Tietosuojaseloste, KYS mobiilipolku


Tietosuojaseloste, KYS mobiilipolku


Tällä selosteella informoidaan henkilötietojen käsittelystä EU:n yleisen tietosuoja-asetuksen 12 artiklan, 13 artiklan ja 14 artiklan mukaisella tavalla ja laajuudessa. Tietosuojaselosteen sinä-muotoiset viittaukset tarkoittavat viittauksia rekisteröityyn.

1. Rekisterinpitäjä

Pohjois-Savon hyvinvointialue
PL 1711
70211 KUOPIO
kirjaamo@pshyvinvointialue.fi

Yhteyshenkilö KYS mobiilipolkujen henkilötietojen käsittelyä koskevissa asioissa on Mika Ålander, 
mika.alander@pshyvinvointialue.fi

Rekisterinpitäjän tietosuojavastaavan sähköpostiosoite on tietosuoja@pshyvinvointialue.fi (tarkoitettu 
yleiseen neuvontaan).

Sovelluspalvelun tuottaja Buddy Healthcare Ltd Oy, privacy@buddyhealthcare.com .

2. Rekisterin nimi 

KYS mobiilipolku

3. Henkilötietojen käsittelyn tarkoitus 

Henkilötietoja käsitellään seuraaviin tarkoituksiin: 
KYS mobiilipolku -sovellus on hoidon ohjauksen ja hoitoon liittyvään yhteydenpitoon tarkoitettu sovellus.
Henkilötietojen käsittelyn tarkoitus sovelluksessa on:

  • Tarjota rekisterinpitäjälle sinun hoitoosi liittyviä tietoja, jotka sovellus automaattisesti rekisterinpitäjälle välittää, tai jotka sinä itse sovelluksessa syötät ja toimitat rekisterinpitäjälle
  • Tarjota sinulle yksilöllinen polku sovelluksessa
  • Yhteydenpito sinun ja rekisterinpitäjän välillä

4. Henkilötietojen käsittelyn oikeusperuste

Henkilötietojen käsittely perustuu: Henkilötietojen käsittelyn peruste on rekisterinpitäjän lakisääteisen
velvoitteen noudattaminen. Käsittelyperusteena on antamasi suostumus sovelluksen käyttöön.

5. Käsiteltävät henkilötiedot

Henkilötietoja saadaan rekisteröidyltä itseltään: Kyllä

  • Henkilötietojen antaminen on lakisääteinen tai sopimukseen perustuva/sopimuksen tekemisen edellyttämä vaatimus. Mikäli et toimita tarpeellisia tietoja, emme voi tarjota KYS mobiilisovellusta käyttöösi.

Henkilötietojen käsittelyn yhteydessä käsitellään seuraavia henkilötietoryhmiä:

  • Yleiset henkilötiedot: koko nimi (etu- ja sukunimi), henkilötunnus (rekisteröidyn yksilöimiseksi),
  • puhelinnumero ja/tai sähköpostiosoite, asiointikieli, rekisterinpitäjä, jonka asiakkaana sinä olet.
  • Erityiset henkilötiedot: sinun hoitoosi liittyvien käyntien ja tapaamisten tarkoitukset ja ajankohdat, sovelluksessa syöttämäsi tiedot, kuten kyselyiden vastaukset ja mahdollisesti lataamasi kuva sovellukseen sekä keskustelut sovelluksessa rekisterinpitäjän kanssa.
  • Tekniset henkilötiedot: sovelluksessa tekemiesi tehtävien aikaleimat, päivämäärät ja kellonajat, jolloin sovellusta on käytetty, IP-osoitteet, joista sovellusta on käytetty, käyttämäsi mobiililaitteen tai internet-selaimen valmistaja ja malli sekä käyttöjärjestelmä- ja sovellusversio. Lisäksi sovelluspalvelun tuottaja voi kerätä, käsitellä ja analysoida tietoja sovelluksen käytöstä, tapahtumista ja muista sovellukseen liittyvistä anonyymeistä tilastotiedoista. Näitä tietoja sovelluspalvelun tuottaja voi käyttää palvelun kehittämiseksi. Tällaista tietoa ei voida palauttaa yksittäistä tunnistettavaa henkilöä koskettavaksi.
  • Muut henkilötiedot, mitkä: sinulta voidaan kysyä sovelluksen sisällä palautekyselyä palvelun käytöstä. Sovelluspalvelun tuottajalla on mahdollisuus käsitellä näitä palautekyselyn tuloksia anonyymisti. Muut omaehtoisesti antamasi tiedot sovelluksessa.

