Tietosuojaseloste

Viimeksi päivitetty 27.4.2017

Johdanto

Meru Health Oy (“Meru Health”) on sitoutunut suojaamaan ja kunnioittamaan yksityisyyttäsi. Nämä Tietosuojaperiaatteet (yhdessä käyttöehtojemme kanssa, sekä kaikkien niissä mainittujen dokumenttien kanssa) soveltuvat Meru Health -hoito-ohjelmaan, johon sisältyy mobiilipalvelu ja etäterapeutti sekä muut hoidon tuottamiseen käytettävät digitaaliset ratkaisut (”Palvelu”). Tietosuojaperiaatteet asettavat perustan sille, miten käsittelemme kaikkia niitä henkilötietoja, joita sinulta keräämme Palvelussa tai joita olet meille antanut.

Sosiaali- ja terveysministeriön asetuksessa potilasasiakirjoista on määritelty miten ja mitä tietoja terveydenhuollossa tulee tallentaa potilaan hoidon järjestämiseksi ja toteuttamiseksi. Näistä tiedoista muodostuu potilastietoja koskeva erillinen potilasrekisteri. Yksityiskohtaiset tiedot siitä, miten käsittelemme potilastietoja, löydät Potilasrekisterin Tietosuojaselosteesta, joka koskee keskitetysti ylläpidettyä Meru Health Oy:n ja itsenäisinä ammatinharjoittajina toimivien Terveydenhuollon Ammattilaisten potilasrekisteriä.

●     Palvelussa käsitellään arkaluonteisia terveyttäsi koskevia tietoja ja potilastietoja. Käyttämällä Palvelua hyväksyt näissä Tietosuojaperiaatteissa ja Potilasrekisterin Tietosuojaselosteessa kuvatut tietosuojakäytännöt. Kuten Potilasrekisterin Tietosuojaselosteessa on tarkemmin kuvattu, potilastietosi talletetaan keskitettyyn rekisteriin, jota pitää suostumuksesi perusteella yllä Meru Health Oy sekä siihen liittyneet keskitettyyn rekisterinpitoon osallistuvat ammatinharjoittajat (terapeutit, lääkärit, psykiatrit) yhteisesti. Potilastietosi ovat salassa pidettäviä. Hoitosuhteeseesi liittyvästi niitä voidaan suostumuksesi perusteella käyttää Palvelussa siellä toimivien ammatinharjoittajien toimesta. Muille niitä luovutetaan vain lain perusteella tai sinun luvallasi. Sinulla on mahdollisuus tarkistaa rekisteriimme tallennetut sinua koskevat tiedot kirjallisella pyynnöllä. Samoin sinulla on oikeus vaatia korjattavaksi rekisterissämme oleva virheellinen tieto, tai peruuttaa antamasi suostumus tai rajata sitä. Lisätietoja saat tämän tietosuojaselosteen kohdassa 13 ilmoitetusta yhteysosoitteesta.

●     Sallit hoitoosi osallistuvien ammattihenkilöiden ja hoitohenkilökunnan näkevän Palvelussa olevat tiedot, mukaan lukien itse tekemäsi kirjaukset. Annat suostumuksesi tietojesi käyttöön hoitosuhteen niin edellyttäessä Meru Healthin yksikössä toimivalle, hoitoosi osallistuvalle hoitohenkilökunnalle, sekä Meru Healthin ylläpitämään keskitettyyn potilasrekisteriin liittyneille terveydenhuollon ammattihenkilöille.

Näissä Tietosuojaperiaatteissa termi ”henkilötiedot” tarkoittaa kaikenlaisia luonnollista henkilöä taikka hänen ominaisuuksiaan tai elinolosuhteitaan kuvaavia merkintöjä, jotka voidaan tunnistaa häntä tai hänen perhettään tai hänen kanssaan yhteisessä taloudessa eläviä koskeviksi. Tiedämme, että sinulle on tärkeää, miten käytämme ja luovutamme henkilötietoja, erityisesti terveyttäsi koskevia tietoja, jotka ovat arkaluonteisia henkilötietoja. Nämä Tietosuojaperiaatteet kertovat, miten suojaamme yksityisyyttäsi sekä käsittelemiämme henkilötietojasi.

