Reseptikeskuksen tietosuojaseloste

Reseptikeskuksen tietosuojaseloste

Tämä on voimassa oleva Reseptikeskuksen tietosuojaseloste, joka on päivitetty 12.7.2022.

Yhteisrekisterinpitäjä

Kansaneläkelaitos

Nordenskiöldinkatu 12, 00250 Helsinki
PL 450, 00056 Kela
puh. 020 634 11

Rekisteriasioita hoitava henkilö tai yhteyshenkilö

Reseptikeskuksen rekisteriasioista asiakas voi tiedustella Kanta-palvelujen asiakastuesta asiakaspalvelu@kanta.fi.

Rekisteröidyn oikeuksiin liittyvissä asioissa rekisteröity voi lähettää tiedusteluja sähköpostitse Kanta-palvelujen tietosuojavastaavalle tietosuoja@kanta.fi.

Rekisterin nimi

Reseptikeskus

Henkilötietojen käsittelyn tarkoitus ja käsittelyn peruste

Reseptikeskus on tietokanta, joka koostuu lääkkeen määrääjien tallentamista sähköisistä lääkemääräyksistä, apteekkien tallentamista lääkemääräyksistä, sosiaali- ja terveydenhuollon palvelunantajien potilaille luovutettuja lääkkeitä koskevista tiedoista, lääkemääräyksiin liitetyistä toimitustiedoista ja lääkehoidon arviointiin liittyvistä merkinnöistä.

Rekisterin tarkoituksena on mahdollistaa sähköisestä lääkemääräyksestä annetun lain mukaisten sähköisten lääkemääräysten ja niihin liittyvien toimitustietojen ja uudistamispyyntöjen tallentaminen ja säilyttäminen valtakunnallisesti keskitetyssä Reseptikeskuksessa. Reseptikeskukseen tallennetut sähköiset lääkemääräykset voidaan toimittaa mistä tahansa sähköisen lääkemääräyksen käyttöön ottaneesta apteekista ja sähköisestä lääkemääräyksestä annetun lain 23 a §:n tarkoittamissa Euroopan maiden apteekeissa henkilön Omakannassa antaman suostumuksen mukaisesti.

Reseptikeskukseen tallennettuja sähköisiä lääkemääräyksiä ja niiden toimitustietoja voidaan sähköisessä lääkemääräyslaissa säädetyin edellytyksin hyödyntää lisäksi mm. potilaan kokonaislääkityksen selvittämisessä, sosiaali- ja terveydenhuollon ja apteekkien viranomaisvalvonnassa, sairausvakuutuslain mukaisten etuuksien ratkaisemisessa, tieteellisessä tutkimuksessa, raportoinnissa ja tilastojen laatimisessa.

Reseptikeskukseen tallennetut tiedot säilytetään Reseptikeskuksessa 20 vuotta, jonka jälkeen tiedot hävitetään. Apteekissa tiedot ovat käytettävissä 42 kuukautta lääkemääräyksen laatimisesta. Asiakkaalle reseptitiedot ovat nähtävissä Omakannasta.

Sähköisestä lääkemääräyksestä annetun lain (61/2007) 18 §:n mukaan Kansaneläkelaitos (jatkossa Kela) on Reseptikeskuksen yhteisrekisterinpitäjä apteekkien, sähköisiä lääkemääräyksiä laativien palvelunantajien ja itsenäisten lääkkeen määrääjien kanssa.

Kela vastaa Reseptikeskuksessa olevien tietojen käytettävyydestä ja eheydestä, tietosisältöjen muuttumattomuudesta ja tietojen säilyttämisestä sekä tietojen hävittämisestä säilytysajan päätyttyä.

Sähköisiä lääkemääräyksiä laativa palvelunantaja ja itsenäinen lääkkeen määrääjä vastaavat Reseptikeskukseen tallennettavan lääkemääräyksen tietojen oikeellisuudesta. Lääkkeen toimittanut apteekki vastaa Reseptikeskukseen tallennettavien toimitustietojen oikeellisuudesta.

Kela toimii tietosuoja-asetuksen 26 artiklan 1 kohdan mukaisena rekisteröidyn yhteyspisteenä. Kela vastaa yhteyspisteenä tietosuojalainsäädännössä rekisterinpitäjille asetetun informointivelvoitteen täyttämisestä ja toteuttamisesta Reseptikeskukseen kerättyjen henkilötietojen osalta. Lisäksi Kela toimii ensisijaisena yhteyspisteenä rekisteröityjen oikeuksien käyttämistä koskevissa pyynnöissä ja välittää pyynnön tarvittaessa oikealle taholle.

