Behandling av personuppgifter, Esbo stad, Personalhälsovården

Datum för publicering av dataskyddsbeskrivningen: 16.9.2020, senast uppdaterad 14.11.2024

Esbo stad
Personalhälsovården
Kamrersvägen 2 A 2 vån.
02070 Esbo

Personalhälsovårdsdirektör, överläkare
Marianne Alho
marianne.alho(at)esbo.fi

Kontaktperson för dataskyddet för personalhälsovården, expert
Maarit Kulma
maarit.kulma(at)esbo.fi
tfn +358 40 6631724

Esbo stads dataskyddsombud
Helena Niemi
Adress: PB 12, 02070 Esbo stad
Tfn +358 9 81621 (växel)
e-post tietosuoja(at)espoo.fi

Syftet med behandlingen av personuppgifter i patientregistret för personalhälsovården är att ordna personalhälsovård för Esbo stads anställda i enlighet med lagen om företagshälsovård. Personuppgifter behandlas för genomförande av verksamhetsplanen, hantering av tidsbokningar, fakturering av tjänster samt lagstadgad rapportering och/eller rapportering på gruppnivå till kundorganisationer. Personuppgifter behandlas för att erbjuda tjänster som främjar och upprätthåller arbetsförmågan och hälsovårdstjänster.

Enligt 4 § i lagen om företagshälsovård ska arbetsgivare på sin bekostnad ordna företagshälsovård för att förebygga och bekämpa risker och olägenheter för hälsan som beror på arbetet och arbetsförhållandena samt för att skydda och främja arbetstagarnas säkerhet, arbetsförmåga och hälsa.

Syftet med behandlingen av personuppgifter i patientregistret för personalhälsovården är att ordna personalhälsovård för Esbo stads anställda i enlighet med lagen om företagshälsovård.

• Artikel 6 punkt 1 a i EU:s allmänna dataskyddsförordning: Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål.

Personalhälsovårdens e-tjänster och webbtidsbokning samt undersökningstjänster på webben.

Mätning av kundupplevelsen.

Uppgifterna kan användas för informationsledning enligt lagen om sekundär användning av personuppgifter inom social- och hälsovården.

• Artikel 6.1 c i EU:s allmänna dataskyddsförordning: behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige.
• Artikel 6.1 e i EU:s allmänna dataskyddsförordning: behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.

Central lagstiftning:

• EU:s allmänna dataskyddsförordning (2016/679)
• Dataskyddslagen (1050/2018)
• Lagen om offentlighet i myndigheternas verksamhet (offentlighetslagen 621/1999)
• Lagen om företagshälsovård (1383/2001)
• Hälso- och sjukvårdslagen (1326/2010)
• Lagen om integritetsskydd i arbetslivet (759/2004)
• Lagen om patientens ställning och rättigheter (785/1992)
• Lagen om yrkesutbildade personer inom hälso- och sjukvården (559/1994)
• Andra lagar och förordningar som reglerar företagshälsovården
• Lagen om sekundär användning av personuppgifter inom social- och hälsovården (552/2019)
• Arbetarskyddslagen (738/2002)
• Lagen om behandling av kunduppgifter inom social- och hälsovården (703/2023)

I personalhälsovårdens patientregister införs patienternas person- och basuppgifter: förnamn, efternamn, personbeteckning, uppgiftsbeteckning, hemadress, postnummer, postanstalt, hemkommun och e-postadress.

I patientregistret införs dessutom de patientuppgifter som uppstår vid mottagningsarbetet och som innehåller uppgifter om rådgivning för och vård av patienten, bedömning, uppföljning och undersökning av patientens hälsotillstånd samt övriga uppgifter i företagshälsovårdens innehåll enligt 12 § i lagen om företagshälsovård.

Uppgifter om hälsotillstånd hör till särskilda kategorier av uppgifter som endast får behandlas i situationer som särskilt anges i lagen. Inom företagshälsovården är behandling av uppgifter om hälsotillstånd tillåten med stöd av artikel 9.1 h i EU:s allmänna dataskyddsförordning, eftersom behandlingen av uppgifter om hälsotillstånd är nödvändig av skäl som hör samman med förebyggande hälso- och sjukvård och yrkesmedicin, bedömningen av en arbetstagares arbetskapacitet, medicinska diagnoser, tillhandahållande av hälso- och sjukvård, behandling, social omsorg eller förvaltning av hälso- och sjukvårdstjänster och social omsorg och av deras system, på grundval av lag eller enligt avtal med yrkesverksamma på hälsoområdet.

