Mankkaan OMAn apteekin tietosuojaseloste
1. Rekisterinpitäjä
Mankkaan OmaApteekki (Espoon 12. apteekki)
Sinikalliontie 1, 02630 Espoo
2. Rekisteriasioiden yhteyshenkilö
Apteekkari Marja Rupponen
Sinikalliontie 1, 02630 Espoo
3. Apteekin asiakasrekisteri
3.1 Henkilötietojen käsittelyn tarkoitus ja käsittelyn
oikeusperuste
Asiakasrekisteriä käytetään kulloinkin voimassaolevan tietosuojalainsäädännön ja
muun lainsäädännön mukaisesti. Henkilötietojen käsittely perustuu
tietosuojalainsäädännön ohella apteekkitoimintaa koskevaan yksityiskohtaiseen
lainsäädäntöön.
Asiakkaat on ryhmitelty apteekin tarjoamien palveluiden mukaisesti.
1. Reseptiasiakkaat
Reseptiostokset pitää lain mukaan rekisteröidä, joten kaikki apteekin
reseptiasiakkaat kuuluvat tähän asiakasryhmään. Käsittely perustuu
voimassa olevaan lainsäädäntöön (toimitettujen reseptien arkistointi) tai
sopimukseen (Kela-korvauskäsittely), jolloin käsittelyn oikeusperuste on
rekisterinpitäjän lakisääteinen velvoite.
2. Tiliasiakkaat
Tietojen käsittely perustuu tiliasiakaslaskutussopimukseen apteekin ja
tiliasiakkaan välillä.
​
3. Annosjakeluasiakkaat
Tietojen käsittely perustuu annosjakelusopimukseen apteekin ja
annosjakeluasiakkaan välillä.
3.2 Rekisterin tietosisältö
1. Reseptiasiakkaat:
Rekisterissä voidaan käsitellä kaikista rekisteröidyistä seuraavia tietoja:
-
Etunimi, sukunimi
-
Henkilötunnus
-
Kaikki reseptille tallennettavat tiedot
-
Osto- ja maksutapahtumat
-
Sitoumustiedot, työpaikkakassatieto
-
Kela-korvaustiedot, Kelan maksuosuus
2. Tiliasiakkaat:
Rekisterissä voidaan käsitellä laskutussopimuksen solmineista asiakkaista
kohdissa 1 ja 2 lueteltujen lisäksi
-
suoramaksu /e-lasku-tiedot
-
Edunvalvojan tiedot
-
Laskutusosoite (jos eri kuin postiosoite)
-
Laskun viitteet ja laskutukseen liittyvät lisätiedot
-
e-lasku/Suoramaksusanoma (pankista apteekkiin) sisältää seuraavat tiedot.
-
Nimi (etunimi ja sukunimi
-
Henkilötunnus (asiakkaan tunnistus)
-
virtuaalinen IBAN-tilinumero
Laskujen välityspalveluun lähtevät tiedot:
-
Asiakkaan Etunimi, Sukunimi
-
Asiakkaan Edunvalvojan tiedot (jos laskulla määritelty)
-
Asiakkaan osoitetiedot
-
Asiakkaan ja apteekin e-lasku / verkkolaskuosoite
-
Asiakkaalta laskutettavat ostokerrat tuotteineen sekä muut
-
laskutettavat tuotteet (tuotteet on mahdollista piilottaa laskulta
-
asiakaskohtaisesti, pelkkä lähete-rivi jää tässä tapauksessa laskulle)
3. Annosjakeluasiakkaat:
Rekisterissä voidaan käsitellä Annosjakelu-asiakkuuden solmineista
asiakkaista kohdissa 1 ja 2 lueteltujen lisäksi seuraavia tietoja:
​
-
Hoitokodin/asiakasryhmän nimi, johon asiakas on määritelty
-
Annosjaeltavat lääkevalmisteet annosteluajankohtineen
-
Muu annosjakeluasiakkaan lääkitys
-
Annosjakeluun liittyvä mahdollinen lisäinformaatio
3.3 Henkilötietojen säilytysaika
1. Reseptiasiakkaat
Reseptiasiakkaiden tiedot poistuvat aktiivirekisteristä 13 kuukauden
jälkeen, jos asiakas ole asioinut tuona aikana apteekissa. (Nykyinen
apteekin henkilötietojen säilytysaika
apteekin aktiivirekisterissä on linjattu aikanaan tietosuojavaltuutetun
toimesta (Dnro 793/41/97) vuodeksi ja yhdeksi kuukaudeksi ja on edelleen
voimassa.) Reseptitietoja säilytetään arkistoituna rekisterissä lain
velvoittaman säilytysajan.
