Tietosuojaseloste: Aspa Palvelut Oy:n asiakastietorekisteri

Tietosuojaseloste / Tietosuojalaki / (5.12.2018/1050)
Laadittu: 13.12.2018, päivitetty 3.5.2023

1. Rekisterinpitäjä

Aspa Palvelut Oy, Turkhaudantie 5, 00700 Helsinki, Y-tunnus: 1998395-9

Tämä tietosuojaseloste koskee niitä asiakkaita, joiden osalta Aspa Palvelut Oy toimii rekisterinpitäjänä. Tietosuojaseloste koskee myös Aspa Palveluiden asiakastietojärjestelmään tallennettuja työntekijätietoja. 

Jos asiakassuhde perustuu kunnan kanssa tehtyyn ostopalvelu- tms. sopimukseen tai asiakkaalle on myönnetty palveluseteli, toimii rekisterinpitäjänä kyseinen taho. Näiden asiakastietojen osalta noudatetaan kyseisen rekisterinpitäjän tietosuojaselostetta ja siinä kuvattuja toimintamalleja. 

2. Yhteyshenkilö rekistereitä koskevassa asiassa

Rekisterin vastuuhenkilö: 
Toimitusjohtaja Seija Milonoff
Turkhaudantie 5, 00700 Helsinki
seija.milonoff(at)aspa.fi
puhelin 040 830 1208

Tietosuojavastaava: 
Emilia Valkonen
Turkhaudantie 5, 00700 Helsinki
tietosuojavastaava(at)aspa.fi
puhelin 040 821 1943

3. Rekisterin nimi

Aspa Palvelut Oy:n asiakastietorekisteri

4. Henkilötietojen käsittelyn tarkoitus

Asiakastietojen käsittely perustuu lakiin. Rekisteritietoja saa käyttää vain siihen käyttötarkoitukseen, joka sille on määritelty, ellei muussa laissa ole toisin säädetty.

Rekisterin tietoja käytetään asiakkaan tuetun asumisen, palveluasumisen, päivätoiminnan, henkilökohtaisen avun järjestämiseen tai muun vastaavan palvelun suunnitteluun, toteutukseen ja arviointiin. Asiakastyön kirjaamisen tarkoitus on tukea ja dokumentoida asiakastyötä sekä varmistaa sen laatu ja sovitun palvelun toteutuminen. Rekisteriä käytetään myös tilastointitarkoituksiin.

Laskutus- ja raportointijärjestelmiin siirtyvissä tiedoissa käytetään asiakastietojärjestelmän tietokantaa vain rajatusti. Työntekijätietoja käytetään työajan seurantaan, töiden organisointiin sekä järjestelmän käyttöoikeuksien hallinnointiin.

Asiakasrekisteriin tallennettujen henkilötietojen säilytysajoissa noudatetaan kulloinkin voimassa olevaa sääntelyä tietojen säilytysajoista. Kunnan ollessa rekisterinpitäjä, kaikki asiakastiedot luovutetaan rekisterinpitäjälle asiakassuhteen päätyttyä arkistoitavaksi.

5. Rekisterin tietosisältö

a. Asiakkaan perustiedot: nimi, henkilötunnus, kotikunta, osoite, äidinkieli, ammatti ja tuntomerkit. Asiakkaan kuva lisätään tietoihin tarvittaessa erikseen suullisesti tai kirjallisesti myönnetyn, asiakastietoihin kirjatun luvan perusteella.

b. Asiakkaan elämäntilanteeseen liittyvät tiedot: asumistilanne, perhesuhteet, koulutustausta, työtilanne ja toimeentulotilanne.

c. Asiakkaan nimeämät tärkeät henkilöt: lähiomainen, alaikäisen asiakkaan huoltaja, asiakkaan laillinen edustaja (esim. edunvalvoja) sekä mahdolliset muut asiakkaan antamat yhteyshenkilöt ja yhteistyötahot.

d. Terveystiedot: diagnosoidut sairaudet, allergiat, lääkeyliherkkyydet, ruokarajoitteet, toimintakyky, akuutit sairaudet ja apuvälineet.

e. Asiakkaan palveluiden järjestämisen, suunnittelun, toteuttamisen ja seurannan turvaamiseksi tarpeelliset tiedot: palveluiden toteuttamissuunnitelma, asiakaskalenteri sekä palvelun tuottamisesta syntyvät tapahtuma- ja terveystiedot, huomiot ja esitiedot, käyttövarojen seuranta.

f. Tiedot palveluista: kesto, laskutustiedot ja laskutusosoitteet, laskutuksen yhteyshenkilöt.

g. Muut palveluiden kannalta välttämättömät tiedot: esim. sairaanhoitajan, lääkärin, terveydenhoitajan, ravitsemusterapeutin, psykologin ym. työtehtävissä laatimat tiedot.

h. Mahdolliset tietojen luovutuksia koskevat tiedot ja luovutusten perusteet

Sähköisen rekisterin lisäksi voidaan ylläpitää osarekisterinä erillisiä paperilla olevia rekistereitä. Ne voivat sisältää mm. tietoja asiakkaan antamista suostumuksista tai kielloista asiakastietojen luovuttamisesta, allekirjoitettuja vuokra- ja palvelusopimuksia tai muita listoja, joilla varmistetaan palveluiden toteutuminen.

