Tämä on Iisalmen III Priima apteekin EU:n yleisen tietosuoja-asetuksen (GDPR) mukainen rekisteri- ja tietosuojaseloste ja koskee apteekkijärjestelmään tallennettuja asiakastietoja.
Tämän selosteen lisäksi apteekkijärjestelmässä voi olla tietoja asiakkaasta perustuen muihin sopimuksiin/suostumuksiin, ks. Avainasiakasrekisteri, Apteekkisopimusrekisteri, Asiakasinformaatiot-rekisteri, EasyMedi-tietosuojaseloste, Mobiiliresepti -informointiseloste, Säilytettävät paperireseptit, suostumukset ja maksusitoumukset -rekisteri, Treet verkkokaupan asiakasrekisteri, Lääkehoidon arviointi -rekisteri ja Lääkityksen tarkistuspalvelun rekisteri.
1 Rekisterinpitäjä
Iisalmen III Priima apteekki
Parkatintie 2
74120 Iisalmi
puh. 017 813 000
2 Rekisteriasioiden yhteyshenkilö
Apteekkari Arja Raatikainen
Parkatintie 2
74120 Iisalmi
puh. 017 813 000
Tietosuojavastaava Tauno Jauhiainen
Parkatintie 2
74120 Iisalmi
puh. 017 813 000
3 Asiakasrekisteri
3.1 Henkilötietojen käsittelyn tarkoitus ja käsittelyn oikeusperuste
Asiakasrekisteriä käytetään kulloinkin voimassa olevan tietosuojalainsäädännön ja muun lainsäädännön mukaisesti. Henkilötietojen käsittely perustuu tietosuojalainsäädännön ohella apteekkitoimintaa koskevaan yksityiskohtaiseen lainsäädäntöön.
Asiakkaat on ryhmitelty apteekin tarjoamien palveluiden mukaisesti. Sama henkilö voi kuulua useampaan asiakasryhmään, esim. annosjakeluasiakas on usein myös kanta-asiakas ja tiliasiakas.
Apteekkiasiakkaat (reseptiasiakkaat)
Reseptiostokset pitää lain mukaan rekisteröidä, joten kaikki apteekin reseptiasiakkaat kuuluvat tähän asiakasryhmään. Käsittely perustuu voimassa olevaan lainsäädäntöön (toimitettujen reseptien arkistointi) tai sopimukseen (Kela-korvauskäsittely), jolloin käsittelyn oikeusperuste on rekisterinpitäjän lakisääteinen velvoite. EU-lainsäädäntöön perustuvan lääkevarmennuksen osana tallennetaan kaikkien lääkevarmennuksen piirissä olevien, apteekista toimitettujen, lääkkeiden sarjanumerot ja tuotekoodit. Lääketurvallisuuden parantamiseksi (rekisterinpitäjän oikeutettuna etuna) apteekin järjestelmään tallennetaan lisäksi ostotapahtuman yksilöivä tieto, jolla voidaan jäljittää informointia varten myös asiakkaat, joille lääkettä on toimitettu (reseptitietojen lakisääteisen säilytysajan puitteissa). Tällainen tilanne voi olla esimerkiksi lääkkeiden takaisinvetotilanne.
Kanta-asiakkaat
Tietojen käsittely perustuu voimassa olevaan kanta-asiakassopimukseen apteekin ja kanta-asiakkaan välillä, ks. Avainasiakasrekisterin tietosuojaseloste.
Tiliasiakkaat
Tietojen käsittely perustuu tiliasiakaslaskutussopimukseen apteekin ja tiliasiakkaan välillä.
Annosjakeluasiakkaat
Tietojen käsittely perustuu annosjakelusopimukseen apteekin ja annosjakeluasiakkaan välillä.
Pohjois-Savon Hyvinvointialueen maksamat annosjakeluasiakkaat: Tietojen käsittelyssä noudatetaan lisäksi Hyvinvointialueen antamia velvoitteita, jotka asiakas on hyväksynyt siirtyessään Hyvinvointialueen järjestämään annosjakeluun.
