Tietosuojaseloste: Duodecim lääkärit
Kuura Health Oy:llä arvostamme yksityisyyttäsi ja haluamme kunnioittaa oikeuttasi henkilötietojen suojaan. Noudatamme kaikessa toiminnassamme EU:n yleistä tietosuoja-asetusta (EU) 2016/679 sekä kansallista tietosuojalainsäädäntöä.
Käsittelemme lääkäreiden henkilötietoja osana palvelusopimusten hallinnointia. Näiden sopimusten toteuttaminen edellyttää lakisääteisten velvoitteiden noudattamista ja tiettyjen pakollisten henkilötietojen keräämistä. Keräämme lääkäreistä ainoastaan tarpeellisia tietoja, jotka ovat välttämättömiä sopimusten tekemiseksi sekä tarjoamiemme järjestelmien käyttämisen mahdollistamiseksi.
Kuka toimii rekisterinpitäjänä?
Rekisterinpitäjä on se, joka päättää mihin tarkoituksiin ja millä keinoin henkilötietoja käsitellään. Rekisterinpitäjänä toimii Kuura Health Oy (jäljempänä “Kuura”), joka päättää henkilötietojen käsittelystä ja tavoista.
Yhteystiedot
Kuura Health Oy
Keskuskatu 6E
00100 Helsinki
Yhteystiedot: info@kuurahealth.com
Kuka toimii tietosuojavastaavana?
Tietosuojavastaava on Kuuran sisäinen henkilö, jonka tehtävänä on varmistaa, että noudatamme henkilötietojen käsittelyssä voimassa olevaa tietosuojalainsäädäntöä. Hän toimii yhteyshenkilönä henkilötietojen käsittelyyn liittyvissä asioissa, kuten tietopyyntöjen ja muiden oikeuksien toteuttamiseen liittyvien asioiden yhteydenottojen käsittelyssä.
Yhteystiedot
Mitä henkilötietoja keräämme sinusta?
Keräämme seuraavia henkilötietoja:
  • Yhteystiedot ja tunnistetiedot: etu- ja sukunimi, henkilötunnus (vain tunnistamista ja tallentamista varten), puhelinnumero, sähköpostiosoite
  • Ammatilliset tiedot: ammattioikeus, käyttöoikeusprofiilit, Terhikki- tai Valvirarekisteröintinumero, ammattinimike ja mahdollinen erikoisala
  • Sopimussuhteeseen liittyvät tiedot: sopimuksen aloitus- ja päättymispäivät, ilmoitetut osallistumiset vapaaehtoistoimintaan, sopimuksen tila ja asiakkuushistoria
  • Lokitiedot ja käyttödata: kirjautumis- ja allekirjoituslokit (esim. potilasmerkintöjen ajankohdat), käyttöoikeustaso ja järjestelmäroolit, tekninen lokidata, tunnistautumis- ja varmennekorttitiedot
Mihin tarkoitukseen tietoja kerätään ja mikä on käsittelyn oikeusperuste?
Lääkärien henkilötietoja kerääminen perustuu tietosuoja-asetuksen (GDPR) 6 artiklan (1)(c) kohtaan, kun tietoja kerätään lakisääteisten velvoitteiden toteuttamiseksi. Tällaisia lakisääteisiä velvoitteita ovat velvollisuus varmistaa, että ammattihenkilöllä on tarvittava ammattioikeus ja pätevyys (Laki terveydenhuollon ammattihenkilöistä (559/1994) 2 §) sekä tilanteet, joissa laki edellyttää kirjaamaan ja säilyttämään tietoja. Näitä tilanteita säätelevät muun muassa laki sähköisestä lääkemääräyksestä (61/2007) sekä laki sosiaali- ja terveydenhuollon asiakastietojen käsittelystä (703/2023).
Käsittely perustuu 6 artiklan (1)(b) kohtaan, kun käsittely on tarpeen sopimuksen täyttämiseksi. Käsittely perustuu sopimukseen esimerkiksi silloin, kun lääkärin ja Kuura Health Oy:n välillä tehdään sopimuksia ja kun tietoja tarvitaan uusien ominaisuuksien, päivitysten ja käytäntöjen viestimiseksi lääkäreille. Lisäksi D-reseptin ja eRA- järjestelmien käyttöoikeudet sekä tunnistautumisen hallinta perustuvat sopimukseen, ja tietojen kerääminen on edellytyksenä järjestelmien käyttämiselle.
Kun tietoja kerätään tietojärjestelmien toimivuuden, turvallisuuden ja laadun valvontaa varten se perustuu 6 artiklan (1)(f) kohdan oikeutettuun etuun. Rekisterinpitäjän oikeutettuna etuna on silloin varmistaa palvelun turvallinen käyttö.
Ketkä ovat henkilötietojen vastaanottajat ja miten tietoja käsitellään?