6. Säännönmukaiset tietolähteet

Asiakas kertoo tai luovuttaa tietoja itse.

Asiakkaan huoltaja, asiakkaan laillinen edustaja tai lähiomainen, antaa tietoja sanallisesti tai kirjallisesti.

Yksikön henkilökunta, terveyden- ja sosiaalihuollon ammattihenkilöt tai muu hoitava taho.

Asiakkaan suostumuksella tietoja voidaan saada myös toisilta sosiaalihuollon tai terveydenhuollon toimintayksiköiltä tai ammattihenkilöiltä, esimerkiksi kansallisen terveysarkiston (KANTA) kautta.

7. Tietojen säännönmukaiset luovutukset

Asiakastiedot ovat salassa pidettäviä. Kaikilla Aspa Palveluiden työntekijöillä ja opiskelijoilla on salassapito- ja vaitiolovelvollisuus. Vaitiolo- ja salassapitovelvollisuus säilyy senkin jälkeen, kun työsuhde on päättynyt.

Asiakkaan asiakirjoihin sisältyviä tietoja voidaan luovuttaa potilaan asemasta ja oikeuksista annetun lain (17.8.1992/785) 13 §:ssä mainituin perustein.

Asiakastietoja voidaan luovuttaa:

  • Asiakkaan tai hänen laillisen edustajansa kirjallisella suostumuksella
  • Nimenomaisen lainsäännöksen nojalla
  • Asiakkaan siirtyessä toiseen sosiaali- tai terveydenhuollon toimintayksikköön, voidaan asiakkaan suullisella ja asiakasasiakirjoihin merkityllä suostumuksella, luovuttaa tietoja kyseiselle toimintayksikölle tai terveydenhuollon ammattihenkilölle
  • Asiakkaan tutkimuksen ja hoidon järjestämiseksi tai toteuttamiseksi välttämättömiä tietoja voidaan luovuttaa toiselle terveydenhuollon toimintayksikölle tai terveydenhuollon ammattihenkilölle myös ilman potilaan suostumusta, jos potilaalla ei ole mielenterveyshäiriön, kehitysvammaisuuden tai muun vastaavan syyn vuoksi edellytyksiä arvioida annettavan suostumuksen merkitystä eikä hänellä ole laillista edustajaa, taikka jos suostumusta ei voida saada asiakkaan tajuttomuuden tai muun siihen verrattavan syyn vuoksi
  • Terveydenhuollon valtakunnallisista henkilörekistereistä annetun lain (556/1989, 3 §) mukaan rekisteristä luovutetaan henkilön tietoja Terveyden- ja hyvinvoinninlaitoksen (THL) terveydenhuollon valtakunnallisiin rekistereihin tutkimus-, suunnittelu- ja tilastotarkoituksia varten. Terveydenhuollon valtakunnallisia rekistereitä on mm. hoitoilmoitusrekisteri (Hilmo)
  • Asiakkaan kirjallisella suostumuksella tai nimenomaisen lainsäännöksen perusteella voidaan luovuttaa tietoja vakuutusyhtiölle
  • Tietoja voidaan luovuttaa asiakkaan huoltajalle tai muulle lailliselle edustajalle, jos asiakas on antanut tähän nimenomaisen yksilöidyn suostumuksensa. Jos alaikäinen asiakas ikäänsä ja kehitystasoonsa nähden kykenee päättämään asioistaan, hänellä on oikeus kieltää terveydentilaansa ja palveluja koskevien tietojen antaminen huoltajalleen tai muulle lailliselle edustajalleen

8. Tietojen siirto EU:n tai ETA:n ulkopuolella

Rekisteristä ja sähköisestä asiakastietojärjestelmästä ei siirretä asiakastietoja tai muutoin luovuteta tietoa Euroopan unionin tai Euroopan talousalueen ulkopuolelle.

9. Rekisterin suojauksen periaatteet

Kaikki asiakastiedot on säädetty salassa pidettäviksi, eikä niitä luovuteta sivullisille.

A. Manuaalinen aineisto:

Vanhat ja mahdollisesti sähköisen asiakastietojärjestelmän ohella syntyvät paperiset tiedot säilytetään yksikössä niin, että ne ovat vain työssään niitä tarvitsevien ja käyttävien saatavissa. Tiedot säilytetään lukituissa ja valvotuissa tiloissa, erikseen lukituissa kaapeissa. Manuaalinen aineisto, jonka tarve lakkaa tuhotaan tietosuojajätteenä.

