Noudatamme EU:n yleistä tietosuoja-asetusta.
Tämä on Lakiasiaintoimisto Suomen Potilasvahinkoapu Oy:n / Lakiasiaintoimisto Suomen Vakuutusavun EU:n yleisen tietosuoja-asetuksen (2016/679, GDPR) mukainen tietosuojaseloste. Seloste on laadittu 4.5.2018. Viimeisin muutos on tehty 12.5.2026.
Lisätietoja antaa Hanna Kaisa Heikkilä. Sähköpostiosoite hannakaisa.heikkila@potilasvahinkoapu.fi
1. Rekisterinpitäjä
Lakiasiaintoimisto Suomen Potilasvahinkoapu Oy
Y-tunnus: 2119926-6
Aleksis Kiven katu 20, 00500 Helsinki
2. Rekisteriasioita hoitava henkilö
Varatoimitusjohtaja, OTM Hanna Kaisa Heikkilä
hannakaisa.heikkila@potilasvahinkoapu.fi
3. Rekisterin nimi ja sisältö
Asiakasrekisteri. Sisältää asianajo- / konsultaatiotoimeksiantojen hoitoa ja laskutusta varten tarvittavat tiedot.
4. Oikeusperuste ja henkilötietojen käsittelyn tarkoitus
EU:n yleisen tietosuoja-asetuksen mukaiset oikeusperusteet henkilötietojen käsittelylle toimistollamme ovat:
– Tavallisten henkilötietojen (yhteystiedot, asiakassuhteen perustiedot) osalta GDPR 6 artiklan 1 kohdan b alakohta (sopimuksen täytäntöönpano) sekä toissijaisesti rekisterinpitäjän oikeutettu etu asiakassuhteen perusteella.
– Erityisten henkilötietoryhmien, erityisesti terveystietojen ja muiden potilas- ja vakuutuskäsittelyssä esille tulevien arkaluonteisten tietojen, osalta GDPR 9 artiklan 2 kohdan f alakohta (käsittely on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi). Tämä on Suomen tietosuojavaltuutetun tunnustama peruste asianajopalveluiden tarjoamiselle eikä edellytä erillistä suostumusta.
– Suostumusta (6 artiklan 1 kohdan a alakohta ja 9 artiklan 2 kohdan a alakohta) käytetään ainoastaan erikseen sovittuihin tarkoituksiin, kuten anonymisoitujen tapauskuvausten julkaisuun ja mahdolliseen markkinointiin.
Henkilötietojen käsittelyn tarkoituksena on:
– toimeksiannon hoitaminen asiakkaan kanssa sovitulla tavalla sekä yhteydenpito asiakkaisiin
– yhteydenottopyyntöjen vastaanottaminen ja käsittely verkkosivun kautta
– asiakassuhteen hoito ja viestintä
– toimiston palveluista tiedottaminen olemassa oleville asiakkaille
– verkkosivuston käytön tilastointi ja kehittäminen
Päätökset asioiden hoidosta tekee aina toimiston juristi. Asioissa ei tehdä päätöksiä yksinomaan automaattisen käsittelyn perusteella eikä asiakkaita profiloida. Henkilötietoja ei luovuteta suoramarkkinointitarkoituksiin.
Ennen varsinaisen toimeksiantosopimuksen syntymistä henkilötietoja käsitellään vain siltä osin, kuin ne tulevat ilmi potentiaalisen asiakkaan omasta aloitteesta hänen ottaessaan yhteyttä toimistollemme. Tällöin tietoja käsitellään mahdollisen toimeksiannon vastaanottamisen arvioimisen tarkoituksessa. Mikäli asiaa ei oteta hoidettavaksi eikä kontakti siten johda toimeksiantoon, kaikki asiakirjat ym. tiedot palautetaan asiakkaalle, eikä hänen tietojaan jätetä toimistomme rekistereihin.
Henkilötietoja kerätään sekä suoraan rekisteröidyltä itseltään että hänen valtakirjassa antamallaan valtuutuksella muilta tahoilta. Tietoja hankitaan vain kulloisenkin toimeksiannon hoitamisen vaatimassa laajuudessa ja sen edellyttämiä tarkoituksia varten.