Yhteisrekisterinpitäjyyttä koskevaa lainsäädäntöä sekä yhteisrekisterinpitäjyydessä noudettavia menettelytapoja on käsitelty sitä koskevassa asiakirjassa Kuvaus Kanta-palveluihin liittyvien palvelujen yhteisrekisterinpitäjyydestä (pdf).

Kela toteuttaa henkilötietojen käsittelyn EU:n yleisen tietosuoja-asetuksen ja muun henkilötietojen käsittelyä sääntelevien lakien mukaisesti sekä sähköisen lääkemääräyslain nojalla.

Rekisterin tietosisältö

Reseptikeskukseen tallennetaan sähköisestä lääkemääräyksestä annetun lain mukaiset sähköiset lääkemääräykset, niihin liittyvät toimitustiedot sekä uudistamispyynnöt. Kaikille lääkemääräysasiakirjoille tallentuvat potilaan perustiedot: Nimi, henkilötunnus (mikäli sellainen on), syntymäaika ja sukupuoli. Selosteen lopussa olevaan liitteeseen 1 on koottu rekisterin sisältämät tiedot ja tietoryhmät.

Säännönmukaiset tietolähteet

Sähköisen lääkemääräyksen voi määrätä lääkäri, hammaslääkäri, lääkkeen määräämiseen oikeutettu lääketieteen ja hammaslääketieteen opiskelija tai sairaanhoitaja, jonka oikeus lääkkeen määräämiseen on varmennettu.

Apteekki on velvollinen tallentamaan paperisen tai puhelimitse vastaanotetun lääkemääräyksen ja siihen liittyvät toimitustiedot Reseptikeskukseen, jos lääkemääräys on annettu esimerkiksi teknisen häiriön tai muun syyn takia kirjallisesti tai puhelimitse. Lääkemääräyksen toimitusmerkinnät tekee ja tallentaa apteekissa proviisori tai farmaseutti.

Säännönmukaiset tietojen luovutukset ja tietojen siirto EU:n tai Euroopan talousalueen ulkopuolelle

Salassapitosäännösten ja muiden tietojen käyttöä koskevien säännösten estämättä Kela saa Reseptikeskuksen yhteisrekisterinpitäjänä luovuttaa viranomaiselle tai tieteellistä tutkimusta varten pyynnöstä lääkemääräys- ja toimitustietoja.

Selosteen lopussa olevaan liitteeseen 2 on koottu sähköisestä lääkemääräyksestä annetun lain ja muun lainsäädännön mukaiset lääkemääräys- ja toimitustietojen luovutustilanteet, tietojen luovutuksen peruste ja luovuttamistapa.

Tietoja ei siirretä EU:n tai Euroopan talousalueen ulkopuolelle.

Rekisterin suojauksen periaatteet

Reseptikeskukseen tallennetut tiedot ovat salassa pidettäviä henkilön terveydentilaa koskevia tietoja.

Organisatoriset suojauksen periaatteet

Kelalla, sosiaali- ja terveydenhuollon palvelunantajalla ja apteekilla tulee olla tietoturvasuunnitelma tietosuojan ja tietoturvan varmistamiseksi. Kelalla, sosiaali- ja terveydenhuollon palvelunantajalla ja apteekilla tulee olla nimettynä tietosuojavastaava.

Palvelunantajan vastaavan johtajan, apteekkarin sekä Kansaneläkelaitoksen tulee antaa kirjalliset ohjeet asiakastietojen käsittelystä ja noudatettavista menettelytavoista sekä huolehtia henkilökunnan riittävästä asiantuntemuksesta ja osaamisesta potilastietoja käsiteltäessä.

Rekisterinpitäjän, toimintayksikön ja apteekin tulee oma-aloitteisesti ryhtyä tarvittaviin toimenpiteisiin, jos joku on lainvastaisesti katsonut, käyttänyt tai luovuttanut Reseptikeskuksessa olevia tietoja.

Seurannan ja valvonnan toteuttamiseksi Reseptikeskusta käyttävällä sosiaali- ja terveydenhuollon palvelunantajalla ja apteekilla on oikeus saada Kelalta lokitiedot siltä osin kuin asianomaisen toimintayksikön tai apteekin henkilökunta on katsellut ja käsitellyt Reseptikeskuksessa olevia tietoja.

Toisen Euroopan maan alueella toimiva apteekki on yhteydessä Reseptikeskukseen ko. maan ja Suomen kansallisten yhteyspisteiden kautta. Toisen maan yhteyspisteen pyynnöstä Kelassa selvitetään virhetilannetta lääkemääräyksen lokitietojen avulla siinä laajuudessa, kuin missä niitä tarvitaan ongelmatilanteiden selvittämisessä sekä viranomaisselvityksiä varten.