6. Henkilötietojen säännönmukaiset tietolähteet

Siltä osin, kuin henkilötietoja ei ole kerätty sinulta, henkilötietojen säännönmukaisina tietolähteinä ovat:

  • rekisterinpitäjän potilasrekisteri
  • KYS mobiilisovelluksesta automaattisesti kerättävät tiedot, kuten IP-osoite, sovelluksen käytönajankohdat, päätelaitteen malli ja merkki sekä sovellusversio.

7. Henkilötietojen säännönmukainen siirto tai luovuttaminen

Henkilötietojen vastaanottajia/vastaanottajaryhmiä ovat: 

  • hoitoosi osallistuvat terveydenhuollon ammattilaiset
  • sovelluspalvelun tuottaja osana sovelluksen tuottamista, kuten sovelluksen jakelussa käyttäjälle,
  • ylläpidossa, toimivuuden, tietoturvan sekä lainmukaisuuden valvonnassa, henkilön tunnistamisessa ja tiedon- ja viestinvälityskanavissa, käyttää apuna seuraavan tyyppisiä kolmannen osapuolen palveluita, joiden käytön yhteydessä he käsittelevät osaa henkilötiedoiksi luokiteltavia asioista seuraavasti:
    • Pilvipalvelinympäristö, josta palvelu tuotetaan ja jossa tietoja säilytetään. Tässä ympäristössä käsitellään kaikkia kappaleen 5 mukaisia henkilötietoja, joita käyttäjä jarekisterinpitäjä syöttävät sekä automaattisesti kerättäviä teknisiä tietoja.
    • Vahvan tunnistautumisen palvelu, jota käytetään henkilön luotettavaan tunnistamiseen.
    • Android-käyttöjärjestelmää käyttävissä laitteilla käytettäessä (mahdollisesti ainakin käyttäjän Google-tunnus, käyttäjän käyttämä laitetyyppi ja IP-osoite): Googlen Play Store-sovelluskauppa sovellusta ladatessa ja käyttäessä, Googlen FCM-palvelu push-ilmoitusten lähettämisessä Android-laitteisiin kautta, Google Maps -karttapalvelu, Google Fit -palvelu käytettäessä askelmittaria.
    • Applen iOS-laitteilla käytettäessä (mahdollisesti ainakin käyttäjän Apple-tunnus, käyttäjän käyttämä laitetyyppi ja IP-osoite): Applen App Store -sovelluskauppa sovellusta ladatessa ja käyttäessä, Apple Push Notification service (APNs) pushilmoitusten lähettämisessä iOS-laitteen kautta, Apple Maps -karttapalvelu.
  • Järjestelmän lokitiedot tallennetaan erilliseen lokipalveluun
  • Hälytykset virhetilanteissa ja väärinkäyttöepäilyissä toimitetaan erillisen viestinvälityskanavan kautta palveluntuottajan ylläpito-, sovelluskehitys- tai valvontahenkilökunnalle
  • Sovelluksen suorituskyvyn mittaukseen käytettävät palvelut
  • Sovelluksen käyttöanalytiikka, joita käytetään palvelukehityksen tukena (käsitellään tietoina, joista käyttäjää ei voida suoraan tunnistaa ilman erillään säilytettäviä tietoja kuten käyttäjän sijaintimaa, päätelaitteen valmistaja ja tyyppi, sovelluksen versio, sovelluksen käyttöajankohdat ja mitä toimintoja käyttäjä on käyttänyt).

8. Tietojen siirtäminen ja luovuttaminen EU:n tai ETA-alueen ulkopuolelle

Henkilötietoja siirretään EU:n tai ETA-alueen ulkopuolelle kolmansiin maihin tai kansainvälisille 
järjestöille. 

Kappaleessa 8 kuvatun mukaisesti palvelun keräämät henkilötiedot tallennetaan pääosin Euroopan
unionin (EU) alueella sijaitseville palvelimille, mutta osaa henkilötiedoista käsitellään myös EU:n ja
Euroopan talousalueen ulkopuolisten organisaatioiden toimesta.