3.2 Rekisterin tietosisältö
Apteekkiasiakkaat (Reseptiasiakkaat): Rekisterissä voidaan käsitellä kaikista rekisteröidyistä seuraavia tietoja:
- Etunimi, sukunimi
- Henkilötunnus tai syntymäaika, veteraanimerkintä
- Sitoumustiedot, työpaikkakassatieto
- Reseptitiedot (lääkärin määräämän lääkkeen nimi, toimitettu lääke, vahvuus, pakkauskoko, tuotenumero tai apteekissa valmistetun lääkkeen koostumus, tieto lääkevaihdosta poikkeamisesta, lääkkeen kokonaismäärä reseptissä, toimitettu lääkemäärä, hinta, lääkekorvauslaji, korvattavista lääkkeistä edellisen toimituksen päivämäärä ja toimitettulääkemäärä, korvauksen perusteena oleva lääkärin reseptiin kirjaama lisäselvitys, käyttöohje, lääkärin nimi ja sv-numero, reseptin päiväys ja laatu)
- Tieto maksajasta, jos muu kuin potilas (esim. vakuutusyhtiö)
- Tiedot sv-korvattavan lääkärinpalkkion suuruudesta
- Ostokertaa koskevat lisätiedot, kokonaishinta ja korvattu hinta
- Alkuomavastuun määrä ennen ja jälkeen toimituksen
- Puhelinnumero ja/tai sähköposti lääkehoidon tukipalveluihin tai mobiiliasiointiin hyödynnettäväksi asiakkaan itse luovuttaessa tiedot apteekille (esim. lääkkeiden saatavuustiedot, mobiiliresepti)
- Tuotevirheiden käsittelyyn tarvittavat tiedot
- Eläinreseptit: Rekisteriin kirjataan ja rekisterissä voidaan käsitellä eläinten omistajista seuraavia tietoja:
- Omistajan etunimi, sukunimi
- Omistajan osoitetiedot: Lähiosoite, postinumero, postitoimipaikka
Kanta-asiakkaat: Rekisterissä voidaan käsitellä kanta-asiakkuuden solmineista asiakkaista yllä lueteltujen lisäksi Avainasiakasrekisterin tietosuojaselosteessa määriteltyjä tietoja.
Tiliasiakkaat: Rekisterissä voidaan käsitellä laskutussopimuksen solmineista asiakkaista kohdassa yllä lueteltujen lisäksi
- suoramaksu /e-lasku-tiedot
- Edunvalvojan tiedot
- Laskutusosoite (jos eri kuin postiosoite)
- Laskun viitteet ja laskutukseen liittyvät lisätiedot
e-lasku/Suoramaksusanoma (pankista apteekkiin) sisältää seuraavat tiedot.
- Nimi (etunimi ja sukunimi)
- Henkilötunnus (asiakkaan tunnistus)
- Virtuaalinen IBAN-tilinumero
Laskujen välityspalveluun lähtevät tiedot:
- Asiakkaan Etunimi, Sukunimi
- Asiakkaan Edunvalvojan tiedot (jos laskulla määritelty)
- Asiakkaan osoitetiedot
- Asiakkaan ja apteekin e-lasku / verkkolaskuosoite
- Asiakkaalta laskutettavat ostokerrat tuotteineen sekä muut laskutettavat tuotteet
(tuotteet on mahdollista piilottaa laskulta asiakaskohtaisesti, pelkkä lähete-rivi jää tässä tapauksessa laskulle)
Annosjakeluasiakkaat: Rekisterissä voidaan käsitellä Annosjakelu-asiakkuuden solmineista asiakkaista kohdassa 1 lueteltujen lisäksi seuraavia tietoja:
- Hoitokodin/asiakasryhmän nimi, johon asiakas on määritelty
- Annosjaeltavat lääkevalmisteet annosteluajankohtineen
- Muu annosjakeluasiakkaan lääkitys
- Annosjakeluun liittyvä lisäinformaatio
3.3 Henkilötietojen säilytysaika
- Apteekkiasiakkaat (Reseptiasiakkaat)
Apteekkiasiakkaiden tiedot poistuvat aktiivirekisteristä 18 kuukauden jälkeen, jos asiakas ei ole asioinut tuona aikana apteekissa. Poikkeus: ostotiedot (ml. reseptitiedot) poistuvat aktiivirekisteristä 13 kk jälkeen. (Nykyinen apteekin henkilötietojen säilytysaika apteekin aktiivirekisterissä on linjattu aikanaan tietosuojavaltuutetun toimesta (Dnro 793/41/97) vuodeksi ja yhdeksi kuukaudeksi ja on edelleen voimassa.)