Haluamme muistuttaa, että näitä Tietosuojaperiaatteita sovelletaan vain Palvelussamme. Palvelussa saattaa olla linkkejä ulkopuolisten ylläpitämiin palveluihin. Tietosuojaperiaatteitamme ei sovelleta kolmannen osapuolen ylläpitämään palveluun tai sivustoon emmekä vastaa niiden tietosuojakäytännöistä. Suosittelemme, että tutustut huolellisesti kolmannen osapuolen ylläpitämien internet-sivujen tai/ja -palvelujen tietosuojaperiaatteisiin.

1 REKISTERINPITÄJÄ

Meru Health Oy (“Meru Health”)

Y-tunnus: 2739420-6

Osoite: Lapinlahdenkatu 16, 00180, Helsinki

Puhelin: 050 4118354

2 YHTEYSHENKILÖ REKISTERIÄ KOSKEVISSA ASIOISSA

Tietosuojavastaava Albert Nazander

Lapinlahdenkatu 16, 00180, Helsinki

albert.nazander@meruhealth.com

3 REKISTERI

Meru Health Oy:n Käyttäjärekisteri

4 HENKILÖTIETOJEN KÄSITTELYN TARKOITUS JA PERUSTE

Henkilötietojen käsittely perustuu ensisijaisesti Meru Healthin ja rekisteröidyn väliseen palvelusuhteeseen, joka syntyy rekisteröidyn kirjautuessa Palveluun, sekä esimerkiksi siltä osin kun rekisteröity itse syöttää Palveluun tietoja terveydentilastaan tai aiemmasta hoitohistoriastaan, sekä rekisteröidyn antamaan suostumukseen.

Henkilötietoja käsitellään Meru Healthin tarjoaman sovelluspohjaisen Palvelun toteuttamista ja tarjoamista varten sekä palvelusuhteen hoitoa varten.

Meru Health voi käyttää henkilötietoja asiakashistorian, palautteiden, tyytyväisyystietojen, kyselyiden ja tutkimusten tekoon, seurantaan ja analysointiin; sekä muuhun palveluiden järjestämiseen, kehittämiseen ja tarjontaan sekä profilointitarkoituksiin siten kuin tämän tietosuojaselosteen kohdassa 10 on tarkemmin kuvattu.

Henkilötietoja voidaan käyttää myös suoramarkkinointiin henkilötietolain ja muun sovellettavan lainsäädännön mukaisesti, esimerkiksi uusista tuotteista tiedottamiseen palvelusuhteen päätyttyä.

Käsittelytehtäviä voidaan ulkoistaa ulkopuolisille palveluntarjoajille tietosuojalainsäädännön mukaisesti ja sen asettamissa rajoissa.

5 REKISTERIN TIETOSISÄLTÖ

Rekisteröidystä voidaan tallentaa muun muassa seuraavankaltaisia tietoja:

Nimi, kutsumanimi, asiakasnumero, sukupuoli, kieli, osoite, puhelinnumero, lähiomainen, sähköpostiosoite ja muut tarpeelliset yhteystiedot.

Tietoja rekisteröidyn toivomista ja käyttämistä palveluista.

Rekisteröidyn tallentamat itseään koskevat tiedot kuten terveystiedot, muualla kuin Meru Healthin kautta saatua hoitoa koskevat tiedot, kiinnostuksen kohteet, harrastustiedot tai muut vastaavat tiedot.

Tietoa henkilöistä, jotka ovat hoitaneet rekisteröityä. Ammattihenkilöitä, palveluita, toimintayksiköitä ja muita seikkoja koskevia toivomuksia tai muistiinpanoja.

Henkilötietojen käyttöä koskevia kieltoja, rajoituksia, suostumuksia ja rekisteröidyn tekemiä muita valintoja koskevat tiedot.

