassa.
Henkilötietojen käsittely ja tallentaminen potilas- ja asiakastietorekisteriin on edellytys Fysioterapeutti Sanni Meron tuottamien vastaanotto-, valmennus-, koulutus- & verkkopalveluiden käyttöön.
Henkilötietojen käsittely perustuu asiakassuhteeseen (Henkilötietolain 8 § 1 mom 5. kohta) tai verkkotuotteen ostoon. Arkaluonteisten tietojen käsittely perustuu yrityksen toimialaan (Henkilötietolain 12 § 1 mom 10. kohta) ja tällä tarkoitetaan vastaanottotyön yhteydessä käsiteltäviä tietoja.
Henkilötietojen käsittelyyn liittyvät oikeusperusteet
Laki potilaan asemasta ja oikeuksista (785/92) 4 luku
Sosiaali- ja terveysministeriön asetus potilasasiakirjoista (298/2009)
EU:n yleinen tietosuoja-asetus 6 artiklan 1.c) kohta ja 9 artiklan 2.h) kohta (terveystietojen käsittely)
Henkilötietolaki 12 ja 13 §:t -> Tietosuojalaki (XX/2018) 29 § (henkilötunnuksen käsittely)
Potilaslain mukaan fysioterapiavastaanottotyössä Fysioterapeutti Sanni Merolla on lakisääteinen velvollisuus potilasasiakirjojen laatimiseen, jokainen terveydenhuollon ammattihenkilö on velvollinen merkitsemään potilasasiakirjoihin potilaan hoidon järjestämistä, suunnittelua, toteutusta ja seurantaa turvaamaan tarvittavat tiedot. Potilasasiakirjojen laatimisesta ja käyttötarkoituksen perusteella määräytyvistä säilytysajoista säädetään tarkemmin sosiaali- ja terveysministeriön asetuksella.
Valmennuspalveluiden osalta potilastietolaki ei päde, vaan sitä sitoo GDPR, jonka mukaisesti valmennusprosessien aikana syntyneitä muistiinpanoja käsitellään asianmukaisin ja soveliain menettelyin.
Kotisivujen (ylläpidetään Kajabissa) kautta kerättävät asiakastiedot (sähköpostilista, yhteydenottolomake), Timman verkkoajanvarauspalvelun kautta kerättävät tiedot, Stripen maksuvälityksen kautta kerättävät tiedot, Zettlen korttimaksujen kautta kerättävät tiedot, sekä Netvisoriin laskutusta ja kirjanpitoa vasten kerättävät tiedot tallennetaan aiemmin mainittuja syitä varten ja niitä säilytetään toistaiseksi, ellei asiakas ilmoita halustaan poistaa tietoja näistä asiakasrekisterin osista.
Rekisterin tietosisältö
Potilastietorekisteri (potilaan henkilötiedot & potilaskirjaukset) ja valmennusasiakkaiden rekisteri (valmennussopimukset & tapaamisten muistiinpanot) pitää sisällään seuraavat, tai osan seuraavista henkilötiedoista:
A. Kaikilta valmennus- & fysioterapia-asiakkailta kerätään:
- Koko nimi
- Syntymäaika
- Yhteystiedot (kotiosoite, puhelinnumero ja sähköpostiosoite)
- Mahdollisen yritysasiakkaan (mentorointivalmennus) tiedot, kuten yrityksen nimi ja y-tunnus
- Ajanvaraustiedot
- Laskutustiedot
- Tiedot ostetuista palveluista / tuotteista
- Tietojen tallentamista ja luovuttamista koskevat luvat/ kiellot
- Mahdolliset tietojen luovutuksia koskevat tiedot ja luovutusten perusteet
B. Fysioterapia-asiakkailta kerätään yllä mainittujen lisäksi:
- Henkilötunnus
- Asiakkaan mahdollisen yhteyshenkilön / alaikäisen asiakkaan huoltajan nimi ja tämän henkilön yhteystiedot sekä tarvittaessa henkilötunnus