Lääkärien henkilötietoja käsittelee ensisijaisesti Kuura Health Oy:n henkilöstö, joilla on työtehtävien perusteella oikeus käsitellä tietoja. Tietoja voidaan myös käsitellä ulkopuolisten kumppanien toimesta, jos se on välttämätöntä sopimuksen toteuttamiseksi, lakisääteisten velvoitteiden täyttämiseksi tai järjestelmien teknisen toiminnan, ylläpidon tai ongelmatilanteiden ratkaisemiseksi. Tällöin toiminta perustuu käsittelysopimukseen ja ulkopuolinen käsittelijä noudattaa toiminnassaan määrittämiämme tietosuojaperiaatteita ja ohjeita.
Seuraavat tahot käsittelevät lääkärien henkilötietoja Kuura Health Oy:n lukuun:
  • Atostek Oy: Toimittaa eRA-järjestelmän, joka hallinnoi lääkärien tunnistautumista ja ammattioikeuksia. Käsittelee mm. rekisteröintitiedot, käyttöoikeustiedot ja lokitiedot. Atostek voi myös rekisterinpitäjän pyynnöstä käsitellä yksittäisen lääkärin tietoja teknisen tuen tai ongelmanratkaisun yhteydessä, kuten virheellisen käyttöprofiilin korjauksessa
  • Kustannus Oy Duodecim: Tarjoaa CRM:n järjestelmän. Käsittelee D-resepti käyttötietoja ja rekisteröintinumeroa
Lääkärien tietoja voidaan luovuttaa seuraaville viranomaisille, jos laki sitä edellyttää:
  • Kela (esim. Sähköisen lääkemääräyksen rekisteröinti)
  • Valvira (esim. Ammattioikeuksien rekisteröinti ja valvonta)
  • Verohallinto (esim. Verotukseen liittyvät tiedot)
Siirretäänkö tietoja Euroopan unionin tai Euroopan talousalueen ulkopuolelle?
Henkilötietoja ei siirretä EU-tai ETA-alueen ulkopuolelle ja kaikki henkilötietojen käsittelyssä hyödynnettävät palvelimet ja tietojärjestelmät sijaitsevat EU- tai ETA-alueella, jotta voimme varmistaa tietosuojan tehokaan toteutumisen.
Kuinka kauan tietoja säilytetään?
Lääkärien henkilötietoja säilytetään vain niin kauan kuin se on tarpeen sopimussuhteen hoitamiseksi ja lakisääteisten velvoitteiden täyttämiseksi. Käsittelemme henkilötietoja ainoastaan siinä tarkoituksessa, johon ne on kerätty, eikä niitä säilytetä pidempään kuin mikä on tarpeellista asian käsittelyn kannalta. Alla on esitetty eri tietoryhmien säilytysajat:
  • Sopimus- ja laskutustiedot: 10 vuotta sopimussuhteen päättymisestä
  • Ammattioikeustiedot ja käyttöprofiilit: sopimussuhteen keston ajan
  • Lokitiedot: 12 vuotta
  • Rekrytointitiedot: 1 vuosi
  • Palautetiedot ja palvelun kehitystiedot: 2 vuotta
  • Jonotuslistaa varten kerätyt tiedot: 3 kuukautta
  • Markkinointisuostumukset: kunnes suostumus perutaan.
Suostumuksen peruuttaminen
Tilanteissa, joissa käsittelemme henkilötietoja suostumuksesi perusteella, on sinulla oikeus peruttaa suostumuksesi. Suostumuksen voit peruuttaa ilmoittamalla siitä osoitteeseen tietosuoja@kuurahealth.com.
Mistä saamme sinua koskevat tietomme?
Henkilötiedot keräämme pääsääntöisesti suoraan lääkäreiltä itseltään ja tällaisia tietoja ovat esimerkiksi yhteystiedot ja laskutustiedot. Saamme lääkäreitä koskevat ammattioikeustiedot eRA-järjestelmän kautta, joka toimii ensisijaisena tunnistautumisen ja ammattioikeuksien hallinnan järjestelmänä. Järjestelmä hakee lääkärin tiedot Valviran Terhikki-rekisteristä ja muodostaa vahvaan tunnistautumiseen perustuvan käyttöoikeusprofiilin. Tietoja voidaan myös saada käyttöjärjestelmien teknisestä käytöstä syntyvistä lokitiedoista ja palvelun käytön seurantatiedoista.
Suoritammeko automaattista päätöksentekoa tai profilointia?
Emme suorita automaattista päätöksentekoa tai profilointia.
Rekisteröidyn oikeudet
Onko sinulla oikeus vastustaa tietojen käsittelyä?
Vastustamisoikeus
Sinulla on oikeus vastustaa henkilötietojen käsittelyä tilanteessa, jossa henkilötietojasi käsitellään yleisen edun tai julkisen vallan vuoksi tai oikeutetun edun perusteella. Tällaisessa tilanteessa emme voi käsitellä henkilötietojasi ilman, että voimme osoittaa, että
  • Käsittelyyn on olemassa huomattavan tärkeä ja perusteltu syy, joka syrjäyttää sinun etusi, oikeutesi ja vapautesi, tai
  • Käsittely on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi

Sinulla on aina oikeus vastustaa henkilötietojen käsittelyä suoramarkkinointitarkoituksissa.