Tiedon käsittelyyn liittyviä tietoja, kuten tallennuspäivämäärä ja tietolähde.

Rekisteröidyn ja Meru Healthin ammattihenkilön välillä Palvelussa käytyä viestintää koskevat metatiedot, kuten lähetysajat.

Muita rekisterin tarkoitukseen liittyviä tietoja, kuten esimerkiksi rekisteröityyn yhdistettävissä oleva, palvelun käyttämisen yhteydessä tapahtuvasta verkkosivujen käytöstä kerättävä tieto, kuten esimerkiksi käyttäjän IP-osoite, käynnin kellonaika, vieraillut sivut, käytetty selaintyyppi (esim. Internet Explorer, Firefox), verkko-osoite, josta käyttäjä on tullut verkkosivulle sekä palvelin, jolta käyttäjä on tullut Palveluun.

Palvelussa tehtävien harjoitusten suoritusmerkinnät.

Ryhmäkeskustelut, ryhmässä jaettujen tehtävien kommentit tai muut vastaavat ryhmäkommunikaatioon liittyvät tiedot.

Meru Health Oy:n käyttäjärekisteri ei sisällä potilastietoa. Rekisteröidylle tarjotaan palvelun kautta ainoastaan rajoitettu katseluoikeus rekisteröidyn potilastietoihin.

6 SÄÄNNÖNMUKAISET TIETOLÄHTEET

Tietoja saadaan ensisijaisesti seuraavista tietolähteistä:

Rekisteröity itse, ja rekisteröidyn toimesta tapahtuvan Palvelun käytön kautta syntyvät tiedot.

Tunnistamis-, varmennus-, osoite-, päivitys-, luottotieto- tai muuta vastaavaa palvelua tarjoava osapuoli.

Rekisteriin voidaan lisätä myös muiden Meru Healthin yhteistyökumppaneiden toimittamia tietoja, kuten esimerkiksi vakuutusyhtiöltä saatavia tietoja.

Väestörekisterikeskuksen väestötietojärjestelmä ja muut tunnetut järjestelmät.

7 TIETOJEN SÄÄNNÖNMUKAISET LUOVUTUKSET JA VASTAANOTTAJIEN RYHMÄT

Emme luovuta Palvelun käyttäjiä koskevia henkilötietoja kolmannelle osapuolelle alla mainittuja tilanteita lukuun ottamatta. Käyttäjän Palvelussa antamia tietoja voidaan luovuttaa seuraaviin ryhmiin kuuluville tahoille:

●     Palvelun toteuttamiseen osallistuville palveluntarjoajille, kuten Palvelun tarjoamiseen osallistuville lääkäreille, terapeuteille ja tallennustilan tarjoajille;

●     Vertaistukiryhmälle (harjoitusmerkinnät, ohjelmassa eteneminen), paitsi niissä tapauksissa, joissa käyttäjä on tämän kieltänyt

●     Viranomaisille siinä tapauksessa, että laki tai rekisterinpitäjän tai kolmannen osapuolen etu niin vaatii

●     Rekisterinpitäjän tytär- ja osakkuusyhtiöille, tai Palvelun uudelle omistajalle tai osaomistajalle tai harjoittajalle ja heidän neuvonantajilleen yrityskaupan tai –järjestelyn yhteydessä

Automaattisen tietojenkäsittelyn perusteella kerättyjä tietoja voidaan luovuttaa seuraaviin ryhmiin kuuluville tahoille:

●     Palveluntarjoajille, kuten tietojen analysointiin erikoistuneille yhtiöille (esim. Mixpanel)

●     Viranomaisille siinä tapauksessa, että laki tai rekisterinpitäjän tai kolmannen osapuolen etu niin vaatii

●     Rekisterinpitäjän tytär- ja osakkuusyhtiöille, tai Palvelun uudelle omistajalle tai osaomistajalle tai harjoittajalle ja heidän neuvonantajilleen yrityskaupan tai –järjestelyn yhteydessä

 Lisäksi tietoja voidaan luovuttaa kolmansille osapuolille sellaisessa muodossa, jonka perusteella yksittäisiä käyttäjiä ei voida tunnistaa, jolloin ei ole kyse henkilötiedoista.