Asiakirjat tilataan rekisteröidyn valtuutuksella Potilasvakuutuskeskukselta tai muulta vastapuolena olevalta vakuutusyhtiöltä tms. taholta, joka on eritelty ennen toimeksiannosta sopimista laaditussa etenemissuunnitelmassa. Näihin vastapuolelta valtuutuksella tilattaviin asiakirjoihin sisältyy paitsi korvauspäätöksiä ja muita korvauskäsittelyssä mukana olleita asiakirjoja, myös terveydentilatietoja ilmentäviä potilasasiakirjoja sekä toisinaan esimerkiksi kuvantamistutkimuksia.
Mikäli kulloinkin hoidettavan asian selvittämiseksi on tarpeen hankkia muita asiakirjoja, näitä tilataan valtakirjan perusteella laadituilla asiakirjapyynnöillä terveydenhuollon toimintayksiköiltä, joissa asiakasta on tutkittu ja hoidettu sekä verottajalta, Eläketurvakeskukselta yms.
5. Tietojen säilytysaika
Eri tietojen säilytysajat määräytyvät käsittelyn tarkoituksen ja oikeusperusteen mukaan:
1. Aktiivisten toimeksiantojen aikana kaikki asianhoidossa tarvittavat tiedot säilytetään ja niitä käsitellään asian edellyttämässä laajuudessa. Jos asiakkaan kanssa on sovittu, että hänen asiansa hoitamista mahdollisesti jatketaan, toimeksianto päättyy vasta sitten, kun on sovittu tai muuten käynyt ilmeiseksi, ettei asian hoitoa miltään osin enää jatketa.
2. Päättyneiden toimeksiantojen osalta asiakirjoja säilytetään lähtökohtaisesti vähintään 10 vuotta asian päättymisestä Asianajajaliiton suosituksen mukaisesti. Tämä turvaa asiakkaan ja toimiston oikeudet vanhentumislain (728/2003) mukaisen 10 vuoden vastuuvanhentumisajan kuluessa.
3. Pidempi säilytys (enintään 25 vuotta) koskee asiakirjoja, joiden osalta säilyttämiseen on jatkuva oikeudellinen tarve: pysyvän haitan arviot, korvauspäätökset jatkuvasta korvauksesta (esim. työkyvyttömyyseläkkeet), lääketieteelliset asiakirjat, joiden uudelleenarviointi on mahdollista, sekä muut asiakirjat, joiden osalta toimisto voi joutua puolustamaan asian aiempaa hoitoa. Tällaisten asiakirjojen säilytys perustuu GDPR 9 artiklan 2 kohdan f alakohtaan (oikeusvaateen laatiminen, esittäminen tai puolustaminen) ja jatkuu niin kauan kuin korvausta tai sen tarkistusta voidaan vaatia, ja siitä 10 vuotta.
4. Kirjanpitoasiakirjoja säilytetään kirjanpitolain mukaisesti 6 vuotta tilikauden päättymisestä.
5. Asiakkaan nimenomaisella suostumuksella laadittuja anonymisoituja tapausreferaatteja voidaan säilyttää toistaiseksi, sillä ne eivät enää sisällä tunnistettavissa olevia henkilötietoja.
Säilytysajan päätyttyä asiakirjat hävitetään peruuttamattomasti. Tarkemmat säilytysajat asiakirjatyypeittäin on kirjattu toimiston sisäiseen säilytysohjeeseen.
6. Rekisterin tietosisältö
Rekisteriin tallennettavat tiedot on eritelty alla tietoryhmittäin:
Tavalliset henkilötiedot: nimi, henkilötunnus, yhteystiedot (puhelinnumero, sähköpostiosoite), laskutustiedot.
Erityiset henkilötietoryhmät (GDPR 9 artikla): terveystiedot (potilasasiakirjat, lääkärinlausunnot, kuvantamistutkimukset, korvauspäätösten lääketieteelliset perustelut), jotka ovat välttämättömiä asian hoidolle.
Asian sisältöön liittyvät tiedot: korvauspäätökset, kirjeenvaihto, oikeusturvaelinten päätökset, sopimukset, taloudelliset selvitykset (verotus, ansionmenetys).
Kolmansien osapuolten tiedot: asian hoidossa esiin tulevien muiden henkilöiden (vastapuoli, todistajat, hoitavat lääkärit) tunnistetiedot, joita käsitellään pseudonymisoituina toimiston AI-järjestelmissä.
