T I E T O S U O J A S E L O S T E
Päivitetty 8.5.2025
Henkilötietolaki 523/1999 10
Tämä on Fysioterapeutti Sanni Mero – yrityksen henkilötietolain (10 & 23 §) ja EU:n yleisen tietosuoja-asetuksen (GDPR) mukainen rekisteri- ja tietosuojaseloste. Laadittu 10/2018. Päivitetty viimeisimmän kerran 8.5.2025.
Asiakkaiden henkilötietoja käsitellään asianmukaisesti, huolellisesti ja turvallisesti ja niitä kerätään, jotta yritys pystyy tarjoamaan asiakkailleen parasta mahdollista palvelua. Samaa edellytetään yrityksen yhteistyökumppaneilta.
Rekisterin pitäjä
Sanni Mero/ Fysioterapeutti Sanni Mero
044 0822 422
Y-tunnus 2688405-1
Yhteyshenkilö rekisteriä koskevissa asioissa
Sanni Mero
044 0822 422
Rekisterin nimi
Fysioterapeutti Sanni Meron potilas- ja asiakastietorekisteri
Rekisteriin liittyvät sivustot
https:// sannimero.fi
Henkilötietojen käsittelyn tarkoitus
Fysioterapeutti Sanni Meron potilas- ja asiakastietorekisterin henkilötietojen käsittelyn tarkoituksena on:
1. Mahdollistaa asiakkaan tutkimus, hoito ja kuntoutus sekä valmennus joko lähitapaamisina Tampereella tai etätapaamisina Doxy:n kautta sekä näiden suunnittelu & seuranta.
2. Mahdollistaa vastaanottokäyntien välillä tapahtuva tarvittava yhteydenpito puhelimitse / tekstiviestitse & valmennustapaamisten välillä tapahtuva etätuki Whatsapp:n välityksellä / tekstiviestitse / sähköpostitse.
3. Mahdollistaa verkkoajanvaraus vastaanotolle Timman kautta.
4. Mahdollistaa valmennussopimusten tekeminen ja solmiminen palvelun tuottajan & asiakkaan välillä asiakkaan ostaessa valmennuspaketin.
5. Mahdollistaa ostettujen / tilattujen verkkotuotteiden maksu Stripen kautta pankkikorttitiedoilla & sisäänkirjautumistietojen välitys verkkokurssialustalle (Kajabi) sähköpostitse Kajabin kautta.
6. Mahdollistaa mahdollinen laskutus sähköpostitse.
7. Mahdollistaa sähköpostilistan ylläpitäminen, markkinointi ja asiakkaiden kontaktointi asiakkaan liittyessä sähköpostilistalle tai täyttäessä & lähettäessä yhteydenottolomakkeen Fysioterapeutti Sanni Meron kotisivujen kautta.
Fysioterapeutti Sanni Meron Kotisivuja ylläpidetään Kajabissa (https://sannimero.fi), jonka kautta tietoja kerätään edellä mainittujen Kajabin ulkopuolisten kanavien (Timma, Stripe, Doxy) lisäksi. Lisäksi tietoja käsitellään tietojen arkistoinnissa, laadunvalvonnassa ja neuvonnassa.
Myös mahdollisia perintäasioita varten tarvitaan henkilötietojen käsittelyä. Lisäksi henkilötietoja voidaan tarvittaessa joskus käyttää terveydenhuollon toiminnan suunnitteluun, tilastointiin, arviointiin ja tieteelliseen tutkimustoimintaan.
Henkilötietojen käsittely ja tallentaminen potilas- ja asiakastietorekisteriin on edellytys Fysioterapeutti Sanni Meron tuottamien vastaanotto-, valmennus-, koulutus- & verkkopalveluiden käyttöön.
Henkilötietojen käsittely perustuu asiakassuhteeseen (Henkilötietolain 8 § 1 mom 5) tai verkkotuotteen ostoon. Arkaluonteisten tietojen käsittely perustuu yrityksen toimialaan (Henkilötietolain 12 § 1 mom 10) kohta) ja tällä tarkoitetaan vastaanottotyön yhteydessä käsiteltäviä tietoja.