2. Tiliasiakkaat
Asiakkaan tiliasiakkuuteen liittyviä henkilötietoja säilytetään apteekin
asiakasrekisterissä sopimuksen voimassaoloajan/sopimuksen mukaisesti
sekä vähintään lain velvoittaman ajan. Laskujen välityspalvelussa
laskutusaineistoja säilytetään 3 kuukauden ajan laskutuksen jälkeen.
Varmuuskopioilla tiedot säilyvät 12 kuukauden ajan.
3. Annosjakeluasiakkaat
Asiakkaan annosjakeluasiakkuuteen liittyviä henkilötietoja säilytetään
sopimuksen voimassaoloajan/ sopimuksen mukaisesti. Reseptiostoja
säilytetään lisäksi lain velvoittaman ajan, vaikka annosjakelusopimus
irtisanottaisiin.
3.4 Liitynnät muihin järjestelmiin
1. Reseptiasiakkaat
Apteekkisopimusjärjestelmä
Vieroitushoitosopimuksen piiriin kuulumisen tarkastaminen, jos
reseptiostoissa on PKV-lääkkeitä (pääasiassa keskushermostoon
vaikuttavia lääkkeitä) ja/tai huumeita.
Suomen apteekkariliiton ylläpitämä tietojenvälityspalvelu, jossa
apteekkariliitto toimii tietojen käsittelijänä.
Tiedot sopimuksista saadaan palveluun asiakkaan hoitavalta
lääkäriltä
Valtakunnallinen reseptikeskus
Kaikki reseptitiedot toimitetuista ja sähköistetyistä resepteistä
Kansallinen Terveysarkisto toimii itsenäisenä rekisterinpitäjänä
Kelan palvelut
Kelan reaaliaikainen korvauskysely (asiakkaan Kela-
korvaustietojen haku)
Kelan reaaliaikainen tilityspalvelu (asiakkaan korvattujen
lääkeostojen raportointi Kelaan)
Sairausvakuutuslain mukaisten etuuksien maksua varten
Kela toimii itsenäisenä rekisterinpitäjänä
Työpaikkakassat (Työpaikkalaskutuksen piirissä olevien asiakkaiden
ostojen raportointi)
Sairausvakuutuslain mukaisten etuuksien ja mahdollisten
lisäetuuksien korvauskäsittely.
Vakuutusyhtiöt (Vakuutusyhtiöiden korvaavien ostojen raportointi
vakuutusyhtiölle)
Riippuen asiakkaan vakuutussopimuksesta voidaan
vakuutusyhtiön korvaavat ostot raportoida suoraan apteekista
vakuutusyhtiöön.
Suomi.fi-valtuudet -palvelu
Keskitetty valtakunnallinen sähköinen valtuutuspalvelu puolesta
asiointivaltuuden antamiseen ja tarkastamiseen. Suomi.fi-
valtuudet on keskitetty palvelu, jossa asiakas voi valtuuttaa toisen
henkilön tai yrityksen asioimaan puolestaan Apteekkiasiointiin
löytyy palvelusta oma valtuus. Apteekki tarkistaa asiointivaltuuden
apteekkijärjestelmässä suoraan Valtuudet-palvelusta.
2. Tiliasiakkaat
e-lasku/suoramaksusopimustilauksiin liittyvä sähköinen sanomaliikenne
(vastaanottoilmoitukset)
Apteekki vastaanottaa asiakkaan omassa pankkipalvelussaan
lähettämän e-lasku/suoramaksu sopimuspyynnön. Tiedot
noudetaan suoraan järjestelmään, jotta apteekilla on oikeus
lähettää asiakkaalle elaskuja/suoramaksuja. Pyyntö noudetaan
pankista apteekkiin suojattua pankkien käyttämää
WebServicekanavaa pitkin.
