Kansallisen yhteyspisteen luovutuslokin tietosuojaseloste

Kansallisen yhteyspisteen luovutuslokin tietosuojaseloste

Tämä on voimassa oleva Kansallisen yhteyspisteen luovutuslokin tietosuojaseloste, joka on päivitetty 23.5.2024.

Rekisterinpitäjä

Kansaneläkelaitos (Kela)

Nordenskiöldinkatu 12, 00250 Helsinki
PL 450, 00056 Kela
Puhelin 020 634 11

Yhteyshenkilö rekisteriä koskevissa asioissa

Kansallisen yhteyspisteen rekisteriasioista asiakas voi tiedustella Kanta-palvelujen asiakastuesta asiakaspalvelu@kanta.fi.

Rekisteröidyn oikeuksiin liittyvissä asioissa rekisteröity voi lähettää tiedusteluja sähköpostitse Kanta-palvelujen tietosuojavastaavalle tietosuoja@kanta.fi.

Rekisterin nimi

Kansallinen yhteyspisteen luovutusloki

Henkilötietojen käsittelyn tarkoitus ja käsittelyn peruste

Kansallisen yhteyspisteen ylläpito on Kelalle laissa säädetty tehtävä. Näiden palvelujen sisältö määräytyy voimassa olevan lainsäädännön perusteella (laki sähköisestä lääkemääräyksestä (61/2007) 23 a §, laki sosiaali- ja terveydenhuollon asiakastietojen käsittelystä (703/2023) 60 § ja 71 §).

Reseptikeskukseen tallennetut sähköiset lääkemääräykset voidaan toimittaa mistä tahansa sähköisen lääkemääräyksen käyttöön ottaneesta apteekista ja sähköisestä lääkemääräyksestä annetun lain 23 a §:n tarkoittamissa Euroopan maiden apteekeissa.

Potilastiedon yhteenveto sisältää lääkitystiedot ja keskeiset terveystiedot, jotka voidaan luovuttaa potilaan suostumuksella toiseen Euroopan maahan terveydenhoitoa varten.

Kansalliseen yhteyspisteeseen tallentuu luovutusloki rajat ylittävän reseptin tai potilastietojen yhteenvedon toimittamisesta toiseen Euroopan maahan.

Potilastietojen yhteenveto voidaan luovuttaa Suomesta asiakkaan antaman suostumuksen perusteella. Asiakkaan suostumus ja sen peruminen tallennetaan Kanta-palvelujen ylläpitämään Tahdonilmaisupalveluun. Suostumuksen perusteella luovutettavan potilastietojen yhteenvedon toimittamisesta toiselle Euroopan maalle tallentuu luovutusloki.

Rajat ylittävän reseptin rekisterin tietosisältö

  • Henkilötunnus
  • Nimitieto (etunimi, toinen nimi, sukunimi)
  • Lääkemääräysten ja lääketoimitusten sisältöjä

Potilastietojen yhteenvedon rekisterin tietosisältö

  • Henkilötunnus
  • Henkilön yleistiedot (etunimi, toinen nimi, sukunimi, osoite)
  • Lääkitystietoja sekä keskeisiä terveystietoja (tiedonhallintapalvelun koostamat)

Säännönmukaiset tietolähteet

Kela toimii Suomessa kansallisena teknisenä sähköisenä yhteyspisteenä Kanta-palvelujen ja toisen EU-maan kansallisen yhteyspisteen välillä.

Potilastietojen yhteenvedon tiedot koostetaan lääkemääräystiedoista ja Tiedonhallintapalvelun keskeisistä terveystiedoista. Keskeiset terveystiedot koostetaan Potilastietovarantoon terveydenhuollon tallentamista potilasasiakirjoista. Lääkemääräyksen tiedot saadaan Reseptikeskuksesta, joka on tietovaranto, joka koostuu lääkkeen määrääjien tallentamista sähköisistä lääkemääräyksistä ja apteekkien tallentamista lääkemääräyksistä.

Tietojen säännönmukaiset luovutukset ja tietojen siirto EU:n tai Euroopan talousalueen ulkopuolelle

Salassapitosäännösten ja muiden tietojen käyttöä koskevien säännösten estämättä Kela saa luovuttaa tietoja toiselle viranomaiselle, jos tietoja pyytävällä viranomaiselle on lakisääteinen oikeus kyseessä oleviin tietoihin ja lakisääteiset edellytykset tietojen luovuttamiseksi täyttyvät.

Tietoja ei siirretä EU:n tai Euroopan talousalueen ulkopuolelle.

Henkilötietojen säilytysaika

Luovutuslokia säilytetään 12 vuotta lokitapahtumasta.