Personuppgifter som gäller hälsotillstånd behandlas i ovan nämnda syften alltid av en yrkesutövare som omfattas av sekretess eller tystnadsplikt enligt lag (artikel 9.3 i DSF).

I e-tjänsterna finns förnamn, efternamn, personbeteckning, hemadress, postnummer, postanstalt och e-postadress för dem som tagit i bruk tjänsten. Uppgifterna överförs från patientdatasystemet i inloggningsskedet. I e-tjänsterna finns också de meddelanden, bilder och dokument som användaren skickat via tjänsten. De väsentliga uppgifterna i e-tjänsterna överförs som sammandrag till patientdatasystemet.

Mätning av kundupplevelsen. Mätningen av kundupplevelsen bidrar till att öka kundernas tillfredsställelse och utveckla personalhälsovårdens verksamhet. Kunden har möjlighet att bli personligen kontaktad genom att lämna kontaktuppgifter (namn, telefonnummer och/eller e-postadress) i systemet. Kontaktbegäran registreras inte i patientdatasystemet.

Personuppgifterna i patientregistret är sekretessbelagda.

Enligt 24 § 1 mom. 25 punkten i offentlighetslagen är sekretessbelagda myndighetshandlingar handlingar som innehåller uppgifter om en persons hälsotillstånd eller om den hälsovård som personen har erhållit.

Enligt 13 § i lagen om patientens ställning och rättigheter är uppgifterna i journalhandlingarna sekretessbelagda och en yrkesutbildad person inom hälso- och sjukvården eller någon annan som arbetar vid en verksamhetsenhet för hälso- och sjukvård eller utför uppdrag för den får inte utan patientens skriftliga samtycke till utomstående lämna sådana uppgifter som ingår i journalhandlingarna, med undantag för de undantag som särskilt föreskrivs i lag. Tystnadsplikten kvarstår efter det anställningsförhållandet eller uppdraget har upphört.

Patientuppgifterna uppkommer i samband med mottagningsarbetet inom personalhälsovården i samarbete med patienten.

Patienternas person- och basuppgifter fås ur Esbo stads personalregister.

Patienternas övriga personuppgifter samlas i regel in av personen själv i synnerhet i samband med anställningsundersökningen och mottagningsarbetet. Uppgifterna uppdateras i samband med mottagningsarbetet och närmare uppgifter samlas in till exempel när det behövs ytterligare uppgifter för bedömningen av arbets- och funktionsförmågan.

Med stöd av 5 § i lagen om integritetsskydd i arbetslivet får ett sådant läkarintyg eller läkarutlåtande om arbetsförmågan som arbetstagaren lämnat till arbetsgivaren lämnas till den som producerar företagshälsovårdstjänster för att företagshälsovårdsuppgifterna enligt lagen om företagshälsovård ska kunna genomföras, om inte arbetstagaren har motsatt sig detta. Arbetsgivaren får i vilket fall som helst lämna företagshälsovården uppgifter om tidpunkten för och varaktigheten av arbetstagarens sjukledighet.

Esbo stads personalhälsovård köper en del av undersökningstjänsterna och specialistläkarkonsultationerna. Om dessa undersökningar och konsultationer som genomförts som köpta tjänster får man respons av leverantören av de köpta tjänsterna.

I regel lämnas personuppgifter inte ut.

Utlämnande och röjande av patientuppgifter till utomstående förutsätter i regel ett specificerat skriftligt samtycke av patienten (13 § i lagen om patientens ställning och rättigheter).

Den som begär utlämnande av uppgifter ska utreda grunderna för och rätten att få uppgifter samt specificera de journalhandlingar som begäran om utlämnande gäller.

Utöver de situationer som särskilt anges i lagen får företagshälsovården lämna ut sådana uppgifter i journalhandlingarna som behövs för ordnandet av patientens undersökning och vård i enlighet med patientens samtycke till en annan verksamhetsenhet inom hälso- och sjukvården eller till en yrkesutbildad person inom hälso- och sjukvården (13 § i lagen om patientens ställning och rättigheter).