8 TIETOJEN SIIRTO EU:N TAI ETA:N ULKOPUOLELLE

Henkilötietoja voidaan siirtää Euroopan unionin tai Euroopan talousalueen ulkopuolelle, muun muassa Yhdysvaltoihin tietosuojalainsäädännön (Privacy Shield) mukaisesti luotetuille palveluntarjoajille tietojen prosessointi- tai tallentamistarkoituksiin. Kolmansilla osapuolilla ei ole oikeutta käyttää tätä informaatiota omiin tarkoituksiinsa ja heidän pitää noudattaa tarpeellisia tietosuojakäytäntöjä.

9 REKISTERIN SUOJAUKSEN PERIAATTEET

9.1 Manuaalinen aineisto

Mahdollinen manuaalinen aineisto säilytetään lukitussa tilassa, jonne on pääsy vain erikseen oikeuden saaneilla henkilöillä.

9.2. Sähköisesti käsiteltävät tiedot

Palvelu toimii verkossa ja sitä voidaan käyttää suojatun tietoliikenneyhteyden välityksellä mobiililaitteella.

Käyttäjä kirjautuu Palveluun tilaamalla lyhytaikaisen kirjautumislinkin sähköpostiinsa, jonka potilas on aiemmin ilmoittanut hoitohenkilökunnalle. Meru Health järjestää palvelun ja tietoturvan asianmukaisin teknisin ratkaisuin.

Aineistoon on pääsy vain siihen oikeutetun työntekijän, ammatinharjoittajan tai yhteistyökumppanin henkilökohtaisella käyttäjätunnuksella ja salasanalla. Käyttöoikeuksia on eritasoisia ja kullekin käyttäjälle annetaan tehtävän hoitamisen kannalta riittävä, mutta mahdollisimman suppea käyttöoikeus.

Meru Health säilyttää henkilötietoja niin kauan kuin rekisteröidyllä on aktiivinen käyttäjätili Palvelussa. Meru Health voi poistaa tiedot myös tätä ennen, mikäli on selvää, ettei käyttäjä enää käytä palvelua ja hänen palvelusuhteensa Meru Healthiin on myös muutoin päättynyt.

Meru Health poistaa Palvelun käytön lopettamisen yhteydessä kaikki Palvelussa olevat käyttäjän itse tallentamat ei terveystietoa koskevat tiedot.

Yllä esitettyjen toimien tarkoituksena on turvata Palvelun luottamuksellisuus, tietojen saatavuus ja eheys sekä rekisteröityjen oikeuksien toteutuminen.

10 PROFILOINTI

Osana Meru Health -palveluun tallennettujen käyttäjätietojen käsittelytoimia Meru Health voi hyödyntää tietoja myös profilointitarkoituksissa. Profilointi toteutetaan luomalla rekisteröidylle käyttäjätunniste, jonka avulla erilaisia palvelun käyttämisen yhteydessä syntyviä rekisteröityä koskevia tietoja voidaan yhdistellä. Edellä kuvatun kaltaisesti luotua profiilia voidaan tämän jälkeen esimerkiksi verrata muista rekisteröidyistä luotuihin profiileihin.

Profiloinnin tarkoituksena on selvittää palvelun käyttäjän käyttäytymistä palvelussa.

Profiloinnin tarkoituksena on myös kehittää palvelun ja siihen liittyvän teknologian hoidollista tehokkuutta, sekä tuottaa populaatiotason tilastotietoa Palvelun toimivuudesta, tehokkuudesta ja turvallisuudesta.