Henkilötietojen käsittelyyn liittyvät oikeusperusteet
Laki potilaan asemasta ja oikeuksista (785/92) 4 luku
Sosiaali- ja terveysministeriön asetus potilasasiakirjoista (298/2009)
EU:n yleinen tietosuoja-asetus 6 artiklan 1.c) kohta ja 9 artiklan 2.h) kohta (terveystietojen käsittely)
Henkilötietolaki 12 ja 13 §:t -> Tietosuojalaki (XX/2018) 29 § (henkilötunnuksen käsittely)
Potilaslain mukaan vastaanottotyössä Fysioterapeutti Sanni Merolla on lakisääteinen velvollisuus potilasasiakirjojen laatimiseen, jokainen terveydenhuollon ammattihenkilö on velvollinen merkitsemään potilasasiakirjoihin potilaan hoidon järjestämistä, suunnittelua, toteutusta ja seurantaa turvaamaan tarvittavat tiedot. Potilasasiakirjojen laatimisesta ja käyttötarkoituksen perusteella määräytyvistä säilytysajoista säädetään tarkemmin sosiaali- ja terveysministeriön asetuksella. Valmennuksina toteutettua työtä eivät koske samat säädökset, vaan valmennustapaamisten aikana tehdyt muistiinpanot hävitetään niitä koskevien säädösten (LCF) mukaisesti valmennusjakson päättymisen jälkeen. Kotisivujen (ylläpidetään Kajabissa) kautta kerättävät asiakastiedot (sähköpostilista, yhteydenottolomake), Timman verkkoajanvarauspalvelun kautta kerättävät tiedot ja Stripen maksuvälityksen kautta kerättävät tiedot tallennetaan aiemmin mainittuja syitä varten ja niitä säilytetään toistaiseksi, ellei asiakas ilmoita halustaan poistaa tietoja näistä asiakasrekisterin osista.
Rekisterin tietosisältö
Potilastietorekisteri (potilaan henkilötiedot & potilaskirjaukset) ja valmennusasiakkaiden rekisteri (valmennussopimukset & tapaamisten muistiinpanot) pitää sisällään seuraavat, tai osan seuraavista henkilötiedoista:
Koko nimi
Henkilötunnus tai syntymäaika ilman sosiaaliturvatunnusta
Yhteystiedot (kotiosoite, puhelinnumero ja sähköpostiosoite)
Asiakkaan yhteyshenkilö / alaikäisen asiakkaan huoltaja ja tämän henkilön yhteystiedot ja tarvittaessa henkilötunnus
Asiakkaan hoidon kannalta välttämättömät terveystiedot ja esitiedot (mm. kertomustiedot ja potilaskorttitiedot, lähetteet sekä lausuntotiedot)
Hoidon kannalta tarvittavat aiemmat tutkimustiedot (mm. laboratorio-, kuvantamis- ja muut tutkimustiedot)
Ajanvaraustiedot
Laskutustiedot
Merkinnän tekijän nimestä, asemasta ja ajankohdasta sekä tietojen lukijan tiedot
Potilaan toimittamat tai hänen suostumuksellaan hankitut, muualta saadut terveystiedot, jotka otetaan tarpeen mukaan osaksi terveyskertomusta
Tieto asiakirjojen saapumisesta ja lähteestä
Tietojen tallentamista ja luovuttamista koskevat luvat/ kiellot
Mahdolliset tietojen luovutuksia koskevat tiedot ja luovutusten perusteet
Mahdollisilta maksusitoumusasiakkailta kerätään seuraavia tietoja:
Työnantaja ja sen yhteystiedot (jos työterveyden maksusitoumus)
Työsuhdetta kuvaavat tiedot (mukaan lukien osasto/toimipiste, ammattinimike ja muut vastaavat tiedot)
Vakuutusyhtiötiedot (jos vakuutusyhtiön maksusitoumus)
Maksutiedot / laskutustiedot
Valmennustapaamisille etänä saapuvilta asiakkailta kerätään Doxy:n kautta seuraavat tiedot:
Nimi