Kun haluat käyttää vastustamisoikeuttasi voit tehdä ilmoituksen tietosuojavastaavallemme, jossa yksilöit millä perustein vastustat käsittelyä.
Mitä muita oikeuksia sinulla on?
Oikeus saada pääsy henkilötietoihin
Rekisteröitynä sinulla oikeus saada tietää mitä tietoja keräämme, mihin tarkoituksiin niitä keräämme ja millä tavoin käsittelemme henkilötietojasi. Sinulla on myös halutessasi oikeus pyytää sinusta tallentamamme henkilötiedot tarkastettavaksi.
Oikeus tietojen oikaisemiseen
Sinulla on oikeus saada tietosi oikaistuksi tai täydennetyksi, jos koet henkilötietojen olevan virheellisiä, puutteellisia tai epätarkkoja.
Oikeus tietojen poistamiseen
Sinulla on oikeus pyytää henkilötietojesi poistamista ja meillä on velvollisuus poistaa ne seuraavissa tilanteissa:
  • Henkilötiedot eivät ole enää tarpeellisia niihin tarkoituksiin, joihin ne alun perin keräsimme tai joita varten niitä käsittelimme
  • Päätät peruuttaa antamasi suostumuksen, johon käsittely on perustunut eikä käsittelylle ole olemassa muuta laillista perustetta
  • Päätät vastustaa käsittelyä eikä käsittelylle ole olemassa perusteltua syytä
  • Koet, että olemme käsitelleet henkilötietojasi lainvastaisesti
  • Henkilötietojen poisto perustuu rekisterinpitäjään sovellettavan unionin oikeuteen tai jäsenvaltion lainsäädäntöön perustuvan lakisääteisen velvoitteen täyttämiseksi

Tietoja ei kuitenkaan tarvitse poistaa, jos niiden käsittely on tarpeellista
  • Sananvapauden tai tiedonvälityksen vapautta koskevan oikeuden käyttämiseksi
  • Lakisääteisen velvoitteen täyttämiseksi, yleisen edun mukaisen tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi
  • Kansanterveyteen liittyvistä yleistä etua koskevista syistä
  • Yleisen edun mukaisia arkistointitarkoituksia, tieteellistä tai historiallista tutkimustarkoitusta tai tilastollisia tarkoituksia varten
  • Oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi
Oikeus käsittelyn rajoittamiseen
Sinulla on oikeus rajoittaa tietojesi käsittelyä seuraavissa tilanteissa:
  • Päätät kiistää henkilötietojesi paikkansapitävyyden, jolloin käsittelyä rajoitetaan siksi aikaa, jotta asia saadaan selvitetyksi
  • Käsittely on lainvastaista ja vastustat henkilötietojen poistamista, mutta vaadit sen sijaan käytön rajoittamista
  • Rekisterinpitäjänä emme enää tarvitse kyseisiä henkilötietoja käsittelyn tarkoituksiin, mutta tiedot ovat tarpeellisia sinulle oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi
  • Olet käyttänyt oikeutta vastustaa henkilötietojen käsittelyä, sen ajaksi, että todennetaan syrjäyttääkö rekisterinpitäjän oikeutetut perusteet sinun vastustuksesi
Oikeus siirtää tiedot järjestelmästä toiseen
Sinulla on oikeus saada sinua koskevat henkilötiedot siirretyksi toiselle rekisterinpitäjälle, jos käsittely perustuu suostumukseesi tai tehtyyn sopimukseen. Lisäksi sinun on täytynyt toimittaa tiedot meille itse, niiden täytyy olla siirrettävässä muodossa (esim. sähköisenä) sekä tiedot eivät saa vaikuttaa haitallisesti kolmansien osapuolten oikeuksiin ja vapauksiin. Tilanteissa, joissa päätät käyttää tätä oikeutta siirtää tietoja, on sinulla oikeus saada henkilötiedot siirretyksi suoraan rekisterinpitäjältä toiselle, jos se on teknisesti mahdollista.
Oikeus tehdä valitus valvontaviranomaiselle
Sinulla on oikeus tehdä kantelu valvontaviranomaiselle, jos katsot, että sinua koskevien henkilötietojen käsittelyssä on toimittu lainvastaisesti. Valvontaviranomaisena Suomessa toimii Tietosuojavaltuutetun toimisto.
Käyntiosoite: Lintulahdenkuja 4, 00530 Helsinki
Postiosoite: PL 800, 00531 Helsinki
Puhelinvaihde: 029 566 6700
Kirjaamo: 029 566 6768
Sähköposti (kirjaamo): tietosuoja(at)om.fi
Lisää tietoa osoitteesta: https://tietosuoja.fi/
Tietosuojaseloste päivitetty
Tietosuojaseloste on päivitetty 4.11.2025