B. Sähköinen aineisto:

Asiakastiedot tallennetaan vain Aspa Palvelut Oy:n valtakunnallisesti käytössä olevaan sähköiseen asiakastietojärjestelmään. Järjestelmässä on tarkasti määritelty ja rajattu työntekijöiden mahdollisuus nähdä ja käsitellä ainoastaan omiin työtehtäviin kuuluvia asiakastietoja. Tietoihin on pääsy vain siihen oikeutetun työntekijän henkilökohtaisella käyttäjätunnuksella ja salasanalla. Käyttäjätunnusten saannin edellytyksenä on salassapitositoumuksen allekirjoittaminen.

Rekisterinpitäjän ylin johto päättää organisaation rakenteesta ja pääkäyttäjät määrittelevät käyttöoikeudet eri ryhmille järjestelmään, siinä laajuudessa kuin työtehtävät niitä edellyttävät. Esihenkilöt vastaavat käyttöoikeuksien myöntämisestä ja poistamisesta työntekijöille. Käyttöoikeus päättyy henkilön siirtyessä pois niistä tehtävistä, joita varten hänelle on myönnetty käyttöoikeus.

Järjestelmä rekisteröi kaiken järjestelmässä suoritetun tietojen käsittelyn ja katselun. Rekisteritietojen käsittelyä ja katselua seurataan ja valvotaan käyttölokitietojen avulla. Yrityksen ulkopuolisilla ei ole oikeutta tai mahdollisuutta asiakastietojärjestelmän käyttöön.

Asiakastietojärjestelmä on luotetun tahon myöntämän varmenteen takana ja liikenne on suojattua https-liikennettä. Sovelluksen käyttäjänäkökulmasta henkilötietoihin pääsy on autentikoitujen käyttäjätunnusten takana. Asiakastietojärjestelmän toimittajan toimintaa ohjaa henkilötietojen käsittelyyn käytettyjen järjestelmien ja palveluiden luottamuksellisuuden, eheyden, käytettävyyden ja vikasietoisuuden jatkuva varmistaminen. Lisäksi toimintaan kuuluu keskeisesti teknisten ja organisatoristen toimintojen testaaminen, tutkiminen ja arvioiminen säännöllisesti henkilötietojen käsittelyn turvallisuuden varmistamiseksi.

10. Tarkastusoikeus

Asiakkaalla on oikeus tarkastaa häntä koskevat asiakasrekisterissä olevat tiedot.

Jos asiakas haluaa tarkistaa omia tietojaan, hänen täytyy lähettää omakätisesti allekirjoitettu tarkastuspyyntö Aspa-kodin johtajalle tai rekisterinpitäjän yhteyshenkilölle, tarkastuspyyntölomakkeen saa Aspa Palveluiden työntekijöiltä.

Tarkastusoikeutta koskevat asiat käsittelee ja ratkaisee yksikön esihenkilö tai muu hänen nimeämänsä sosiaali- tai terveysalanhenkilö, joka tekee merkinnän tarkastusoikeuden käyttämisestä asiakasrekisteriin. Tarkastusoikeus toteutetaan viivytyksettä, kuitenkin enintään 30 päivän kuluessa. Se voidaan evätä ainoastaan laissa säädetyin perustein. Asiakkaan henkilöllisyys tarkistetaan ennen tietojen antamista.

Tarkastusoikeutta voi käyttää maksutta kerran vuodessa.

Kunnan ollessa rekisterinpitäjä, toimitaan tietojen tarkastamisessa heidän antamien ohjeiden mukaisesti.

11. Oikeus vaatia tiedon korjaamista

Asiakkaalla on oikeus vaatia rekisterissä olevan virheellisen tiedon korjaaminen ilman viivytystä. Vaatimus tulee esittää kirjallisesti ja toimittaa kyseessä olevaan yksikön esimiehelle tai rekisterinpitäjän yhteyshenkilölle.

Mikäli asiakkaan vaatimus on oikeutettu, korjauksen ja mahdolliset toimenpiteet tekee henkilö, jolla on asiakasrekisteritietojen korjaukseen oikeudet, esim. järjestelmän pääkäyttäjä. 

Mahdolliset virheelliset merkinnät tallentuvat taustalle ja ne ovat myöhemmin luettavissa. Asiakirjoihin merkitään korjauksen tekijän nimi, korjauksentekopäivä ja korjauksen peruste.

Jollei rekisterinpitäjä hyväksy rekisteröidyn vaatimusta tiedon korjaamisesta, hänen on annettava asiasta kirjallinen todistus. Todistuksessa on mainittava myös ne syyt, joiden vuoksi vaatimusta ei ole hyväksytty.

12. Muut henkilötietojen käsittelyyn liittyvät oikeudet

Aspa Palvelut Oy ei käytä asiakasrekisterintietoja suoramainontaan, etämyyntiin tai muuhun suoramarkkinointiin. 

Rekisteröidyllä on oikeus tehdä valitus tietosuojavaltuutetulle, jos rekisterinpitäjä ei ole noudattanut toiminnassaan soveltuvaa tietosuojasääntelyä.