Rekisterin suojauksen periaatteet

Organisatoriset suojauksen periaatteet

Kelalla tulee olla tietoturvasuunnitelma tietosuojan ja tietoturvan varmistamiseksi. Kelalla tulee olla nimettynä tietosuojavastaava.

Kela antaa kirjalliset ohjeet asiakastietojen käsittelystä, noudatettavista menettelytavoista ja huolehtii henkilökunnan riittävästä asiantuntemuksesta ja osaamisesta asiakastietoja käsiteltäessä omassa toiminnassaan.

Tekniset suojauksen periaatteet

Kansallisen yhteyspisteen käyttölokirekisteriin tallennettujen lokitietojen katselu tai muu tietojen käsittely edellyttävät käsittelijän yksilöivää vahvaa tunnistautumista sekä järjestelmään liittyvää käyttöoikeuksien hallintaa. Digi- ja väestötietovirasto vastaa tunnistamis- ja varmennepalveluista. Sosiaali- ja terveydenhuollon palvelunantaja ja apteekki vastaavat omalta osaltaan käyttöoikeuksien hallinnasta. Euroopan komissio vastaa kansallisten yhteyspisteiden varmennepalveluista.

Lokitiedot tietojen katselusta, käsittelystä ja luovuttamisesta sosiaali- ja terveydenhuollossa tallentuu Kansallisen yhteyspisteen käyttölokirekisteriin.

Kelalla on laissa osoitettuja tehtäviä ja välttämättömiä ylläpitotehtäviä, joiden toteuttamiseksi Kelan ylläpitäjällä on käyttöoikeuksin rajattu pääsy Kansallisen yhteyspisteen käyttölokirekisteriin. Kela vastaa Kansallisen yhteyspisteen käyttölokirekisterin käyttöoikeuksien hallinnasta.

Fyysiset suojauksen periaatteet

Kansallisen yhteyspisteen käyttölokirekisteriin tallennetut tiedot on teknisesti suojattu muuttamiselta ja poistamiselta. Kelan laitetilat sekä tietojen fyysinen sijainti on Suomessa. Laitetiloihin on rajoitettu pääsy Kelan teknisillä ylläpitäjillä, joiden työtehtävien hoito edellyttää niihin pääsyä.

Oikeus tutustua omiin tietoihin

EU:n yleisen tietosuoja-asetuksen (2016/679) 15. artiklan mukaisesti rekisteröidyllä on oikeus tutustua omiin Kansallisen yhteyspisteen luovutusrekisteriin tallennettuihin tietoihin. Rekisteröidyllä on oikeus pyytää luovutuslokitiedot Kelasta.

Henkilö voi asioida valtakirjalla tai laillisena edustajana täysikäisen puolesta ja pyytää oikeutta tutustua Kansallisen yhteyspisteen luovutuslokirekisterin tietoihin. Edustajan tekemä tietopyyntö edellyttää, että edustajalla on oikeus edustaa päämiestään kyseessä olevassa asiassa. Kela tarkastaa henkilön oikeuden vastaanottaa tiedot. Tietojen luovutuksesta voidaan kieltäytyä laissa säädetyin perustein.

Huoltaja voi pyytää oikeutta tutustua alaikäisen Kansallisen yhteyspisteen luovutuslokirekisterin tietoihin. Kela tarkastaa huoltajuuden voimassaolon huoltajan pyytäessä alaikäisen tietoja. Tietojen luovutuksesta voidaan kieltäytyä laissa säädetyin perustein.

Tietopyyntö osoitetaan Kelalle (kirjaamo, PL 450, 00056 Kela). Ks. Muut henkilötietojen käsittelyyn liittyvät oikeudet.

Oikeus pyytää virheellisen tiedon korjaamista

EU:n yleisen tietosuoja-asetuksen (2016/679) 16. artiklan mukaan rekisteröidyllä on oikeus vaatia rekisterissä olevan itseään koskevan virheellisen tiedon korjausta.

Henkilö voi valtakirjalla tai laillisena edustajana täysikäisen puolesta pyytää virheellisen tiedon korjaamista. Huoltaja voi pyytää virheellisen tiedon korjaamista alaikäisen puolesta. Virheellinen resepti- tai potilastieto korjataan siinä sosiaali- tai terveydenhuollon palvelunantajan yksikössä tai apteekissa, jossa virheellinen kirjaus on tehty. Palvelunantajat ja apteekit vastaavat aina kirjaamiensa tietojen sisällöistä ja niiden oikeellisuudesta. Virheellisen tiedon korjauspyynnön voi osoittaa sosiaali- ja terveydenhuollon palvelunantajan tai apteekin tietosuojavastaavalle.