- Asiakkaan hoidon kannalta välttämättömät terveystiedot ja esitiedot (mm. kertomustiedot ja potilaskorttitiedot, lähetteet sekä lausuntotiedot)
- Hoidon kannalta tarvittavat aiemmat tutkimustiedot (mm. laboratorio-, kuvantamis- ja muut tutkimustiedot)
- Merkinnän potilaskirjausten tekijän nimestä, asemasta ja ajankohdasta sekä tietojen lukijan tiedot
- Potilaan toimittamat tai hänen suostumuksellaan hankitut, muualta saadut terveystiedot, jotka otetaan tarpeen mukaan osaksi terveyskertomusta
C. Fysioterapian maksusitoumusasiakkailta kerätään edellä mainittujen lisäksi seuraavia tietoja:
- Työnantaja ja sen yhteystiedot (jos työterveyden maksusitoumus)
- Työsuhdetta kuvaavat tiedot (mukaan lukien osasto/toimipiste, ammattinimike ja muut vastaavat tiedot)
- Vakuutusyhtiötiedot (jos vakuutusyhtiön maksusitoumus)
- Fysioterapiavastaanottokäyntien maksajan maksutiedot / laskutustiedot
Fysioterapeutti Sanni Meron työssään käyttämät eri tietoja keräävät verkkojärjestelmät keräävät / säilyttävät seuraavia tietoja:
A. Timman kautta verkkoajanvarauksesta aikaa varaavalta asiakkaalta kerätään seuraavia tietoja:
Nimi
Puhelinnumero
Sähköposti
Lisätiedot ajanvarauksen yhteydessä (vapaaehtoinen)
B. Zettle PayPal kautta korttimaksulla maksavalta asiakkaalta kerätään seuraavia tietoja:
Nimi
Ostoksen ajankohta ja summa
C. Verkkotuotteita ostavilta (verkkotuotteet ylläpidetään Kajabissa ja korttimaksut tapahtuvat Stripen kautta) asiakkailta kerätään oston yhteydessä seuraavia tietoja:
Nimi
Sähköpostiosoite
Pankkikorttitiedot verkko-ostoksen yhteydessä (joita ei kuitenkaan tallenneta oston yhteydessä)
Verkkoyhteyden IP-osoite
Tiedot tilatuista / ostetuista palveluista
D. Sähköpostilistalle (ylläpidetään Kajabissa) liittyviltä asiakkailta & yhteydenottolomakkeen (ylläpidetään Kajabissa) kautta yhteyttä ottavilta asiakkailta kerätään seuraavat tiedot:
Nimi
Sähköpostiosoite
E. Netvisoriin kerätään ja tallennetaan asiakkaan laskutusta & yrityksen kirjanpitoa varten seuraavat tiedot:
Nimi
Mahdollisen yrityksen nimi & Y-tunnus
Laskutustiedot
Tiedot laskutettavista tuotteista / palveluista ja niiden summista
Säännönmukaiset tietolähteet
Yllä mainitut tiedot saadaan pääasiallisesti asiakkaalta itseltään tai alaikäisen asiakkaan huoltajalta, puhelimitse, tekstiviestitse, sähköpostitse, verkkosivujen yhteydenottolomakkeen kautta (Kajabi), sähköpostilistalle liittymislomakkeen kautta (Kajabi), verkkoajanvarauksen kautta (Timma), korttimaksupalvelun kautta (Stripe), sosiaalisen median palveluiden kautta, sopimuksista, asiakastapaamisista ja muista tilanteista, joissa asiakas luovuttaa tietojaan yrityksen palveluiden hankkimiseksi. Lisäksi tietoja fysioterapiavastaanotolla käyvistä asiakkaista voidaan saada lähettäneiden lääkäreiden kautta, asiakkaan suostumuksella toisista terveydenhuollon toimintayksiköistä tai joskus väestörekisterikeskukselta. Tiedoiksi luetaan myös tutkimusten ja hoidon yhteydessä asiakkaasta muodostettuja tietoja.