Timman kautta verkkoajanvarauksesta aikaa varaavalta asiakkaalta kerätään seuraavia tietoja:
Nimi
Puhelinnumero
Sähköposti
Lisätiedot ajanvarauksen yhteydessä (vapaaehtoinen)
Verkkotuotteita ostavilta (verkkotuotteet ylläpidetään Kajabissa ja korttimaksut tapahtuvat Stripen kautta) asiakkailta kerätään oston yhteydessä seuraavia tietoja:
Nimi
Sähköpostiosoite
Pankkikorttitiedot verkko-ostoksen yhteydessä (joita ei kuitenkaan tallenneta oston yhteydessä)
Verkkoyhteyden IP-osoite
Tiedot tilatuista / ostetuista palveluista
Sähköpostilistalle (ylläpidetään Kajabissa) liittyviltä asiakkailta & yhteydenottolomakkeen (ylläpidetään Kajabissa) kautta yhteyttä ottavilta asiakkailta kerätään seuraavat tiedot:
Nimi
Sähköpostiosoite
Koulututuksiin / työpajoihin osallistuvilta asiakkailta kerätään ilmoittautumisen yhteydessä seuraavia tietoja:
Nimi
Yrityksen nimi
Y-tunnus
Laskutustiedot
Sähköpostiosoite
Puhelinnumero
Tiedot ostetuista palveluista
Säännönmukaiset tietolähteet
Yllä mainitut tiedot saadaan pääasiallisesti asiakkaalta itseltään tai alaikäisen asiakkaan huoltajalta, puhelimitse, tekstiviestitse, sähköpostitse, verkkosivujen yhteydenottolomakkeen kautta (Kajabi), sähköpostilistalle liittymislomakkeen kautta (Kajabi), verkkoajanvarauksen kautta (Timma), korttimaksupalvelun kautta (Stripe), sosiaalisen median palveluiden kautta, sopimuksista, asiakastapaamisista ja muista tilanteista, joissa asiakas luovuttaa tietojaan yrityksen palveluiden hankkimiseksi. Lisäksi tietoja vastaanotolla käyvistä asiakkaista voidaan saada lähettäneiden lääkäreiden kautta, asiakkaan suostumuksella toisista terveydenhuollon toimintayksiköistä tai joskus väestörekisterikeskukselta. Tiedoiksi luetaan myös tutkimusten ja hoidon yhteydessä asiakkaasta muodostettuja tietoja.
Rekisterin suojaaminen ja tietojen käsittelyn periaatteet
Fysioterapeutti Sanni Mero noudattaa asiakastietoja käsitellessään lainsäädännön asettamia huolellisuus- ja suojaamisvelvoitteita sekä hyvää tiedonhallintatapaa. Potilastietorekisterin tiedot ovat salassa pidettäviä ja Fysioterapeutti Sanni Mero näin ollen salassapito- ja vaitiolovelvollinen. Tietoja käsittelee vain potilaan hoitoon osallistuva/ osallistuvat henkilöt. Tämä salassapito- ja vaitiolovelvollisuus jatkuu myös mahdollisen yritystoiminnan päättymisen jälkeen.
Asiakasietojen suojaamiseksi Fysioterapeutti Sanni Mero noudattaa myös hyvää käyttäjätunnusten käytönhallintaa ja arkiston säilytystapaa. Potilastiedot (manuaalinen kirjaus) ovat tallennettuina vaadittavien säännösten mukaan lukituissa tiloissa (kahden lukon takana) ja verkkosivualusta & verkkokurssialusta Kajabi, verkkoajanvarausalusta Timmi ja korttimaksualusta Stripe ja niille tallennetut tiedot ovat suojattuina palomuurin, sisäänkirjautumistunnusten ja salasanojen taakse. Kirjautumistunnukset ja salasanat ovat ainoastaan järjestelmiä (Kajabi, Stripe, Timma) käyttävän henkilön (Sanni Mero) hallussa. Avaimet manuaaliseen arkistoon ovat vain tietoja työnsä perusteella käsittelevällä henkilöllä (Fysioterapeutti Sanni Mero).