Jos korjaamispyyntöön ei voida suostua, asiakkaalle annetaan siitä kieltäytymistodistus. Kieltäytymistodistuksessa mainitaan ne syyt, joiden vuoksi asiakkaan tai hänen laillisen edustajan vaatimusta ei ole hyväksytty. Asiakas voi kieltäytymistodistuksen saatuaan saattaa asian toimivaltaiselle valvontaviranomaiselle käsiteltäväksi.

Oikeus tehdä valitus valvontaviranomaiselle

Jos asiakas katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan soveltuvaa tietosuojasääntelyä, asiakkaalla on oikeus tehdä valitus toimivaltaiselle valvontaviranomaiselle tietosuoja-asetuksen 77 artiklan ja tietosuojalain 21 §:n mukaisesti. Suomessa valvontaviranomainen on tietosuojavaltuutettu.

Muut henkilötietojen käsittelyyn liittyvät oikeudet

OmaKanta-palvelussa asiakas voi katsoa, mille sosiaali- ja terveydenhuollon palvelunantajalle tai apteekille tietoja on luovutettu.

Rekisteröidyllä on oikeus pyytää potilastietojen yhteenvedon luovutuslokitiedot Kelasta. Rekisteröidyllä on oikeus saada tietää miten Suomen apteekit ovat käsitelleet hänen ulkomailta haettuja reseptitietoja. Rekisteröity voi osoittaa lokitietopyynnön Kelalle.

Henkilö voi asioida valtakirjalla tai laillisena edustajana täysikäisen puolesta ja pyytää tietoa siitä mille tahoille suostumuksen perusteella on luovutettu potilastiedon yhteenvedon tietoja tekemällä lokitietopyynnön Kelalle. Kela tarkastaa henkilön oikeuden vastaanottaa tiedot. Tietojen luovutuksesta voidaan kieltäytyä laissa säädetyin perustein.

Huoltajalla on oikeus pyytää tietoa siitä mille tahoille on luovutettu alaikäisen suostumuksella potilastiedon yhteenvedon tietoja tekemällä lokitietopyynnön Kelalle. Tietojen luovutuksesta voidaan kieltäytyä laissa säädetyin perustein.

Lokitietopyynnön voi tehdä lokitietopyyntölomakkeella, joita on saatavilla Kanta-palveluun liittyneistä sosiaali- ja terveydenhuollon palvelunantajilta, apteekeista ja Kelan asiakaspalvelupisteistä tai osoitteesta www.kanta.fi. Lokitietopyyntö osoitetaan Kelalle (kirjaamo, PL 450, 00056 Kela). Lokitietopyynnön voi tehdä myös vapaamuotoisesti ottamalla yhteyttä puhelimitse tai sähköpostitse Kelan kirjaamoon (kirjaamo@kela.fi).

Kahta vuotta vanhempia lokitietoja ei ole oikeutta saada, jollei siihen ole erityistä syytä. Asiakas ei saa käyttää tai luovuttaa saamiaan lokitietoja edelleen muuhun tarkoitukseen.

Jos asiakas katsoo lokitietojen perusteella, että hänen tietojaan on käsitelty perusteettomasti, hän voi pyytää asiasta selvityksen asianomaiselta sosiaali- ja terveydenhuollon palvelunantajalta tai apteekilta. Kela voi antaa pyynnöstä selvityksen asiakkaalle tietojensa käytön ja luovutuksen perusteista.

Jos asiakas haluaa selvityksen tietojensa käsittelyn perusteista, kun kyseessä on toisen Euroopan maan apteekki tai terveydenhuolto, selvityspyyntö voidaan osoittaa Kelalle (kirjaamo@kela.fi).

Asiakkaalla on oikeus saada samat tiedot uudelleen, jos siihen on asiakkaan etujen ja oikeuksien toteuttamiseksi perusteltu syy. Kela saa periä uudelleen annettavista tiedoista tietojen antamisesta aiheutuvia kustannuksia vastaavan maksun.

Kelan toiminta ja Kanta-palvelujen ylläpito perustuvat kansalliseen lainsäädäntöön. Näistä syistä johtuen EU:n yleisen tietosuoja-asetuksen 17. artiklan nojalla rekisteröidyn oikeutta tietojen poistamiseen ja 20. artiklan nojalla rekisteröidyn oikeutta siirtää tiedot järjestelmästä toiseen ei sovelleta Kansallisen yhteyspisteen käyttölokirekisteriin tallennettuihin tietoihin. Kansallinen lainsäädäntö säätää Kansallisen yhteyspisteen käyttölokirekisteriin tallennettujen lokitietojen säilytysajan, jonka jälkeen tiedot hävitetään.

Sivua päivitetty 7.6.2024