Reseptitietoja säilytetään arkistoituna rekisterissä lain velvoittaman säilytysajan.
- Kanta-asiakkaat
Asiakkaan kanta-asiakkuuteen liittyviä henkilötietoja (ml. reseptitiedot) säilytetään sopimuksen voimassaoloajan mukaisesti, ks. Avainasiakasrekisterin tietosuojaseloste.
Reseptiostoja säilytetään lisäksi lain velvoittaman ajan, vaikka kanta-asiakassopimus irtisanottaisiin.
- Tiliasiakkaat
Asiakkaan tiliasiakkuuteen liittyviä henkilötietoja säilytetään apteekin asiakasrekisterissä sopimuksen voimassaoloajan/sopimuksen mukaisesti sekä vähintään lain velvoittaman ajan.
Laskujen välityspalvelussa laskutusaineistoja säilytetään 3 kuukauden ajan laskutuksen jälkeen.
Varmuuskopioilla tiedot säilyvät 12 kuukauden ajan.
- Annosjakeluasiakkaat
Asiakkaan annosjakelu -asiakkuuteen liittyviä henkilötietoja säilytetään sopimuksen voimassaoloajan ja vuoden sen jälkeen.
Reseptiostoja säilytetään lisäksi lain velvoittaman ajan, vaikka annosjakelusopimus irtisanottaisiin.
3.4 Liitynnät muihin järjestelmiin
Apteekkiasiakkaat
Apteekkisopimusjärjestelmä (ks. Apteekkisopimusrekisteri)
- Vieroitushoitosopimuksen piiriin kuulumisen tarkastaminen, jos reseptiostoissa on PKV-lääkkeitä (pääasiassa keskushermostoon vaikuttavia lääkkeitä) ja/tai huumeita.
- Suomen apteekkariliiton ylläpitämä tietojenvälityspalvelu, jossa apteekkariliitto toimii tietojen käsittelijänä.
- Tiedot sopimuksista saadaan palveluun asiakkaan hoitavalta lääkäriltä
Valtakunnallinen reseptikeskus
- Kaikki reseptitiedot toimitetuista ja sähköistetyistä resepteistä
- Kansallinen Terveysarkisto toimii itsenäisenä rekisterinpitäjänä
Kelan palvelut:
- Kelan reaaliaikainen korvauskysely (asiakkaan Kela-korvaustietojen haku)
- Kelan reaaliaikainen tilityspalvelu (asiakkaan korvattujen lääkeostojen raportointi Kelaan)
- Sairausvakuutuslain mukaisten etuuksien maksua varten
- Kela toimii itsenäisenä rekisterinpitäjänä
Työpaikkakassat (Työpaikkalaskutuksen piirissä olevien asiakkaiden ostojen raportointi)
- Sairausvakuutuslain mukaisten etuuksien ja mahdollisten lisäetuuksien korvauskäsittely.
- Vakuutusyhtiöt (Vakuutusyhtiöiden korvaavien ostojen raportointi vakuutusyhtiölle)
- Riippuen asiakkaan vakuutussopimuksesta voidaan vakuutusyhtiön korvaavat ostot raportoida suoraan apteekista vakuutusyhtiöön.
Suomi.fi-valtuudet -palvelu
- Keskitetty valtakunnallinen sähköinen valtuutuspalvelu puolesta asiointivaltuuden antamiseen ja tarkastamiseen. Suomi.fi-valtuudet on keskitetty palvelu, jossa asiakas voi valtuuttaa toisen henkilön tai yrityksen asioimaan puolestaan Apteekkiasiointiin löytyy palvelusta oma valtuus. Apteekki tarkistaa asiointivaltuuden apteekkijärjestelmässä suoraan Valtuudet-palvelusta.