Rekisterin suojaaminen ja tietojen käsittelyn periaatteet
Fysioterapeutti Sanni Mero noudattaa asiakastietoja käsitellessään lainsäädännön asettamia huolellisuus- ja suojaamisvelvoitteita sekä hyvää tiedonhallintatapaa. Potilastietorekisterin tiedot ovat salassa pidettäviä ja Fysioterapeutti Sanni Mero näin ollen salassapito- ja vaitiolovelvollinen. Tietoja käsittelee vain asiakkaan palveluun tai fysioterapia-asiakkaan hoitoon ja kuntoutukseen osallistuva/ osallistuvat henkilöt. Tämä salassapito- ja vaitiolovelvollisuus jatkuu myös mahdollisen yritystoiminnan päättymisen jälkeen.
Asiakasietojen suojaamiseksi Fysioterapeutti Sanni Mero noudattaa myös hyvää käyttäjätunnusten käytönhallintaa ja arkiston säilytystapaa.
A. Fysioterapia-asiakkaiden potilastietorekisteri on manuaalinen ja siihen arkistoitavat tiedot ovat suojattuna lukkojen taakse asianmukaisesti. Potilaskirjausten lisäksi samassa lukollisessa arkistossa säilytetään myös mahdollisia kopioita lääkärin lähetteistä sekä maksusitoumuspapereita. Avaimet manuaaliseen potilasarkistoon ovat vain tietoja työnsä perusteella käsittelevällä henkilöllä (Sanni Mero).
B. Valmennusasiakkaiden valmennusprosessien aikana tehtävät muistiinpanot sekä kunkin yksilövalmennusasiakkaan kanssa tehtävät valmennussopimukset säilytetään manuaalisesti lukollisessa kaapissa. Avaimet lukolliseen kaappiin, jossa valmennusmuistiinpanoja ja valmennussopimuksia säilytetään, ovat vain tietoja työnsä perusteella käsittelevällä henkilöllä (Sanni Mero).
C. Fysioterapeutti Sanni Meron sähköisen asiakasrekisterin asiakastietoja, joihin lukeutuvat asiakkaiden nimi, yhteystiedot ja laskutustiedot, (ei siis potilaskirjauksia tai valmennusmuistiinpanoja), säilytetään ajanvarausta, laskutusta, markkinointia & valmennuspalveluiden passiivisen materiaalin / verkkotuotteiden toimitusta varten erillisissä suojatuissa tietojärjestelmissä salasanojen takana. Näitä järjestelmiä ovat Timma, Kajabi, Zettle, Stripe & Netvisor. Nämä järjestelmät ovat sitoutuneita noudattamaan toiminnassaan riittävää suojaustasoa tietosuojan edellyttämällä tavalla ja lisäksi ne ovat suojattuina palomuurin, sisäänkirjautumistunnusten ja salasanojen taakse. Sisäänkirjautumistunnukset ja salasanat ovat ainoastaan järjestelmiä käyttävän henkilön (Sanni Mero) hallussa. Lisäksi valmennusasiakkaiden valmennussopimuksia voidaan säilyttää Fysioterapeutti Sanni Meron tietokoneella salasanalla suojatusti. Rekisterin tiedot ovat luottamuksellisia. Niissä tapauksissa, joissa rekisterin näitä asiakastietoja säilytetään internet-palvelimilla, niiden laitteiston fyysisestä ja digitaalisesta tietoturvasta huolehditaan asiaankuuluvasti. Palvelimien käyttöoikeuksia ja muita henkilötietojen turvallisuuden kannalta kriittisiä tietoja käsitellään luottamuksellisesti ja vain niiden työntekijöiden toimesta, joiden työnkuvaan se kuuluu.
Tietojen säännönmukaiset luovutukset
Pääsääntöisesti Fysioterapeutti Sanni Mero ei luovuta rekisterissä olevia potilas- ja asiakastietoja kolmansille osapuolille. Poikkeuksena perustietoja (ei potilastietoja) voidaan tarvittaessa luovuttaa sellaisille toimijoille, jotka käsittelevät tietoja rekisterinpitäjän lukuun, esimerkiksi kirjanpitäjälle. Tietoja ei pääsääntöisesti luovuteta EU:n tai Euroopan talousalueen ulkopuolelle. Jotkut alustat, kuten Kajabin verkkokurssialusta tai Stripe-korttimaksuyhteysalusta, saattavat kuitenkin säilyttää dataansa EU:n ulkopuolella. Kaikki Fysioterapeutti Sanni Meron käyttämät palveluntarjoajat ovat sitoutuneet EU:n privacy Shield – standardiin.