Apteekki välittää laskut asiakkailleen Receptum Oy:n (y 1635372-
4) laskutuspalvelua hyödyntäen. Laskut välitetään joko
sähköisesti tai paperisena asiakkaan määrittelemän
laskutustavan mukaisesti.
3. Annosjakeluasiakkaat
Apteekilla on sopimus lääkkeiden koneellisesta annosjakelusta
Pharmaservice Oy:n kanssa. Annosjakeluyksikköön välitettävät
henkilö/lääkitystiedot
​
-
Henkilötunnus
-
Sukunimi ja etunimi
-
Hoitokodin/asiakasryhmän nimi, johon asiakas on määritelty
-
Annosjaeltavat lääkevalmisteet annosteluajankohtineen
-
Annosjakeluvalmisteiden kirjallinen annostusohje sekä indikaatio siinä muodossa kuin ne on valmisteen reseptille kirjattu
-
Mikäli tilaukselle tuleva valmiste on eri valmiste, esim. geneerisen vaihdon seurauksena, kuin reseptillä määrätty, välitetään myös
-
alkuperäisen reseptillä määrätyn valmisteen tiedot.
-
Muu lääkitys (jos asiakkaalle on määritetty)
-
Annosjakeluun liittyvä mahdollinen lisäinformaatio (Jos asiakkaalle on määritetty)
4. Kassa-asiakkaat
Korttimaksutiedot Nets Oyj:lle
3.5 Säännönmukaiset tietolähteet
Apteekkiasiakkaiden tiedot saadaan reseptilääkkeiden osto- ja maksutapahtuman
sekä toimituksen yhteydessä. Sopimusasiakkaisiin liittyviä lisätietoja kerätään
asiakkaalta itseltään sopimuksen tekemisen yhteydessä sekä sopimussuhteen
aikana.
​
3.6 Tietojen luovutukset ja tietojen siirto
Tietoja ei luovuteta/siirretä EU-maiden ulkopuolelle.
Säännönmukaisia luovutuksia toiselle rekisterinpitäjälle:
-
Reseptikeskukseen apteekin sähköistämien reseptien tiedot (Kansallinen Terveys Arkisto)
-
Reseptikeskukseen tiedot toimitetuista resepteistä
-
Kelalle tiedot sv-korvatuista ostoista
-
Kelalle tiedot maksusitoumuksella toimitetuista ostoista
-
Työpaikkakassoille tiedot laskutettavista ostoista
-
Vakuutusyhtiöille tiedot laskutettavista ostoista
-
Viranomaisille erillisestä perustellusta pyynnöstä
3.7 Rekisterin suojauksen periaatteet
Apteekissa on käytössä Receptum Oy:n toimittama MAXX-apteekkijärjestelmä.
Sosiaali- ja terveydenhuollon tietojärjestelmät jaotellaan käyttötarkoitustensa ja
ominaisuuksiensa perusteella luokkiin A ja B. MAXX on A-luokan järjestelmä
(=Kanta-palveluihin liittyvät järjestelmät), joka on Kelan yhteistestauksessa sekä
tietoturva-auditoinnissa virallisesti hyväksytty apteekkijärjestelmä.
Apteekissa tehdään omavalvontaa apteekin asiakastiedon salassapidon ja tietojen
suojaamisen varmistamiseksi lain velvoittamalla tavalla (laki sähköisestä
lääkemääräyksestä 61/2007).
Asiakasrekisterin tiedot on suojattu henkilökohtaisilla käyttäjätunnuksilla,
salasanoilla sekä toimikorteilla ja muilla teknisillä suojauksilla. Apteekissa on
huolehdittu siitä, että tallennettuja tietoja sekä palvelimien käyttöoikeuksia ja muita
henkilötietojen turvallisuuden kannalta kriittisiä tietoja käsitellään luottamuksellisesti
ja vain niiden työntekijöiden toimesta, joiden työnkuvaan se kuuluu.
Apteekin, järjestelmään liittyvien palvelutuottajien sekä järjestelmää ylläpitävien
teknisten yhteistyökumppaneiden välillä on laadittu GDPR:n vaatimusten mukaiset
yhteistyösopimukset, joissa kaikissa on mukana vaatimukset tiedon
asianmukaiseen suojaamiseen sekä salassapitovelvoitteet.