Niissä tapauksissa, joissa rekisteritietoja säilytetään internet-palvelimilla, niiden laitteiston fyysisestä ja digitaalisesta tietoturvasta huolehditaan asiaankuuluvasti. Palvelimien käyttöoikeuksia ja muita henkilötietojen turvallisuuden kannalta kriittisiä tietoja käsitellään luottamuksellisesti ja vain niiden työntekijöiden toimesta, joiden työnkuvaan se kuuluu.
Tietojen säännönmukaiset luovutukset
Pääsääntöisesti Fysioterapeutti Sanni Mero ei luovuta rekisterissä olevia potilas- ja asiakastietoja kolmansille osapuolille. Poikkeuksena perustietoja (ei potilastietoja) voidaan tarvittaessa luovuttaa sellaisille toimijoille, jotka käsittelevät tietoja rekisterinpitäjän lukuun, esimerkiksi kirjanpitäjälle. Tietoja ei pääsääntöisesti luovuteta EU:n tai Euroopan talousalueen ulkopuolelle. Jotkut alustat, kuten Kajabin verkkokurssialusta tai Stripe-korttimaksuyhteysalusta, saattavat kuitenkin säilyttää dataansa EU:n ulkopuolella. Kaikki Fysioterapeutti Sanni Meron käyttämät palveluntarjoajat ovat sitoutuneet EU:n privacy Shield – standardiin.
Asiakastietoja voidaan luovuttaa ensisijaisesti asiakkaan tai toissijaisesti hänen laillisen edustajansa suostumuksella, tai nimenomaisen lainsäännöksen nojalla. Tilanteissa, joissa tietojen luovuttaminen edellyttää asiakkaan omaa suostumista, on asiakkaalla on oikeus milloin tahansa myös peruuttaa antamansa suostumus.
Tilanteessa, jossa vastaanottopalvelun (fysioterapia) maksajana on esimerkiksi vakuutusyhtiö tai työteveyshuolto, laskun liitteenä toimitetaan laskutuksen oikeellisuuden tarkistamiseksi tarpeelliset tiedot (ketä on hoidettu, mitä toimenpiteitä on tehty, kustannukset).
Jos asiakas on alaikäinen, mutta kykeneväinen ikänsä ja kehitystasonsa puolesta päättämään hoidostaan, on hänellä tuolloin oikeus kieltää terveydentilaansa ja hoitoaan koskevien tietojen antaminen huoltajalleen tai muulle lailliselle edustajalleen tai hän voi myös kieltää tietojensa käytön toisissa terveydenhuollon toimintayksiköissä.
Tilanteessa, jossa asiakas itse ei ole kyvykäs arvioimaan annettavan tietojenluovutus-suostumuksen merkitystä (mielenterveyshäiriö, kehitysvammaisuus, tm. syy, eikä laillista tilanteeseen tarkoitettua edustajaa), voidaan potilaan tutkimuksen ja hoidon järjestämiseksi välttämättömiä tietoja luovuttaa ilman potilaan suostumusta toiselle suomalaiselle tai ulkomaiselle terveydenhuollon toimintayksikölle tai ammattihenkilölle. Lisäksi näin menetellään, jos suostumusta ei voida saada potilaan tajuttomuuden tai siihen rinnastettavan syyn vuoksi (Laki potilaan asemasta ja oikeuksista 785/1991, 13 §). Tällaisessä tilanteessa hoidettavan asiakkaan tietoja hoidossa olosta ja terveydentilasta saadaan lain mukaan antaa myös asiakkaan lähiomaiselle, jollei ole painavaa syytä olettaa että asiakas kieltäisi kyseisen menettelyn.
Tuomioistuimelle tai viranomaisille, joilla on lakiin perustuva oikeus tiedon saantiin, tiedot annetaan kirjallisen ja yksilöidyn pyynnön perusteella pääsääntöisesti lausuntoina ko. asian vaatimassa laajuudessa. Pyytäjän on näissä tilanteissa ilmoitettava lainkohta pyynnön perusteeksi.
Asiakirjatietoja voidaan tarvittaessa luovuttaa mahdolliseen tieteelliseen tutkimukseen,potilaslain 13.4 §:ssä säädetyn mukaisesti.