Asiakastietoja voidaan luovuttaa ensisijaisesti asiakkaan tai toissijaisesti hänen laillisen edustajansa suostumuksella, tai nimenomaisen lainsäännöksen nojalla. Tilanteissa, joissa tietojen luovuttaminen edellyttää asiakkaan omaa suostumista, on asiakkaalla on oikeus milloin tahansa myös peruuttaa antamansa suostumus.
Tilanteessa, jossa vastaanottopalvelun (fysioterapia) maksajana on esimerkiksi vakuutusyhtiö tai työteveyshuolto, laskun liitteenä toimitetaan laskutuksen oikeellisuuden tarkistamiseksi tarpeelliset tiedot (ketä on hoidettu, mitä toimenpiteitä on tehty, kustannukset).
Jos asiakas on alaikäinen, mutta kykeneväinen ikänsä ja kehitystasonsa puolesta päättämään hoidostaan, on hänellä tuolloin oikeus kieltää terveydentilaansa ja hoitoaan koskevien tietojen antaminen huoltajalleen tai muulle lailliselle edustajalleen tai hän voi myös kieltää tietojensa käytön toisissa terveydenhuollon toimintayksiköissä.
Tilanteessa, jossa asiakas itse ei ole kyvykäs arvioimaan annettavan tietojenluovutus-suostumuksen merkitystä (mielenterveyshäiriö, kehitysvammaisuus, tm. syy, eikä laillista tilanteeseen tarkoitettua edustajaa), voidaan potilaan tutkimuksen ja hoidon järjestämiseksi välttämättömiä tietoja luovuttaa ilman potilaan suostumusta toiselle suomalaiselle tai ulkomaiselle terveydenhuollon toimintayksikölle tai ammattihenkilölle. Lisäksi näin menetellään, jos suostumusta ei voida saada potilaan tajuttomuuden tai siihen rinnastettavan syyn vuoksi (Laki potilaan asemasta ja oikeuksista 785/1991, 13 §). Tällaisessä tilanteessa hoidettavan asiakkaan tietoja hoidossa olosta ja terveydentilasta saadaan lain mukaan antaa myös asiakkaan lähiomaiselle, jollei ole painavaa syytä olettaa että asiakas kieltäisi kyseisen menettelyn.
Tuomioistuimelle tai viranomaisille, joilla on lakiin perustuva oikeus tiedon saantiin, tiedot annetaan kirjallisen ja yksilöidyn pyynnön perusteella pääsääntöisesti lausuntoina ko. asian vaatimassa laajuudessa. Pyytäjän on näissä tilanteissa ilmoitettava lainkohta pyynnön perusteeksi.
Asiakirjatietoja voidaan tarvittaessa luovuttaa mahdolliseen tieteelliseen tutkimukseen,potilaslain 13.4 §:ssä säädetyn mukaisesti.
Tarkastusoikeus ja oikeus vaatia tiedon korjaamista
Fysioterapeutti Sanni Meron asiakkaalla on oikeus tarkistaa potilastietorekisteriin tallennetut itseään koskevat henkilötiedot ja vaatia mahdollisen virheellisen tiedon korjaamista tai puutteellisen tiedon täydentämistä. Mikäli asiakas on lapsi, myös tämän huoltajalla on pääsääntöisesti oikeus tarkastaa lastaan koskevat tiedot.