Enligt 17 § 2 mom. i lagen om företagshälsovård (1383/01) har arbetsgivaren, arbetsplatsens arbetarskyddskommission och arbetarskyddsfullmäktigen rätt att av personer som är verksamma i uppgifter inom företagshälsovården få sådana uppgifter som de fått på grund av sin ställning och som är av betydelse med tanke på utvecklandet av arbetstagarnas hälsa och av sunda förhållanden på arbetsplatsen. Sekretessbelagda uppgifter får dock inte röjas, om inte den i vars intresse tystnadsplikten har bestämts eller föreskrivits ger sitt samtycke. Enligt 13 § i lagen om patientens ställning och rättigheter (785/92) är journalhandlingarna sekretessbelagda.

Personalhälsovården får ge arbetsgivaren information endast om arbetstagaren är lämplig för uppgiften eller om det finns begränsningar för lämpligheten.

Arbetsgivaren har rätt att skicka arbetstagaren till personalhälsovården för bedömning av arbetsförmågan, om arbetsgivaren har grundad anledning att anta att sänkningen av hälsotillståndet medför olägenhet för arbetstagarens arbetsförmåga.

Patientuppgifter som hänför sig till olycksfall i arbetet lämnas på begäran ut till försäkringsbolaget. Försäkringsbolagets rätt att få uppgifter vid olycksfall i arbetet grundar sig på 252 § i lagen om olycksfall i arbetet och om yrkessjukdomar (459/2015).

Folkpensionsanstalten har utan hinder av sekretessbestämmelserna och andra begränsningar i fråga om erhållande av uppgifter rätt att få de uppgifter som är nödvändiga för avgörande av en pension eller förmån av bland annat statliga och kommunala myndigheter samt andra offentligrättsliga samfund (86 § i folkpensionslagen).

Uppgifter får lämnas ut till myndigheter som förvaltar riksomfattande register för forsknings-, planerings- och statistikföring (3 § i lagen om riksomfattande personregister för hälsovården (556/1989), 24 § i lagen om smittsamma sjukdomar).

Uppgifter lämnas på begäran ut till myndigheter som med stöd av lag har rätt att få uppgifter ur registret. Den som begär utlämnande ska ange den punkt i lagen på basis av vilken uppgifter begärs.

Uppgifter överförs inte utanför EU eller EES.

Den huvudsakliga tidsfristen för lagring av journalhandlingar är 12 år efter patientens död eller, om det inte finns någon information om dödsfallet, 120 år efter patientens födelse. (Lagen om behandling av kunduppgifter inom social- och hälsovården 703/2023)

Verksamhetsenheten för hälso- och sjukvård ska lagra journalhandlingarna under den tid som krävs för att ordna och genomföra vården av patienten, för eventuella ersättningskrav som hänför sig till vården och för vetenskaplig forskning.
Journalhandlingarna ska förstöras omedelbart efter det att det inte finns någon sådan grund för lagring av dem som avses ovan.

Närmare bestämmelser om upprättande av journalhandlingar och om lagringstiderna utfärdas genom förordning av social- och hälsovårdsministeriet.
Bestämmelser om varaktig förvaring av handlingar finns i arkivlagen (831/1994).
Texterna och dokumenten i e-tjänsterna förstörs ett år efter att kundförhållandet upphört.

System för förvaltning av uppgifterna och principer för skydd av registret

Inom personalhälsovården används ett patientdatasystem, där nästan alla uppgifter som finns i patientregistret lagras. Det är ett certifierat system. Via Esbo stads arbetsstationer används patientdatasystemet via en krypterad webbläsarförbindelse över internet.

Användarrättigheter till patientdatasystemet ges individuellt endast till personalen inom personalhälsovården, som har personliga certifikatkort för social- och hälsovården. Verifieringen av vårdförhållandet görs utifrån uppgifterna i personregistret och genom en kontroll av personbeteckningen. Användarloggarna används för uppföljning och övervakning av användningen av patientdatasystemet. Anmälan om utlämnande av patientuppgifter görs alltid när användningsuppgifter lämnas ut.

Patientuppgifterna från de system som tidigare använts som patientdatasystem har överförts till Kanta-arkivet. 

Den digitala servicekanalen är en molntjänst som används via en webbläsare. Informationssystemet uppfyller kraven för behandlingen av personuppgifter och informationssäkerheten i systemet auditeras regelbundet.

Användaren tar i bruk e-tjänsterna genom bankautentisering. Alla förbindelser mellan användarens dator och server är SSL-krypterade förbindelser.

Ett patientregister i pappersform finns i en låst separat lokal som endast personalen inom personalhälsovården har tillträde till. Pappersarkivet innehåller till exempel gamla EKG-kurvor.

