Tietosuojaseloste

  • Päivitetty: 26.02.2026

Tämä tietosuojaseloste sisältää EU:n yleisen tietosuoja-asetuksen (EU 2016/679) 13 artiklan mukaiset tiedot rekisteröidylle.

Sisällysluettelo

1. Rekisterinpitäjä

Fysio Ohmeroluoma Oy
Tuusantie 3
03100 Nummela

Y-tunnus: 2770575-6

Puhelin: 050 303 1618
Sähköposti: ohmerha@luukku.com
Web: www.fysioluoma.fi

Tietosuoja-asioista vastaava yhteyshenkilö:
Kalevi Ohmeroluoma
Sähköposti: kalevi@tummenberg.fi

2. Henkilötietojen käsittelyn tarkoitus ja oikeusperuste

2.1 Potilasrekisteri

2.2 Muut henkilötiedot

Henkilötietojen käsittely perustuu:

  • Lakiin sosiaali- ja terveydenhuollon asiakastietojen käsittelystä (703/2023)
  • Lakiin potilaan asemasta ja oikeuksista (785/1992)
  • EU:n tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohtaan (lakisääteinen velvoite)
  • EU:n tietosuoja-asetuksen 9 artiklan 2 kohdan h alakohtaan (terveydenhuollon palvelujen toteuttaminen)

Potilasrekisteriin tallennetaan hoidon järjestämisen ja toteuttamisen kannalta tarpeelliset tiedot, kuten:

  • nimi ja henkilötunnus
  • yhteystiedot
  • terveydentilaa koskevat tiedot
  • tutkimus-, hoito- ja kuntoutustiedot
  • lähetteet, lausunnot ja muut hoitoon liittyvät asiakirjat

Tietoja käsitellään:

  • terveydenhuollon palvelujen tuottamiseksi
  • potilasturvallisuuden varmistamiseksi
  • hoidon jatkuvuuden turvaamiseksi
  • lakisääteisten velvoitteiden täyttämiseksi

Potilastiedot tallennetaan Diarium-potilastietojärjestelmään ja valtakunnalliseen Kanta-palvelujen Potilastiedon arkistoon lainsäädännön mukaisesti.

Muiden kuin lakisääteisten potilastietojen osalta käsittely perustuu:

  • GDPR 6 artiklan 1 b alakohtaan (sopimuksen täytäntöönpano)
  • tarvittaessa 6 artiklan 1 f alakohtaan (oikeutettu etu)

Oikeutettu etu voi liittyä esimerkiksi asiakassuhteen hoitamiseen, laskutukseen tai toiminnan kehittämiseen.

Tällaisia tietoja voivat olla esimerkiksi:

  • ajanvaraus- ja peruutustiedot
  • laskutus- ja maksutiedot
  • verkkosivujen yhteydenottolomakkeen kautta annetut tiedot
  • tuotemyyntiin liittyvät tiedot

2.3 Vastaanottajaryhmät ja henkilötietojen luovutukset

Potilastiedot ovat salassa pidettäviä (asiakastietolaki 4–5 §; rikoslaki 38 luku).

Tietoja voidaan luovuttaa:

  • toiselle terveydenhuollon palveluntuottajalle potilaan suostumuksella
  • Kansaneläkelaitokselle (Kela)
  • viranomaisille lainsäädännön edellyttämissä tilanteissa
  • vakuutusyhtiölle potilaan pyynnöstä

Rekisterinpitäjän lukuun henkilötietoja voivat käsitellä:

  • Diarium-potilastietojärjestelmän toimittaja
  • Kanta-palvelut
  • kirjanpito- ja laskutuspalvelujen tuottajat
  • IT- ja hosting-palveluntarjoajat

Kaikkien käsittelijöiden kanssa on tehty GDPR 28 artiklan mukaiset kirjalliset sopimukset.

2.4 Lokitiedot ja käytön valvonta

Potilastietojärjestelmän käyttöä valvotaan asiakastietolain mukaisesti.
Järjestelmään tallentuu lokitietoja potilastietojen katselusta, käsittelystä ja luovutuksesta.

Lokitietoja käytetään:

  • tietoturvan ja potilasturvallisuuden varmistamiseen
  • mahdollisten väärinkäytösten selvittämiseen
  • lakisääteisten velvoitteiden täyttämiseen

2.5 Muut kuin potilastiedot

Mikäli asiakkaasta kerätään muita tietoja (esimerkiksi allasterapia- ja kuntosaliasiakkuuteen, tapahtumiin tai tuotemyyntiin liittyen), käsittelyperuste ja käyttötarkoitus ilmoitetaan erikseen ja tiedot käsitellään vain siihen tarkoitukseen, johon ne on kerätty.

3. Henkilötietojen siirrot EU/ETA-alueen ulkopuolelle

Potilastietoja ei siirretä EU/ETA-alueen ulkopuolelle.