3.8 Henkilön oikeus tarkastaa itseään koskevat henkilötiedot
Asiakkaalla on oikeus tarkastaa, mitä häntä koskevia tietoja rekisteriin on
tallennettu. Tarkastuspyyntö tehdään henkilökohtaisen käynnin yhteydessä tai
omakätisesti allekirjoitetulla tai muulla luotettavalla tavalla varmennetulla
asiakirjalla.
Tiedot toimitetaan vain henkilöllisyyden todistamista vastaan tai muutoin luotettavaa
tunnistusmenetelmää käyttäen. Apteekki määrittelee tapauskohtaisesti riittävän
tunnistautumisen menetelmät. Mikäli apteekki joutuu kieltäytymään antamasta
tietoja, annetaan asiakkaalle kirjallinen todistus, josta käy ilmi myös ne syyt, joiden
vuoksi tarkastusoikeus on evätty. Asiakas voi tämän jälkeen saattaa asian
tietosuojavaltuutetun käsiteltäväksi.
Pyynnöt käsitellään aina apteekin tietosuojavastaavan/apteekkarin kautta ja tiedot
toimitetaan asiakkaalle ilman aiheetonta viivytystä ja joka tapauksessa kuukauden
kuluessa pyynnön vastaanottamisesta. Mikäli asiakkaan pyyntö on monimutkainen
tai pyyntöjä on paljon, määräaikaa voidaan tarvittaessa jatkaa enintään kahdella
kuukaudella. Tällöin apteekki ilmoittaa asiakkaalle tällaisesta mahdollisesta
jatkamisesta kuukauden kuluessa pyynnön vastaanottamisesta sekä viivästymisen
syyt.
Omakanta-palvelusta (https://www.kanta.fi/omakanta) asiakas voi tarkistaa omiin
reseptitietoihinsa kohdistuneet tapahtumakyselyt.
Tarkastusoikeuden käyttäminen on lähtökohtaisesti maksutonta. Jatkuvasti
toistuvien kyselyiden tai ilmeisen perusteettomat/kohtuuttomien kyselyiden kohdalla
rekisterinpitäjänä apteekki voi periä pyynnön toteuttamisesta hallinnollisiin
kustannuksiin perustuvan maksun.
3.9 Henkilötietojen oikaiseminen tai poistaminen sekä
rekisteröidyn oikeus pyytää käsittelyn rajoittamista
Asiakkaalla on oikeus korjauttaa ilman aiheetonta viivytystä häntä koskevat
epätarkat ja virheelliset henkilötiedot. Apteekki korjaa virheet saatuaan oikean
tiedon suoraan asiakkaalta tai muusta luotettavasta lähteestä. Apteekki korjaa vain
sellaiset tiedot, joka on apteekkilainsäädännön mukaan mahdollista korjata
jälkikäteen.
​
Asiakkaalla on oikeus tulla unohdetuksi ja poistattaa tiedot apteekin
asiakasrekisteristä vain niiden tietojen osalta, joita apteekin ei lakisääteisesti
tarvitse säilyttää tai joita apteekki ei enää tarvitse niihin tarkoituksiin, joita varten ne
kerättiin tai joita varten niitä muutoin käsiteltiin, taikka jos jokin muu EU:n tietosuoja-
asetuksen (GDPR) 17 artiklan mukainen edellytys täyttyy. Poistopyyntö tehdään
henkilökohtaisen käynnin yhteydessä tai omakätisesti allekirjoitetulla tai muulla
luotettavalla tavalla varmennetulla asiakirjalla. Apteekki päättää kulloinkin voimassa
olevaa lainsäädäntöä noudattaen tietojen poistamisesta ilman aiheetonta viivytystä.