8.1. Jos tietoja siirretään, ilmoita käytetty siirtomekanismi ja muut suojatoimet

Mikäli tietoja siirretään EU:n tai ETA-alueen ulkopuolelle käytämme seuraavia siirtomekanismeja:
Jos henkilötietoja käsitellään Euroopan unionin (EU) tai Euroopan talousalueen (ETA) ulkopuolella,
tietojen siirto osana palvelun käyttöä EU:n ja ETA:n ulkopuolelle perustuu EU:n yleisen tietosuoja-asetuksen, EUROOPAN PARLAMENTIN JA NEUVOSTON ASETUS (EU) 2016/679
(L_2016119FI.01000101.xml (europa.eu)), edellytyksiin kuten kohdemaan riittävään tietosuojan tasoon
tai EU-komission hyväksymiin voimassa oleviin vakiosopimuslausekkeisiin (L_2021199FI.01003101.xml
(europa.eu)), jotka otetaan ottaa käyttöön Euroopan komission hyväksymään siirtymäaikaan 27.
joulukuuta 2022 mennessä) sekä riittäviin lisäsuojatoimiin.

Applen palveluiden käyttäminen iOS-laitteilla kuten push-ilmoitusten vastaanottaminen Apple Push
Notification servicen (APNs) kautta ja Apple Maps -karttapalvelun käyttäminen perustuu käyttäjän
antamaan suostumukseen. Antaessaan suostumuksen Applen palveluiden käyttöön antaa käyttäjä
suostumuksensa sellaiselle siirrolle, jossa Apple käsittelee edellä mainittujen palvelujen toiminnan
kannalta tarpeellisia henkilötietoja maantieteellisesti mahdollisesti EU/ETA-alueen ulkopuolella, jossain kolmannessa maassa (esimerkiksi Yhdysvalloissa), joka ei tarjoa Euroopan komission päätökseen perustuvaa riittävää tietosuojaa.

9. Rekisterin suojauksen periaatteet

Suojaamme henkilötietoja toteuttamalla teknisiä ja organisatorisia suojatoimia, kuten:

  • Käytämme tarpeellisia teknisiä, fyysisiä, hallinnollisia, sopimuksellisia ja organisatorisia turvakeinoja henkilötietojen suojaamiseksi asiattomalta pääsyltä tietoihin sekä vahingossa tai laittomasti tapahtuvalta tietojen hävittämiseltä, muuttamiselta, luovuttamiselta, siirtämiseltä tai muulta laittomalta käsittelyltä.
  • Henkilötietoihin on pääsy vain siihen oikeutetun työntekijän tai hoitoon osallistuvan ammattihenkilön henkilökohtaisella käyttäjätunnuksella. 
  • Käyttöoikeuksia on eritasoisia ja kullekin käyttäjälle annetaan tehtävän hoitamisen kannalta riittävä, mutta mahdollisimman suppea käyttöoikeus.

10. Profilointi ja automaattinen päätöksenteko

Henkilötietoja ei käytetä profilointiin tai automaattiseen päätöksentekoon.

11. Henkilötietojen säilytysaika

Henkilötietoja säilytetään sovelluksessa niin kauan kuin se on rekisterinpitäjän sovelluksen avulla
tuottaman palvelun kannalta tarpeen. KYS Mobiilipolulle tallentuvia tietoja ei säilytetä pysyvästi.
Potilasrekisteriin siirrettyjä potilastietoja sekä lakisääteisiä luovutuslokitietoja säilytetään potilasasiakirja-asetuksessa ja sen liitteessä määritetty lakisääteinen aika (osassa pysyvä säilytys). Sovelluspalvelun tuottaja voi lisäksi säilyttää anonymisoitua tietoa edellä mainitun säilytysajan jälkeenkin.