Tarkastusoikeus ja oikeus vaatia tiedon korjaamista
Fysioterapeutti Sanni Meron asiakkaalla on oikeus tarkistaa potilastietorekisteriin tallennetut itseään koskevat henkilötiedot ja vaatia mahdollisen virheellisen tiedon korjaamista tai puutteellisen tiedon täydentämistä. Mikäli asiakas on lapsi, myös tämän huoltajalla on pääsääntöisesti oikeus tarkastaa lastaan koskevat tiedot.
Mikäli asiakas haluaa tarkistaa itsestään tallennetut tiedot tai vaatia niihin oikaisua, pyyntö tarvitaan kirjallisena rekisterinpitäjälle (Fysioterapeutti Sanni Mero) ja tarvittaessa rekisterinpitäjä voi pyytää asiakasta todentamaan henkilöllisyytensä ennen tietojen luovutusta. Tiedon korjaus toteutetaan lainsäädännön edellyttämällä tavalla siten, että muun muassa tiedot tehdystä oikaisusta sekä alkuperäisestä merkinnästä ilmenevät potilastietorekisteristä. Tiedon oikaisemista tai poistamista ei voida kuitenkaan suorittaa potilaan vaatimalla tavalla, jos tieto potilaan tutkimuksen tai hoidon kannalta arvioiden on tarpeellinen/välttämätön ja tiedon tallentamiselle on lain mukaiset perusteet. Hoitovastuuseen liittyvien syiden vuoksi on terveydenhuollon rekistereissä säilytettävä myös aikaisempi tieto asianmukaisin korjausmerkinnöin (Sosiaali- ja terveysministeriön asetus potilasasiakirjoista 289/2009).
Vaatimuksen tietojen oikaisemiseksi tai poistamiseksi voi tehdä kirjallisesti. Vaatimus tulee yksilöidä ja perustella riittävästi. Korjauksen tekee alkuperäisen kirjauksen tehnyt henkilö (Fysioterapeutti Sanni Mero). Pyyntöihin tietojen tarkistamisesta tai korjaamisesta Fysioterapeutti Sanni Mero vastaa pääsääntöisesti 1 kuukauden kuluessa (EU:n tietosuoja-asetus 16. artikla).
Henkilötietojen säilytysaika
Potilastietorekisteriin kerättyjä asiakastietoja säilytetään sosiaali- ja terveysministeriön potilasasiakirjoista antaman asetuksen (298/2009) mukaisesti. Potilastietojen käsittelyä koskevat lokitiedot säilytetään vähintään 12 vuotta niiden syntymisestä. Muita potilastietorekisteriin sisältyviä tietoja, kuten laskutusta ja perintää koskevia tietoja säilytetään käsittelyn kannalta tarpeellisen ajan verran, tai lainsäädännön (esim. kirjanpitolaki) edellyttämällä tavalla.
Valmennusasiakkaiden tapaamisten muistiinpanoja säilytetään lukkojen takana valmennusjakson ajan ja ne hävitetään säädösten mukaisesti valmennusjakson päätyttyä. Valmennusjaksoista tehdyt valmennussopimukset arkistoidaan vähintään valmennusjakson keston ajaksi.
Verkkokurssien, webinaarien, koulutuspaikkojen, työpajapaikkojen varausten & ostojen yhteydessä sekä sähköpostilistalle liittymisen yhteydessä tai yhteydenottolomakkeen lähettämisen yhteydessä kerättyjä tietoja säilytetään sen ajan, kun se on asianmukaista tai kunnes tilaaja ilmoittaa haluavansa poistaa tietonsa asiakastietorekisteristä. Edellä mainittujen tilanteiden yhteydessä kerättyjä tietoja asiakas voi myös itse pyytää poistettavaksi rekisteristä.
Muut ehdot
Erimielisyystilanteet Fysioterapeutti Sanni Mero pyrkii aina ratkaisemaan asiakkaan kanssa keskustelemalla. Asiakkaalla on kuitenkin oikeus saattaa henkilötietojensa käsittelyä koskeva erimielisyys tarvittaessa myös tietosuojaviranomaisen tutkittavaksi.