Verkkosivuston käyttäjätiedot: yhteydenottolomakkeen kautta annetut tiedot (nimi, yhteystiedot, viestin sisältö) sekä tekniset käyttäjätiedot (IP-osoite, kellonaika, selaintyyppi, päätelaitteen käyttöjärjestelmä, käydyt sivut). Tekniset tiedot kerätään evästeillä ks. kohta 11.
Yritystiedot (kun asiakas on yritys): yrityksen nimi ja y-tunnus, yhteyshenkilö, yhteyshenkilön puhelinnumero ja sähköpostiosoite, käynti- ja laskutusosoite, tiedot tilatuista palveluista ja niiden toimittamisesta.
7. Tietovarannot – missä tietoja säilytetään
Toimistollamme on henkilötietoja seuraavissa paikoissa:
– toimiston omalla palvelimella, jossa säilytetään asiakaskanta sekä pseudonymisoidut työkopiot; pääsy on rajoitettu toimiston omistajan ja vastaavan juristin käyttöön
– sähköisessä muodossa pilvipalveluissa; alkuperäisiä asiakirjoja käsitellään rajoitetulla pääsyllä, pilvipalveluihin siirretään vain pseudonymisoituja kopioita
– tekoälykäsittelyssä käytettävässä pilvipalvelussa (käsittelyalue EU), johon viedään ainoastaan pseudonymisoituja tapaustietoja
– pseudonymisoitujen asiakirjojen pilvitallennuksessa (käsittelyalue EU)
– asianhallintaohjelmistossa
– työntekijöiden käytössä olevilla tietokoneilla
– asiakkaiden fyysisissä paperikansioissa
– asiakkaiden nimi- ja osoitetiedot laskutusta varten laskutuspalveluntarjoajan ylläpitämässä laskutusohjelmassa
– toimiston sähköpostijärjestelmissä
– asioiden ratkaisut paperisina arkistossa lukitussa toimistossa
– työntekijöiden henkilökohtaisissa, toimistolla sijaitsevissa paperisissa työkalentereissa määräaikojen noudattamista varten
– työpuhelimissa esimerkiksi asiakkailta saatujen tekstiviestien muodossa
– anonymisoituja tapauslyhennelmiä voidaan säilyttää internetissä esim. erilaisilla sosiaalisen median alustoilla
8. Säännönmukaiset tietolähteet
Rekisteriin tallennettavat tiedot saadaan:
– asiakkaalta itseltään mm. sähköpostitse, puhelimitse, sopimuksista, asiakastapaamisista ja muista tilanteista, joissa asiakas luovuttaa tietojaan
– verkkosivun yhteydenottolomakkeen kautta annetuista tiedoista
– verkkosivuston käytöstä kerättävistä teknisistä tiedoista (ks. kohta 11)
– asiakkaan valtakirjalla osoittamalla suostumuksella muilta tahoilta kuin asiakkaalta itseltään edellä eritellysti (Potilasvakuutuskeskus, vakuutusyhtiöt, terveydenhuollon toimintayksiköt, verottaja, Eläketurvakeskus jne.)
9. Tietojen luovutukset ja tietojen siirto EU:n tai ETA:n ulkopuolelle
Toimeksiannon hoitamisen yhteydessä tietoja luovutetaan asiakirjapyyntöjen muodossa edellä mainitusti. Muutoksenhakukirjelmiä, oikaisuvaatimuksia tms. kulloisenkin toimeksiantosopimuksen mukaisia kirjelmiä liitteineen lähetetään oikeusturvaelimiin, esimerkiksi potilasvahinkolautakuntaan, siten kuin asiakkaan kanssa on sovittu. Kirjelmien liitteinä voidaan lähettää myös terveydentilatietoja sisältäviä dokumentteja, jotka ovat tarpeen asian tutkimiseksi.
Toimeksiannon kestäessä asiakas voi halutessaan ja omasta aloitteestaan lähettää toimistollemme uusia selvityksiä, kuten potilasasiakirjoja, jotka toimitamme asianmukaisiin oikeusturvaelimiin.
Tietoja luovutetaan laskutusta varten laskutuspalveluntarjoajalle, joka käsittelee näitä ylläpitämässään laskutusohjelmassa.