12. Tietosuojaoikeutesi

Tietosuojalainsäädäntö takaa sinulle tiettyjä oikeuksia, joilla voit varmistaa perusoikeuksiin kuuluvan 
yksityisyyden suojan toteutumisen. Mikäli haluat käyttää oikeuttasi, ota yhteyttä Pohjois-Savon 
hyvinvointialueen kirjaamoon PL 1711, 70211 KUOPIO tai kirjaamo@pshyvinvointialue.fi.
Oikeudet ovat riippuvaisia käsittelyn oikeusperusteesta. Tietyissä tapauksissa oikeuksiasi voidaan 
rajoittaa tietyissä tilanteissa esimerkiksi rekisterinpitäjän lakisääteisen velvoitteen vuoksi tai jos käsittely tapahtuu tieteellistä tutkimusta, tilastointia tai arkistointia varten. Jos oikeuksiasi on rajoitettu, rekisterinpitäjä toteuttaa lainsäädännön edellyttämät asianmukaiset ja tarpeelliset suojatoimenpiteet.

12.1 Oikeus suostumuksen peruuttamiseen

Jos henkilötietojasi käsitellään suostumuksesi perusteella, on sinulla mahdollisuus peruuttaa antamasi 
suostumus olemalla yhteydessä rekisterinpitäjän yhteyshenkilöön.

12.2. Oikeus tarkastaa itseään koskevat tiedot

Sinulla on oikeus saada tietää, käsitteleekö rekisterinpitäjä sinuun liittyviä henkilötietoja. Lisäksi sinulla on oikeus tietää, mitä sinuun liittyviä henkilötietoja käsitellään ja kuinka niitä käsitellään. Sinulla on myös oikeus saada jäljennös sinua koskevista henkilötiedoista siltä osin kuin jäljennöksen antamisella ei ole haitallisia vaikutuksia muiden oikeuksiin ja vapauksiin tai jos rekisterinpitäjällä ei ole lakiin perustuvaa perustetta kieltäytyä tietojen luovuttamisesta.

12.3. Oikeus tietojen oikaisuun

Lähtökohtaisesti sinulla on oikeus epätarkkojen tai virheellisten tietojen oikaisuun. Rekisterinpitäjä arvioi ovatko oikaistavaksi pyytämäsi tiedot puutteellisia, epätarkkoja tai virheellisiä.

12.4. Oikeus tietojensa poistamiseen

Sinulla on oikeus poistaa tietojasi. Sinulla on oikeus vaatia rekisterinpitäjää poistamaan henkilötietoja
siltä osin kuin se on lain mukaan mahdollista. Tietojen poisto sovelluksesta tai suostumuksen
peruuttaminen sovelluksen käyttöön ei rajoita rekisterinpitäjän lakisääteistä oikeutta henkilötietojen
käsittelyyn. Mikäli henkilötietoja käsitellään rekisteröidyn suostumukseen perustuen, rekisteröidyllä on
oikeus peruuttaa suostumuksensa ilmoittamalla tästä rekisterinpitäjälle.

12.5. Oikeus käsittelyn rajoittamiseen

Sinulla voi olla oikeus rajoittaa henkilötietojen käsittelyä laissa säädetyissä tapauksissa. 
Rajoittamisoikeus voi tulla kyseeseen esimerkiksi, jos sinua koskevat henkilötiedot ovat mielestäsi 
virheellisiä, niitä käsitellään lainvastaisesti tai olet vastustanut tietojesi käsittelyä. Tässä tapauksessa 
voimme käsitellä henkilötietojasi vain suostumuksellasi, oikeusvaateen laatimisen, esittämisen tai 
puolustamisen vuoksi, yleisen edun vuoksi tai jonkun toisen henkilön oikeuksien suojaamiseksi.

12.6. Oikeus vastustaa henkilötietojen käsittelyä

Sinulla on oikeus vastustaa tietojesi käsittelyä esimerkiksi siinä tilanteessa, kun odotat rekisterinpitäjän
vastausta tietojensa oikaisemista tai poistamista koskevaan pyyntöön. Käsittelyn rajoittaminen ei ole
mahdollista siltä osin kuin rekisterinpitäjä toteuttaa lakisääteistä tehtäväänsä.

12.7. Oikeus tehdä valitus valvontaviranomaiselle

Sinulla on oikeus saattaa rekisterinpitäjän toiminnan lainmukaisuus Tietosuojavaltuutetun arvioitavaksi.

Yhteystiedot:
Tietosuojavaltuutetun toimisto
Käyntiosoite: Lintulahdenkuja 4, 00530 Helsinki
Postiosoite: PL 800, 00531 Helsinki
Vaihde: 029 56 66700
Faksi: 029 56 66735
Sähköposti: tietosuoja@om.fi