Mikäli asiakas haluaa tarkistaa itsestään tallennetut tiedot tai vaatia niihin oikaisua, pyyntö tarvitaan kirjallisena rekisterinpitäjälle (Fysioterapeutti Sanni Mero) ja tarvittaessa rekisterinpitäjä voi pyytää asiakasta todentamaan henkilöllisyytensä ennen tietojen luovutusta. Tiedon korjaus toteutetaan lainsäädännön edellyttämällä tavalla siten, että muun muassa tiedot tehdystä oikaisusta sekä alkuperäisestä merkinnästä ilmenevät fysioterapian osalta asiakas- ja potilastietorekisteristä. Tässä pyydetään huomioimaan, että tiedon oikaisemista tai poistamista ei voida kuitenkaan suorittaa fysioterapiassa käyneen potilaan vaatimalla tavalla, jos tieto potilaan tutkimuksen tai hoidon kannalta arvioiden on tarpeellinen / välttämätön ja tiedon tallentamiselle on lain mukaiset perusteet. Hoitovastuuseen liittyvien syiden vuoksi on fysioterapiakirjausten osalta terveydenhuollon rekistereissä säilytettävä myös aikaisempi tieto asianmukaisin korjausmerkinnöin (Sosiaali- ja terveysministeriön asetus potilasasiakirjoista 289/2009).
Vaatimuksen tietojen oikaisemiseksi tai poistamiseksi voi tehdä kirjallisesti. Vaatimus tulee yksilöidä ja perustella riittävästi. Korjauksen tekee alkuperäisen kirjauksen tehnyt henkilö (Fysioterapeutti Sanni Mero). Pyyntöihin tietojen tarkistamisesta tai korjaamisesta Fysioterapeutti Sanni Mero vastaa pääsääntöisesti 1 kuukauden kuluessa (EU:n tietosuoja-asetus 16. artikla).
Henkilötietojen säilytysaika
A. Fysioterapia-asiakkaan potilastietorekisteriin kerättyjä asiakastietoja säilytetään sosiaali- ja terveysministeriön potilasasiakirjoista antaman asetuksen (298/2009) mukaisesti. Potilastietojen käsittelyä koskevat lokitiedot säilytetään vähintään 12 vuotta niiden syntymisestä. Muita potilastietorekisteriin sisältyviä tietoja, kuten laskutusta ja perintää koskevia tietoja säilytetään käsittelyn kannalta tarpeellisen ajan verran, tai lainsäädännön (esim. kirjanpitolaki) edellyttämällä tavalla.
B. Valmennusasiakkaiden valmennusprosessien aikana tehtyihin muistiinpanoihin ei sovelleta potilastietolakia, ja valmennusprosessien aikana tehtyjä muistiinpanoja säilytetään vain valmennusprosessin keston ajan, eikä niitä arkistoida pidemmäksi ajaksi. Fysioterapeutti Sanni Mero hävittää valmennusprosessin muistiinpanot bnäin ollen 1-2 kuukauden sisällä valmennusprosessin päättymisen jälkeen. Valmennussopimukset kuitenkin arkistoidaan suositeltavan säilytysajan mukaisesti keskimäärin kuuden (6) vuoden ajan, jonka ajan myös kirjanpitolaki määrittää kaikkea kirjanpitoon liittyvää aineistoa säilytettävän. Valmennussopimus voi toimia liitteenä kirjanpidossa valmennusasiakkaan laskutuksessa.
C. Verkkokurssien, webinaarien, koulutuspaikkojen sekä työpajapaikkojen varausten & ostojen yhteydessä sekä sähköpostilistalle liittymisen yhteydessä tai yhteydenottolomakkeen lähettämisen yhteydessä eri järjestelmiin kerättyjä tietoja säilytetään sen ajan, kun se on asianmukaista tai kunnes tilaaja ilmoittaa haluavansa poistaa tietonsa asiakastietorekisteristä. Edellä mainittujen tilanteiden yhteydessä kerättyjä tietoja asiakas voi myös itse pyytää poistettavaksi rekisteristä.
Muut ehdot
Erimielisyystilanteet Fysioterapeutti Sanni Mero pyrkii aina ratkaisemaan asiakkaan kanssa keskustelemalla. Asiakkaalla on kuitenkin oikeus saattaa henkilötietojensa käsittelyä koskeva erimielisyys tarvittaessa myös tietosuojaviranomaisen tutkittavaksi.