Treet-palvelu
- Apteekki toimii henkilötietojen käsittelijänä Treet-palvelun asiakasrekisterissä, rekisterinpitäjä ApoDigi Oy (2830326-5).
Verkkokauppa (ks. Treet verkkokaupan tietosuojaseloste)
- Apteekki toimii rekisterinpitäjänä verkkokaupan asiakasrekisterissä. Treet verkkokauppa-alustaan tallennetaan tilausten tunnistustiedot ja sisältö.
Kanta-asiakkaat
Ks. Avainasiakasrekisterin tietosuojaseloste
Tiliasiakkaat
elasku/suoramaksusopimustilauksiin liittyvä sähköinen sanomaliikenne (vastaanottoilmoitukset):
Apteekki vastaanottaa asiakkaan omassa pankkipalvelussaan lähettämän e-lasku/suoramaksu sopimuspyynnön. Tiedot noudetaan suoraan järjestelmään, jotta apteekilla on oikeus lähettää asiakkaalle elaskuja/suoramaksuja. Pyyntö noudetaan pankista apteekkiin suojattua pankkien käyttämää WebService-kanavaa pitkin.
Apteekki välittää laskut asiakkailleen Receptum Oy:n (y 1635372-4) laskutuspalvelua hyödyntäen.
Receptum Oy (ja sen alihankkija RopoCapital Oy) toimivat laskujen käsittelijöinä eikä heille muodostu omaa henkilörekisteriä. Apteekki toimittaa laskutettavat tiedot palveluun, jossa hoidetaan laskujen välittäminen edelleen apteekin asiakkaille. Laskut välitetään joko sähköisesti tai paperisena asiakkaan määrittelemän laskutustavan mukaisesti.
Annosjakeluasiakkaat
Apteekki käyttää koneellisessa annosjakelussa Pharmac Finland Oy (Tampereen 17. Lielahden apteekki) tai Pharmaservice Oy (Espoon 11. Jorvin apteekki) tai Pharmados Oy (Saarenkylän apteekki) –annosjakeluyksikköjä.
Annosjakeluyksikköön välitettävät henkilö/lääkitystiedot:
- Henkilötunnus
- Sukunimi ja etunimi
- Hoitokodin/asiakasryhmän nimi, johon asiakas on määritelty
- Annosjaeltavat lääkevalmisteet annosteluajankohtineen
- Annosjakeluvalmisteiden kirjallinen annostusohje sekä indikaatio siinä muodossa kuin ne on valmisteen reseptille kirjattu
- Mikäli tilaukselle tuleva valmiste on eri valmiste, esim. geneerisen vaihdon seurauksena, kuin reseptillä määrätty, välitetään myös alkuperäisen reseptillä määrätyn valmisteen tiedot.
- Muu lääkitys (Jos asiakkaalle on määritetty)
- Annosjakeluun liittyvä mahdollinen lisäinformaatio (Jos asiakkaalle on määritetty)
Kassa-asiakkaat
- Korttimaksutiedot Nets Oyj:lle
3.5 Säännönmukaiset tietolähteet
Apteekkiasiakkaiden tiedot saadaan reseptilääkkeiden osto- ja maksutapahtuman sekä toimituksen yhteydessä. Sopimusasiakkaisiin liittyviä lisätietoja kerätään asiakkaalta itseltään sopimuksen tekemisen yhteydessä sekä sopimussuhteen aikana.
3.6 Tietojen luovutukset ja tietojen siirto
Tietoja ei luovuteta/siirretä EU-maiden ulkopuolelle.
Säännönmukaisia luovutuksia toiselle rekisterinpitäjälle:
- Reseptikeskukseen apteekin sähköistämien reseptien tiedot
- Reseptikeskukseen tiedot toimitetuista resepteistä
- Kelalle tiedot sv-korvatuista ostoista (sairausvakuutuslaki 1224/2004)
- Kelalle tiedot maksusitoumuksella toimitetuista ostoista
- Työpaikkakassoille tiedot laskutettavista ostoista
- Vakuutusyhtiöille tiedot laskutettavista ostoista
- Treet-sovellusta käyttävien Apteekin asiakkaiden osto- ja reseptitietoja luovutetaan ”Treet-palvelun asiakasrekisteriin” ApoDigi Oy:lle.