Tietoja ei luovuteta muille kuin edellä mainituille tahoille, ellei siitä ole asiakkaan kanssa erikseen nimenomaisesti sovittu. Henkilötietoja ei luovuteta suoramarkkinointitarkoituksiin. Tietoja voidaan luovuttaa viranomaisille kulloinkin voimassa olevaan lainsäädäntöön perustuen.
Tietoja voidaan julkaista ainoastaan siltä osin kuin niin on erikseen sovittu asiakkaan kanssa. Tällöinkin esimerkiksi sosiaalisen median kanavissa ratkaisulyhennelmiä julkaistaessa noudatetaan tietojen anonymisointia, eli asiakkaan nimi, asuinpaikka tms. eivät tule näkyviin.
Tietoja säilytetään yhdysvaltalaisten suuryritysten tarjoamissa pilvipalveluissa (toimisto-ohjelmistot, sähköposti, tiedostojen tallennus). Tekoälykäsittelyssä käytetään pilvipalvelua, jonka käsittelyalue on EU:n alueella. Näiden palveluntarjoajien käyttöön liittyy mahdollisuus, että henkilötietoja siirretään tai niihin pääsee käsiksi yhdysvaltalainen palveluntarjoaja tai sen alihankkija EU:n/ETA:n ulkopuolelta.
Siirtojen suojakeinoina käytetään:
– EU:n komission hyväksymiä vakiosopimuslausekkeita (Standard Contractual Clauses, SCC);
– EU:n ja Yhdysvaltojen välistä tietosuojakehystä (EU–US Data Privacy Framework), jonka mukaisesti hyväksytty palveluntarjoaja voi vastaanottaa tietoja Yhdysvalloissa;
– ennen tekoälykäsittelyä tehtävää pseudonymisointia, jossa asiakkaan tunnistetiedot korvataan toimiston omalla palvelimella tunnisteilla, joiden palauttaminen on mahdollista vain toimistossa.
Toimisto on tarkistanut, että käytettävien palveluntarjoajien tietojenkäsittelysopimukset (DPA) kattavat erityisten henkilötietoryhmien (mukaan lukien terveystiedot) käsittelyn.
10. Rekisterin suojauksen periaatteet
Rekisterin käsittelyssä noudatetaan huolellisuutta ja tietojärjestelmien avulla käsiteltävät tiedot suojataan asianmukaisesti. Kun rekisteritietoja säilytetään Internet-palvelimilla, niiden laitteiston fyysisestä ja digitaalisesta tietoturvasta huolehditaan asiaankuuluvasti.
Rekisterinpitäjä huolehtii siitä, että tallennettuja tietoja sekä palvelimien käyttöoikeuksia ja muita henkilötietojen turvallisuuden kannalta kriittisiä tietoja käsitellään luottamuksellisesti ja ainoastaan niiden työntekijöiden toimesta, joiden työnkuvaan se kuuluu. Henkilötietojen käsittelyyn osallistuvien työntekijöiden kanssa on tehty salassapitosopimukset.
Toimisto käyttää muun muassa seuraavia teknisiä suojakeinoja:
– toimiston oma palvelin on salattu;
– pilvipalveluihin siirretään ainoastaan pseudonymisoituja asiakastietoja, eikä pseudonymisointiavainta säilytetä pilvipalvelussa;
– pilvipalveluiden varmuuskopiot on salattu;
– pääsy alkuperäisiin asiakirjoihin on rajoitettu toimiston omistajan ja vastaavan juristin käyttöön; muu henkilöstö työskentelee pseudonymisoitujen kopioiden parissa;
– pilvipalveluiden lokit kirjataan ja säilytetään pitkäaikaisarkistointia varten;
– arkaluonteisten tietojen sähköpostiviestintään käytetään suojattua sähköpostipalvelua;
– henkilötietojen käsittelyyn osallistuvien työntekijöiden kanssa on tehty salassapitosopimukset.
11. Evästeet
Verkkosivumme käyttää Google Analytics -evästeitä kävijämäärän ja sivuston käytön seuraamiseen. Näiden evästeiden keräämät tiedot siirretään ja tallennetaan Googlen palvelimille, joista osa saattaa sijaita EU:n ulkopuolella. Käsittelyperusteena ei-välttämättömille evästeille on käyttäjän suostumus (sähköisen viestinnän palveluista annettu laki 24 §).