Personalhälsovården ska senast 72 timmar efter att personuppgiftsincidenten har avslöjats underrätta dataombudsmannen och den registrerade om personuppgiftsincidenten sannolikt medför en risk för fysiska personers rättigheter och friheter. Personalhälsovården har en process och en plan för anmälningsförfarandet vid personuppgiftsincidenter.

Läs noggrannare anvisningar om hur uppgiftsbegäranden enligt dataskyddsförordningen ska riktas.

Du har rätt att av den personuppgiftsansvarige få en kopia av de personuppgifter som behandlas. Den personuppgiftsansvarige ska lämna uppgifterna utan onödigt dröjsmål och under alla omständigheter senast en månad efter att begäran har inkommit. Denna period kan vid behov förlängas med ytterligare två månader, med beaktande av hur komplicerad begäran är och antalet inkomna begäranden.

Begäran om kontroll av uppgifterna i patientregistret framställs hos kundtjänstbyrån för personalhälsovården (Kamrersvägen 2 A 2 vån., 02070 ESBO STAD, tfn +358 9 81624400, tyoterveys(at)espoo.fi). Patienten får en blankett för kontroll av uppgifter som patienten fyller i och undertecknar. Identiteten kontrolleras i ett officiellt identitetsbevis.

Om den personuppgiftsansvarige inte vidtar åtgärder på den registrerades begäran, ska den personuppgiftsansvarige utan dröjsmål och senast en månad efter att ha mottagit begäran informera den registrerade om orsaken till att åtgärder inte vidtagits och om möjligheten att lämna in ett klagomål till en tillsynsmyndighet samt begära rättslig prövning.

Begäranden av en registrerad och de åtgärder som hänför sig till dem är avgiftsfria. Om begäranden av en registrerad dock är uppenbart ogrundade eller orimliga, särskilt på grund av deras repetitiva art, får den personuppgiftsansvarige antingen ta ut en rimlig avgift som täcker de administrativa kostnaderna för att tillhandahålla den information eller vidta den åtgärd som begärts, eller vägra att tillmötesgå begäran.

Du har rätt att få felaktiga, inexakta, ofullständiga, föråldrade eller onödiga personuppgifter som vi lagrar, rättade eller kompletterade av oss.

Begäran om rättelse av uppgifterna i patientregistret framställs hos kundtjänstbyrån för personalhälsovården (Kamrersvägen 2A 2 vån., 02070 ESBO STAD, tfn +358 9 81624400, tyoterveys(at)espoo.fi). Patienten får en blankett för begäran om rättelse som patienten fyller i och undertecknar.

Du har rätt att under vissa förutsättningar få den personuppgiftsansvarige att radera personuppgifter som gäller dig utan onödigt dröjsmål. Den registrerade har inte rätt att få uppgifter raderade om uppgifterna måste behandlas för att uppfylla en rättslig förpliktelse, för att utföra en uppgift av allmänt intresse eller för myndighetsutövning som hör till den personuppgiftsansvarige. I dessa fall raderas personuppgifterna först efter den tidsfrist som anges i lagen.

Om de uppgifter som samlats in om dig inte stämmer, kan du kräva att behandlingen av dina kunduppgifter begränsas tills det har kontrollerats om uppgifterna är korrekta.

Du har rätt att lämna in ett klagomål till tillsynsmyndigheten, om du upplever att behandlingen av personuppgifter strider mot dataskyddslagstiftningen. Du kan lämna in ett klagomål till dataombudsmannens byrå(extern länk, öppnas i ett nytt fönster).

Begäran riktas till kontaktpersonen för registret/personalhälsovården.
Rätt till dataportabilitet (rätt att överföra uppgifter från ett system till ett annat) (artikel 20 i dataskyddsförordningen)

Den registrerade har rätt till överföringen endast om behandlingen grundar sig på samtycke eller ett avtal och om behandlingen sker automatiserat. Rätten att överföra uppgifter från ett system till ett annat gäller inte i fråga om en behandling som är nödvändig för att utföra en uppgift av allmänt intresse eller som är ett led i myndighetsutövning som utförs av den personuppgiftsansvarige.

Om behandlingen grundar sig på samtycke, har den registrerade rätt att när som helst återkalla sitt samtycke.

Mer information om denna dataskyddsbeskrivning om behandling av personuppgifter och om dataskyddsbeskrivningar för enskilda tjänster fås av Esbo stads dataskyddsombud.