Markkinointi
- Markkinointiviestintä kohdennetaan vain kanta-asiakkaille, ks. Avainasiakasrekisterin tietosuojaseloste.
Pohjois-Savon Hyvinvointialueen maksamat annosjakeluasiakkaat
- Pohjois-Savon Hyvinvointialueen maksamien annosjakeluasiakkaiden kohdalla tietoja luovutuksessa noudatetaan lisäksi Ylä-Savon kuntayhtymän antamaa ohjeistusta.
3.7 Rekisterin suojauksen periaatteet
Apteekissa on käytössä Receptum Oy:n toimittama MAXX-apteekkijärjestelmä. Sosiaali- ja terveydenhuollon tietojärjestelmät jaotellaan käyttötarkoitustensa ja ominaisuuksiensa perusteella luokkiin A ja B. MAXX on A-luokan järjestelmä (=Kanta-palveluihin liittyvät järjestelmät), joka on Kelan yhteistestauksessa sekä tietoturva-auditoinnissa virallisesti hyväksytty apteekkijärjestelmä.
Apteekissa tehdään omavalvontaa apteekin asiakastiedon salassapidon ja tietojen suojaamisen varmistamiseksi lain velvoittamalla tavalla (laki sähköisestä lääkemääräyksestä 61/2007).
Asiakasrekisterin tiedot on suojattu henkilökohtaisilla käyttäjätunnuksilla, salasanoilla sekä toimikorteilla ja muilla teknisillä suojauksilla. Apteekissa on huolehdittu siitä, että tallennettuja tietoja sekä palvelimien käyttöoikeuksia ja muita henkilötietojen turvallisuuden kannalta kriittisiä tietoja käsitellään luottamuksellisesti ja vain niiden työntekijöiden toimesta, joiden työnkuvaan se kuuluu.
Apteekin, järjestelmään liittyvien palvelutuottajien sekä järjestelmää ylläpitävien teknisten yhteistyökumppaneiden välillä on laadittu GDPR:n vaatimusten mukaiset yhteistyösopimukset, joissa kaikissa on mukana vaatimukset tiedon asianmukaiseen suojaamiseen sekä salassapitovelvoitteet.
3.8 Henkilön oikeus tarkastaa itseään koskevat henkilötiedot
Asiakkaalla on oikeus tarkastaa, mitä häntä koskevia tietoja rekisteriin on tallennettu. Tarkastuspyyntö tehdään henkilökohtaisen käynnin yhteydessä tai omakätisesti allekirjoitetulla tai muulla luotettavalla tavalla varmennetulla asiakirjalla.
Tiedot toimitetaan vain henkilöllisyyden todistamista vastaan tai muutoin luotettavaa tunnistusmenetelmää käyttäen. Apteekki määrittelee tapauskohtaisesti riittävän tunnistautumisen menetelmät.
Mikäli apteekki joutuu kieltäytymään antamasta tietoja, annetaan asiakkaalle kirjallinen todistus, josta käy ilmi myös ne syyt, joiden vuoksi tarkastusoikeus on evätty. Asiakas voi tämän jälkeen saattaa asian tietosuojavaltuutetun käsiteltäväksi.
Pyynnöt käsitellään aina apteekin tietosuojavastaavan/apteekkarin kautta ja tiedot toimitetaan asiakkaalle ilman aiheetonta viivytystä ja joka tapauksessa kuukauden kuluessa pyynnön vastaanottamisesta. Mikäli asiakkaan pyyntö on monimutkainen tai pyyntöjä on paljon, määräaikaa voidaan tarvittaessa jatkaa enintään kahdella kuukaudella. Tällöin apteekki ilmoittaa asiakkaalle tällaisesta mahdollisesta jatkamisesta kuukauden kuluessa pyynnön vastaanottamisesta sekä viivästymisen syyt.
Omakanta-palvelusta (http://www.kanta.fi/omakanta) asiakas voi tarkistaa omiin reseptitietoihinsa kohdistuneet tapahtumakyselyt.