Asiakkaalla on oikeus pyytää omien tietojen käsittelyn rajoittamista jos:
-
asiakas kiistää henkilötietojen paikkansapitävyyden, jolloin käsittelyä
rajoitetaan ajaksi, jonka kuluessa apteekki voi varmistaa niiden
paikkansapitävyyden;
-
käsittely on lainvastaista ja asiakas vastustaa henkilötietojen poistamista ja
vaatii sen sijaan niiden käytön rajoittamista;
-
apteekki ei enää tarvitse kyseisiä henkilötietoja käsittelyn tarkoituksiin,
mutta asiakas tarvitsee niitä oikeudellisen vaateen laatimiseksi,
esittämiseksi tai puolustamiseksi;
-
asiakas on vastustanut henkilötietojen käsittelyä EU:n tietosuoja-
asetuksen 21 artiklan 1 kohdan nojalla odotettaessa sen todentamista,
syrjäyttävätkö rekisterinpitäjän oikeutetut perusteet rekisteröidyn perusteet.
3.10 Oikeus peruuttaa antamansa suostumus
Asiakkaalla on oikeus peruuttaa suostumus milloin tahansa, siltä osin kun
henkilötietojen käsittely perustuu asiakkaan omaan suostumukseen. Suostumuksen
peruuttaminen ei vaikuta suostumuksen perusteella ennen sen peruuttamista
suoritetun käsittelyn lainmukaisuuteen.
3.11 Henkilön oikeus siirtää tiedot järjestelmästä toiseen
Asiakkaalla on oikeus saada itseään koskevat henkilötiedot, jotka on toimittanut
apteekille, ja joita apteekki käsittelee automaattisesti asiakkaan suostumuksen tai
sopimussuhteen nojalla, koneellisesti luettavassa muodossa siirrettyä suoraan
toiselle rekisteripitäjälle, jos se on teknisesti mahdollista.
​
Jos siirto ei ole teknisesti mahdollista tai turvallista, asiakas voi itse toimittaa
tarkastusoikeuden nojalla vastaanottamansa omat henkilötiedot toiselle
rekisterinpitäjälle niin halutessaan.
4 Kameravalvontarekisteri
4.1 Henkilötietojen käsittelyn tarkoitus ja käsittelyn
Oikeusperuste
Kameravalvonnan tarkoituksena on omaisuuden suojaaminen sekä turvallisuutta,
omaisuutta tai tuotantoprosessia vaarantaneiden tilanteiden ennaltaehkäiseminen
tai selvittäminen. Tämän lisäksi valvonnan tarkoituksena on varmistaa ja lisätä
henkilökunnan turvallisuutta.
Rekisterin tietoja työnantajalla on oikeus käyttää lisäksi yksityisyyden suojasta
työelämässä annetun lain (759/2004) 17 §:n 2 momentin 1-3 kohdissa yksilöidyissä
tilanteissa työsuhteen päättämisen perusteen toteennäyttämiseksi, naisten ja
miesten välisestä tasa-arvosta annetussa laissa (609/1986) tarkoitetun häirinnän tai
ahdistelun taikka työturvallisuuslaissa (738/2002) tarkoitetun häirinnän ja
epäasiallisen käytöksen selvittämiseksi ja toteen näyttämiseksi sekä työtapaturman
tai muun työturvallisuuslaissa tarkoitettua vaaraa tai uhkaa aiheuttaneen tilanteen
selvittämiseksi.
4.2 Rekisterin tietosisältö
Apteekin kameravalvonnan piiriin kuuluvissa liikekiinteistöhuoneiston sisätiloissa
syntynyt tallentavaan valvontajärjestelmään kuuluvien kameroiden kuvaama kuva-
aineisto.
4.3 Henkilötietojen säilytysaika
Rekisterin tietoja säilytetään tallentimen kapasiteetista riippuen enintään 30 vrk,
ellei ole kameravalvonnan tarkoituksen toteuttamisesta johtuvaa erityistä syytä
säilyttää tietoja pidempää aikaa.
4.4 Säännönmukaiset tietolähteet
Apteekin tallentavaan valvontajärjestelmään kuuluvien kameroiden välittämä kuva-
aineisto.
4.5 Tietojen luovutukset ja tietojen siirto
Tietoja ei luovuteta/siirretä EU-maiden ulkopuolelle. Rikosepäilytapauksissa tietoja
voidaan luovuttaa poliisille.