Tarkemmat tiedot Googlen tietojenkäsittelystä ja seurannan estämisestä löytyvät Googlen omasta tietosuojakuvauksesta sekä Google Analytics -seurannan opt-out-lisäosasta.
12. Evästeiden hallinta ja poistaminen
Suurin osa verkkoselaimista hyväksyy evästeet, mutta voit yleensä muuttaa selaimen asetuksia ja estää uusien evästeiden tallennuksen, poistaa olemassa olevat evästeet käytöstä tai pyytää ilmoitusta ennen uusien evästeiden tallentamista. Evästeiden estäminen tai poistaminen voi vaikuttaa joidenkin sivuston toimintojen käytettävyyteen.
Lisätietoja evästeiden hallinnasta ja niiden poistamisesta löytyy esimerkiksi osoitteista aboutcookies.org ja youronlinechoices.com sekä oman selaimesi ohjeista.
13. Tarkastusoikeus ja oikeus vaatia tiedon korjaamista
Jokaisella rekisterissä olevalla henkilöllä on oikeus tarkastaa rekisteriin tallennetut tietonsa ja vaatia mahdollisen virheellisen tiedon korjaamista tai puutteellisen tiedon täydentämistä.
Mikäli henkilö haluaa tarkistaa hänestä tallennetut tiedot tai vaatia niihin oikaisua, pyyntö tulee lähettää kirjallisesti rekisterinpitäjälle. Rekisterinpitäjä voi pyytää tarvittaessa pyynnön esittäjää todistamaan henkilöllisyytensä. Rekisterinpitäjä vastaa asiakkaalle EU:n tietosuoja-asetuksessa säädetyssä ajassa (pääsääntöisesti kuukauden kuluessa).
14. Muut henkilötietojen käsittelyyn liittyvät oikeudet
Rekisteröidyllä on oikeus peruuttaa suostumuksensa milloin tahansa. Suostumuksen peruuttaminen ei vaikuta suostumuksen perusteella ennen sen peruuttamista suoritetun käsittelyn lainmukaisuuteen.
Suostumuksen peruuttaminen koskee ainoastaan niitä käsittelytoimia, joiden oikeusperuste on suostumus (esim. anonymisoitujen tapauskuvausten julkaisu). Suostumusta ei voida peruuttaa siltä osin kuin käsittely perustuu sopimukseen tai oikeusvaateen laatimiseen, esittämiseen tai puolustamiseen (GDPR 9(2)(f)).
Rekisterissä olevalla henkilöllä on oikeus pyytää häntä koskevien henkilötietojen poistamista rekisteristä (”oikeus tulla unohdetuksi”). Oikeus tietojen poistamiseen on rajoitettu silloin, kun käsittely on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi tai kun säilytysvelvollisuus johtuu lainsäädännöstä taikka Asianajajaliiton ohjeista.
Niin ikään rekisteröidyillä on muut EU:n yleisen tietosuoja-asetuksen mukaiset oikeudet, kuten:
– oikeus henkilötietojen käsittelyn rajoittamiseen tietyissä tilanteissa (GDPR 18 artikla)
– oikeus vastustaa henkilötietojen käsittelyä, mukaan lukien aina oikeus kieltää käsittely suoramarkkinointia varten (GDPR 21 artikla)
– oikeus saada tietonsa siirretyksi järjestelmästä toiseen koneluettavassa muodossa silloin kun käsittely perustuu suostumukseen tai sopimukseen (GDPR 20 artikla)
Pyynnöt tulee lähettää kirjallisesti rekisterinpitäjälle. Rekisterinpitäjä voi pyytää tarvittaessa pyynnön esittäjää todistamaan henkilöllisyytensä. Rekisterinpitäjä vastaa asiakkaalle EU:n tietosuoja-asetuksessa säädetyssä ajassa (pääsääntöisesti kuukauden kuluessa). Rekisteröidyn pyynnön perusteella toimitetut tiedot ja rekisterinpitäjän toimet rekisterinpitäjän oikeuksien toteuttamiseksi ovat lähtökohtaisesti maksuttomia.
Rekisteröidyllä on myös aina oikeus tehdä valitus tietosuojaviranomaiselle. Suomessa toimivaltainen viranomainen on Tietosuojavaltuutetun toimisto, www.tietosuoja.fi, PL 800, 00531 Helsinki.