Tarkastusoikeuden käyttäminen on lähtökohtaisesti maksutonta. Jatkuvasti toistuvien kyselyiden tai ilmeisen perusteettomat/kohtuuttomien kyselyiden kohdalla rekisterinpitäjänä apteekki voi periä pyynnön toteuttamisesta hallinnollisiin kustannuksiin perustuvan maksun.
3.9 Henkilötietojen oikaiseminen tai poistaminen sekä rekisteröidyn oikeus pyytää käsittelyn rajoittamista
Asiakkaalla on oikeus korjauttaa ilman aiheetonta viivytystä häntä koskevat epätarkat ja virheelliset henkilötiedot. Apteekki korjaa virheet saatuaan oikean tiedon suoraan asiakkaalta tai muusta luotettavasta lähteestä. Apteekki korjaa vain sellaiset tiedot, joka on apteekkilainsäädännön mukaan mahdollista korjata jälkikäteen.
Asiakkaalla on oikeus tulla unohdetuksi ja poistattaa tiedot apteekin asiakasrekisteristä vain niiden tietojen osalta, joita apteekin ei lakisääteisesti tarvitse säilyttää tai joita apteekki ei enää tarvitse niihin tarkoituksiin, joita varten ne kerättiin tai joita varten niitä muutoin käsiteltiin, taikka jos jokin muu EU:n tietosuoja-asetuksen (GDPR) 17 artiklan mukainen edellytys täyttyy. Poistopyyntö tehdään henkilökohtaisen käynnin yhteydessä tai omakätisesti allekirjoitetulla tai muulla luotettavalla tavalla varmennetulla asiakirjalla. Apteekki päättää kulloinkin voimassa olevaa lainsäädäntöä noudattaen tietojen poistamisesta ilman aiheetonta viivytystä.
Asiakkaalla on oikeus pyytää omien tietojen käsittelyn rajoittamista jos
- asiakas kiistää henkilötietojen paikkansapitävyyden, jolloin käsittelyä rajoitetaan ajaksi, jonka kuluessa apteekki voi varmistaa niiden paikkansapitävyyden;
- käsittely on lainvastaista ja asiakas vastustaa henkilötietojen poistamista ja vaatii sen sijaan niiden käytön rajoittamista;
- apteekki ei enää tarvitse kyseisiä henkilötietoja käsittelyn tarkoituksiin, mutta asiakas tarvitsee niitä oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi;
- asiakas on vastustanut henkilötietojen käsittelyä EU:n tietosuoja-asetuksen 21 artiklan 1 kohdan nojalla odotettaessa sen todentamista, syrjäyttävätkö rekisterinpitäjän oikeutetut perusteet rekisteröidyn perusteet.
3.10 Oikeus peruuttaa antamansa suostumus
Asiakkaalla on oikeus peruuttaa suostumus milloin tahansa, siltä osin kun henkilötietojen käsittely perustuu asiakkaan omaan suostumukseen. Suostumuksen peruuttaminen ei vaikuta suostumuksen perusteella ennen sen peruuttamista suoritetun käsittelyn lainmukaisuuteen.
3.11 Henkilön oikeus siirtää tiedot järjestelmästä toiseen
Asiakkaalla on oikeus saada itseään koskevat henkilötiedot, jotka on toimittanut apteekille, ja joita apteekki käsittelee automaattisesti asiakkaan suostumuksen tai sopimussuhteen nojalla, koneellisesti luettavassa muodossa siirrettyä suoraan toiselle rekisteripitäjälle, jos se on teknisesti mahdollista.
Jos siirto ei ole teknisesti mahdollista tai turvallista, asiakas voi itse toimittaa tarkastusoikeuden nojalla vastaanottamansa omat henkilötiedot toiselle rekisterinpitäjälle niin halutessaan.
3.12 Valitusoikeus
Jos asiakas ei ole tyytyväinen tapaan, jolla apteekki on käsitellyt hänen henkilötietoja, voi hän koska tahansa ottaa yhteyttä kansalliseen valvontaviranomaiseen (Suomessa tietosuojavaltuutettu, jonka yhteystiedot löytyvät osoitteesta http://www.tietosuoja.fi) asian ratkaisemiseksi.