11 REKISTERÖIDYN OIKEUS VASTUSTAA HENKILÖTIETOJEN KÄSITTELYÄ JA SUORAMARKKINOINTIA

Rekisteröidyllä on oikeus henkilökohtaiseen erityiseen tilanteeseensa liittyen vastustaa itseensä kohdistuvaa profilointia ja muita käsittelytoimia, joita Meru Health kohdistaa rekisteröidyn henkilötietoihin siltä osin, kun tietojen käsittelemisen perusteena on Meru Healthin ja rekisteröidyn välinen palvelusuhde.  Rekisteröity voi esittää vastustamista koskevan vaatimuksensa tämän tietosuojaselosteen kohdan 13 mukaisesti. Rekisteröidyn tulee vaatimuksen yhteydessä yksilöidä se erityinen tilanne, johon perustuen hän vastustaa käsittelyä. Meru Health voi kieltäytyä toteuttamasta vastustamista koskevaa pyyntöä laissa säädetyin perustein.

12 MUUT HENKILÖTIETOJEN KÄSITTELYYN LIITTYVÄT REKISTERÖIDYN OIKEUDET

12.1 Rekisteröidyn oikeus saada pääsy tietoihin (tarkastusoikeus)

Kirjautuessaan sisään Palveluun, rekisteröidyllä on nähtävillään suurin osa niistä tiedoista, joita Palvelu hänestä sisältää.

Rekisteröidyllä on myös oikeus tarkastaa, mitä muita häntä koskevia tietoja Palveluun on tallennettu. Tarkastuspyyntö tulee tehdä tämän tietosuojaselosteen kohdan 13 mukaisesti. Tarkastusoikeus voidaan evätä laissa säädetyin perustein. Tarkastusoikeuden käyttäminen on lähtökohtaisesti maksutonta.

Rekisteröidyn henkilöllisyydestä varmistutaan ja tarvittaessa se tarkistetaan ennen tietojen antamista.

12.2 Rekisteröidyn oikeus vaatia tiedon oikaisemista, poistamista tai käsittelyn rajoittamista

Siltä osin kuin rekisteröity voi päivittää tietoja Palvelussa itse, hänen on ilman aiheetonta viivytystä, saatuaan tiedon virheestä tai, virheen itse havaittuaan, oma-aloitteisesti oikaistava, poistettava tai täydennettävä rekisterissä oleva, Palvelun tarkoituksen vastainen, virheellinen, tarpeeton, puutteellinen tai vanhentunut tieto.

Siltä osin kuin rekisteröity ei pysty korjaamaan tietoja itse, korjauspyyntö tehdään tämän tietosuojaselosteen kohdan 13 mukaisesti.

Rekisteröidyllä on myös oikeus vaatia rekisterinpitäjää rajoittamaan henkilötietojensa käsittelyä esimerkiksi siinä tilanteessa, kun rekisteröity odottaa Meru Healthin vastausta tietojensa oikaisemista tai poistamista koskevaan pyyntöön.
12.3 Rekisteröidyn oikeus tehdä valitus valvontaviranomaiselle

Rekisteröidyllä on oikeus tehdä valitus toimivaltaiselle valvontaviranomaiselle, jos rekisterinpitäjä ei ole noudattanut toiminnassaan soveltuvaa tietosuojasääntelyä.

12.4 Muut oikeudet

Mikäli henkilötietoja käsitellään rekisteröidyn suostumukseen perustuen, rekisteröidyllä on oikeus peruuttaa suostumuksensa ilmoittamalla tästä Meru Healthille tämän tietosuojaselosteen kohdan 13 mukaisesti.

13 Yhteydenotot

Kaikissa henkilötietojen käsittelyyn liittyvissä kysymyksissä ja omien oikeuksien käyttämiseen liittyvissä tilanteissa rekisteröidyn tulee ottaa yhteyttä sähköpostilla info@meruhealth.com tai postitse osoitteeseen: Meru Health Oy, Lapinlahdenkatu 16, 00180, Helsinki. Meru Health voi tarvittaessa pyytää rekisteröityä täsmentämään pyyntöään kirjallisesti ja rekisteröidyn henkilöllisyys voidaan tarpeen vaatiessa varmentaa ennen muihin toimenpiteisiin ryhtymistä.