Tekniset suojauksen periaatteet

Reseptikeskuksessa olevien tietojen katselu, tallentaminen ja muu tietojen käsittely edellyttävät käsittelijän yksilöivää vahvaa tunnistautumista sekä järjestelmään liittyvää käyttöoikeuksien hallintaa sekä sosiaali- ja terveydenhuollon palvelunantajalla, apteekissa että Kelalla.

Digi- ja väestötietovirasto vastaa sähköisen lääkemääräyksen tunnistamis- ja varmennepalveluista. Euroopan komissio vastaa kansallisten yhteyspisteiden varmennepalveluista.

Sosiaali- ja terveydenhuollon palvelunantaja, apteekki ja Kela vastaavat omalta osaltaan käyttöoikeuksien hallinnasta.

Lokitiedot tietojen katselusta ja käsittelystä ja luovuttamisesta sosiaali- ja terveydenhuollossa ja apteekeissa tallentuvat Reseptikeskukseen.

Fyysiset suojauksen periaatteet

Reseptikeskukseen tallennetut tiedot on teknisesti suojattu muuttamiselta ja poistamiselta.

Kelan laitetilat sekä tietojen fyysinen sijainti on Suomessa. Laitetiloihin on rajoitettu pääsy Kelan teknisillä ylläpitäjillä, joiden työtehtävien hoito edellyttää niihin pääsyä.

Oikeus tutustua omiin tietoihin

EU:n yleisen tietosuoja-asetuksen (2016/679) 15. artiklan mukaisesti rekisteröidyllä on oikeus tutustua omiin Reseptikeskukseen tallennettuihin tietoihin.

Henkilö voi asioida valtakirjalla tai laillisena edustajana täysikäisen puolesta ja pyytää oikeutta tutustua Reseptikeskukseen tallennettuihin tietoihin. Edustajan tekemä tietopyyntö edellyttää, että edustajalla on oikeus edustaa päämiestään kyseessä olevassa asiassa. Kela tarkastaa henkilön oikeuden vastaanottaa tiedot. Tietojen luovutuksesta voidaan kieltäytyä laissa säädetyin perustein.

Huoltaja voi pyytää oikeutta tutustua alaikäisen Reseptikeskukseen tallennettuihin tietoihin. Kela tarkastaa huoltajuuden voimassaolon huoltajan pyytäessä alaikäisen tietoja. Tietojen luovutuksesta voidaan kieltäytyä laissa säädetyin perustein.

Tietopyynnön voi tehdä lomakkeella, joka on saatavilla Kanta-palveluun liittyneistä sosiaali- ja terveydenhuollon palvelunantajilta, apteekeista ja Kelan asiakaspalvelupisteistä. Pyyntö osoitetaan Kelalle (Kirjaamo, PL 450, 00056 Kela).

Tietopyynnön voi tehdä myös vapaamuotoisesti ottamalla yhteyttä puhelimitse tai sähköpostitse Kelan kirjaamoon (kirjaamo@kela.fi).

Vastaus pyyntöön toimitetaan kuukauden kuluessa siitä, kun pyyntö on saapunut käsiteltäväksi Kelaan. Jos tietoja ei pystytä perustellusta syystä toimittamaan tässä ajassa, pyynnön käsittelyä voidaan jatkaa enintään kahdella kuukaudella.

Oikeus pyytää virheellisen tiedon korjaamista

EU:n yleisen tietosuoja-asetuksen (2016/679) 16. artiklan mukaan rekisteröidyllä on oikeus vaatia rekisterissä olevan itseään koskevan virheellisen tiedon korjausta.

Henkilö voi valtakirjalla tai laillisena edustajana täysikäisen puolesta pyytää virheellisen tiedon korjaamista. Huoltaja voi pyytää virheellisen tiedon korjaamista alaikäisen puolesta.

Virheellinen resepti- tai toimitustieto korjataan siinä sosiaali- tai terveydenhuollon palvelunantajan yksikössä tai apteekissa, jossa virheellinen kirjaus on tehty. Palvelunantajat ja apteekit vastaavat aina kirjaamiensa tietojen sisällöistä ja niiden oikeellisuudesta. Virheellisen tiedon korjauspyyntö on suositeltavaa osoittaa sosiaali- ja terveydenhuollon palvelunantajan tai apteekin tietosuojavastaavalle.

Kela toimii Reseptikeskuksen yhteisrekisterinpitäjän roolissa rekisteröidyn yhteyspisteenä. Kela voi vastaanottaa virheellisen reseptitiedon korjaamispyynnön ja välittää sen virheellisen tiedon kirjanneelle terveydenhuollon palvelunantajalle korjattavaksi. Korjaamispyynnön voi toimittaa kirjallisena Kelaan (Kirjaamo, PL 450, 00056 Kela).

Kun vaaditaan korjausta toisen Euroopan maan apteekissa tehtyyn toimitustietoon, korjaamispyyntö toimitetaan kirjallisena Kelaan.