4.6 Rekisterin suojauksen periaatteet
Digitaalisessa muodossa (tietokoneen tai vastaavan kovalevyllä) oleva rekisteri on
suojattu salasanalla. Rekisterin tietoja säilytetään tallentimen kapasiteetistä
riippuen enintään 30 vrk, ellei ole kameravalvonnan tarkoituksen toteuttamisesta
johtuvaa erityistä syytä säilyttää tietoja pidempää aikaa. Tiedot tuhotaan
tallentamalla niiden päälle uutta tietoa. Tietojen käyttö tapahtuu selaamalla
kovalevyllä olevia tietoja tietokoneella. Tiedot eivät ole tallennettuna yleisesti
tunnetuissa formaateissa ja tallenteiden katsomiseen tarvitaan kameravalvonnan
oma ohjelma. Tällä estetään kuvien väärinkäytöksiä.
Rekisteri on apteekin hallinnassa ja valvonnassa eikä siihen ei ole ulkopuolisilla
pääsyä. Apteekin ja järjestelmää ylläpitävien teknisten yhteistyökumppaneiden
välillä on laadittu EU:n tietosuoja-asetuksen (GDPR) vaatimusten mukaiset yhteistyösopimukset, joissa kaikissa on mukana vaatimukset tiedon asianmukaiseen suojaamiseen sekä salassapitovelvoitteet.
5 Muut asiakkaille tarjottavat palvelut
5.1 Hoitotietopalvelu
Apteekki voi tarjota hoitotietopalvelua kotisairaanhoito- ja hoitokoti -asiakkailleen.
Hoitotietopalvelu perustuu apteekin ja asiakkaan väliseen sopimukseen.
Hoitotietopalvelussa apteekki ja hoitokoti/kotisairaanhoito välittää sähköisesti tiedot
lääkityksien muutoksista ja muista viesteistä asiakkaan lääkityksiä koskien.
Hoitotietopalvelu on integroitu MAXX-apteekkijärjestelmään ja apteekki hyödyntää
sen käytössä normaalia asiakasrekisteriään.
Tietosisältö palvelussa (asiakkaantiedot):
-
Hoitokodin nimi
-
Hoitokodin asukkaan / kotisairaanhoidon asiakkaan lääkitystiedot
-
Asiakkaan etunimi ja sukunimen ensimmäinen kirjain (henkilötunnuksia ei
käytetä lainkaan)
-
Asiakkaan yksilöivä apteekkijärjestelmän oma ID-numero
-
Hoitokodin apteekille lähettämät asiakaskohtaiset viestit
Tietojen säilytysaika:
Asiakkaan lääkitystiedoista säilytetään vain viimeisin eli tuorein
lääkitystieto. Historiatietoa ei säilytetä. Asiakastiedot ja lääkitystiedot
säilyvät palvelussa, kunnes asiakas poistetaan palvelusta apteekin
toimesta eli sopimuksen päättyessä.
Kaikki hoitokodin/kotisairaanhoidon käyttäjien tallentamat viestit säilyvät
palvelussa asiakkaan poistoon asti.
Palveluun kirjaudutaan hoitokodissa/kotisairaanhoidossa henkilökohtaisilla
tunnuksilla. Apteekki myöntää ja hallinnoi tunnuksia. Tiedon siirrossa käytetään
salattuja siirtoyhteyksiä.
Hoitokodit/Kotisairaanhoito toimii palvelussa tiedon käsittelijänä. Apteekin ja
hoitokotien/kotisairaanhoidon välillä on laadittu EU:n tietosuoja-asetuksen (GDPR)
vaatimusten mukainen yhteistyösopimus, jossa on mukana vaatimukset tiedon
asianmukaiseen suojaamiseen sekä salassapitovelvoitteet.
​
Hoitotietopalvelua ylläpitää apteekkijärjestelmäntoimittaja Receptum Oy (y-tunnus
1635372-4), joka toimii tiedon käsittelijänä. Apteekin ja Receptumin välillä on
laadittu EU:n tietosuoja-asetuksen (GDPR) vaatimusten mukainen
yhteistyösopimus, jossa on mukana vaatimukset tiedon asianmukaiseen
suojaamiseen sekä salassapitovelvoitteet.
Tietoja ei luovuteta/siirretä EU-maiden
ulkopuolelle.