Mikäli muita henkilötietoja käsittelevä tekninen palveluntarjoaja sijaitsee EU/ETA-alueen ulkopuolella tai käyttää alikäsittelijöitä kyseisellä alueella, siirto toteutetaan ainoastaan GDPR:n V luvun mukaisin suojatoimin, kuten:

  • Euroopan komission hyväksymät vakiolausekkeet (SCC)
  • Euroopan komission riittävyyspäätös
  • muu lainmukainen siirtomekanismi

Tietoturvan taso varmistetaan vastaamaan EU:n tietosuojalainsäädännön vaatimuksia.

4. Henkilötietojen säilytysaika

Potilasasiakirjojen säilytysajat määräytyvät asiakastietolain mukaisesti:

  • 12 vuotta potilaan kuolemasta,
  • 120 vuotta potilaan syntymästä, mikäli kuolinajasta ei ole tietoa

Muita henkilötietoja säilytetään:

  • kirjanpitolain mukaisesti 6 vuotta tilikauden päättymisestä
  • sopimussuhteen ajan ja enintään 2 vuotta sen päättymisestä, ellei laki muuta edellytä

5. Rekisteröidyn oikeudet

Rekisteröidyllä on oikeus:

  • saada pääsy omiin tietoihinsa
  • pyytää virheellisten tietojen oikaisemista
  • pyytää käsittelyn rajoittamista
  • vastustaa käsittelyä tietyissä tilanteissa
  • saada sopimukseen perustuvat automaattisesti käsitellyt tiedot siirretyksi

Oikeuksien käyttämistä koskevat pyynnöt käsitellään ilman aiheetonta viivytystä ja viimeistään kuukauden kuluessa pyynnön vastaanottamisesta.

Lakisääteisiin potilastietoihin ei sovelleta oikeutta tietojen poistamiseen.

6. Oikeus peruuttaa suostumus

Mikäli henkilötietojen käsittely perustuu suostumukseen (esimerkiksi sähköinen suoramarkkinointi), rekisteröidyllä on oikeus peruuttaa suostumus milloin tahansa.

Suostumuksen peruuttaminen ei vaikuta ennen peruuttamista suoritetun käsittelyn lainmukaisuuteen.

7. Oikeus tehdä valitus valvontaviranomaiselle

Rekisteröidyllä on oikeus tehdä valitus tietosuojavaltuutetun toimistolle.

Tietosuojavaltuutetun toimisto
www.tietosuoja.fi

8. Henkilötietojen antamisen velvollisuus

Potilastietojen antaminen on terveydenhuollon palvelun toteuttamisen lakisääteinen edellytys ja perustuu potilaan asemasta ja oikeuksista annettuun lakiin.

Kanta-palveluihin liittyvä informointi annetaan asiakastietolain edellyttämällä tavalla.

9. Automaattinen päätöksenteko

Henkilötietojen käsittelyyn ei liity automaattista päätöksentekoa tai profilointia.

10. Tietoturvatoimenpiteet

Henkilötietojen suojaamiseksi on toteutettu asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten:

  • käyttöoikeuksien rajaus ja henkilökohtaiset tunnukset
  • vahva tunnistautuminen potilastietojärjestelmään
  • tietoliikenteen salaus
  • palomuurit ja ajantasaiset tietoturvaohjelmistot
  • laitteiden fyysinen suojaus
  • säännöllinen varmuuskopiointi
  • henkilöstön tietosuojakoulutus

Tietoturvatoimenpiteitä arvioidaan ja päivitetään säännöllisesti.

11. Tietoturvaloukkaukset

Mahdolliset henkilötietojen tietoturvaloukkaukset käsitellään viivytyksettä.

Tarvittaessa:

  • ilmoitus tehdään tietosuojavaltuutetulle 72 tunnin kuluessa (GDPR 33 artikla)
  • rekisteröityä informoidaan, jos loukkaus aiheuttaa korkean riskin hänen oikeuksilleen (GDPR 34 artikla)

12. Käyttötarkoituksen muuttaminen

Mikäli henkilötietoja käsitellään myöhemmin muuhun tarkoitukseen kuin mihin ne on alun perin kerätty, rekisteröidylle annetaan tietosuoja-asetuksen mukaiset lisätiedot ennen käsittelyn aloittamista.

Lakimääräisten potilastietojen osalta käyttötarkoituksen on aina pysyttävä terveydenhuollon lainsäädännön sallimissa rajoissa.

13. Muutokset tietosuojaselosteeseen

Rekisterinpitäjä päivittää tätä tietosuojaselostetta tarvittaessa lainsäädännön, viranomaisohjeiden tai palveluiden muuttuessa. Ajantasainen versio on saatavilla verkkosivuilla.