Jos korjaamispyyntöön ei voida suostua, Kela antaa asiakkaalle siitä kieltäytymistodistuksen. Kieltäytymistodistuksessa mainitaan ne syyt, joiden vuoksi asiakkaan tai hänen laillisen edustajan vaatimusta ei ole hyväksytty. Asiakas voi kieltäytymistodistuksen saatuaan saattaa asian vielä toimivaltaiselle valvontaviranomaiselle käsiteltäväksi.

Oikeus tehdä valitus valvontaviranomaiselle

Jos asiakas katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan soveltuvaa tietosuojasääntelyä, asiakkaalla on oikeus tehdä valitus toimivaltaiselle valvontaviranomaiselle tietosuoja-asetuksen 77 artiklan ja tietosuojalain 21 §:n mukaisesti. Suomessa valvontaviranomainen on tietosuojavaltuutettu.

Muut henkilötietojen käsittelyyn liittyvät oikeudet

Omakanta-palvelussa asiakas voi katsoa Reseptikeskukseen tallennettuja tietoja ja nähdä mille sosiaali- ja terveydenhuollon palvelunantajalle ja apteekille tietoja on luovutettu.

Asiakkaalla on oikeus saada tietää, ketkä henkilöt ovat käsitelleet ja katsoneet hänen Reseptikeskukseen tallennettuja tietojaan tekemällä lokitietopyynnön Kelalle. Asiakkaalla on oikeus pyytää lokitietoja siitä, miten Suomen apteekit ovat käsitelleet hänen ulkomailta haettuja reseptitietoja.

Henkilö voi asioida valtakirjalla tai laillisena edustajana täysikäisen puolesta ja pyytää tietoja ketkä ovat käsitelleet ja katsoneet Reseptikeskukseen tallennettuja tai luovutettuja tietoja tekemällä lokitietopyynnön Kelalle. Kela tarkastaa henkilön oikeuden vastaanottaa tiedot. Tietojen luovutuksesta voidaan kieltäytyä laissa säädetyin perustein.

Huoltaja voi pyytää tietoja ketkä ovat käsitelleet ja katsoneet alaikäisen Reseptikeskukseen tallennettuja tai luovutettuja tietoja tekemällä lokitietopyynnön Kelalle. Kela tarkastaa huoltajuuden voimassaolon huoltajan pyytäessä alaikäisen tietoja. Tietojen luovutuksesta voidaan kieltäytyä laissa säädetyin perustein.

Lokitietopyynnön voi tehdä lokitietopyyntölomakkeella, joita on saatavilla Kanta-palveluun liittyneiltä sosiaali- ja terveydenhuollon palvelunantajilta, apteekeista ja Kelan asiakaspalvelupisteistä. Lokitietopyyntö osoitetaan Kelalle (Kirjaamo, PL 450, 00056 Kela). Pyynnön voi tehdä myös vapaamuotoisesti ottamalla yhteyttä puhelimitse tai sähköpostitse Kelan kirjaamoon (kirjaamo@kela.fi).

Kahta vuotta vanhempia lokitietoja ei ole oikeutta saada, jollei siihen ole erityistä syytä. Asiakas ei saa käyttää tai luovuttaa saamiaan lokitietoja edelleen muuhun tarkoitukseen.

Jos asiakas katsoo lokitietojen perusteella, että hänen tietojaan on käsitelty perusteettomasti, hän voi pyytää asiasta selvityksen asianomaiselta apteekilta tai sosiaali- ja terveydenhuollon palvelunantajalta. Jos asiakas haluaa selvityksen tietojensa käsittelyn perusteista, kun kyseessä on toisen Euroopan maan apteekki, selvityspyyntö voidaan osoittaa Kelalle (kirjaamo@kela.fi).

Asiakkaalla on oikeus saada samat tiedot uudelleen, jos siihen on asiakkaan etujen ja oikeuksien toteuttamiseksi perusteltu syy. Kela saa periä uudelleen annettavista tiedoista tietojen antamisesta aiheutuvia kustannuksia vastaavan maksun.

Kelan toiminta ja Kanta-palvelujen ylläpito perustuvat kansalliseen lainsäädäntöön. Näistä syistä johtuen EU:n yleisen tietosuoja-asetuksen 17 artiklan nojalla rekisteröidyn oikeutta tietojen poistamiseen ja 20 artiklan nojalla rekisteröidyn oikeutta siirtää tiedot järjestelmästä toiseen ei sovelleta Reseptikeskukseen tallennettuihin tietoihin. Kansallinen lainsäädäntö säätää Reseptikeskukseen tallennettujen tietojen säilytysajan, jonka jälkeen tiedot hävitetään.

Tietosuojaselosteen liitteet

Sivua päivitetty 13.07.2022