Personuppgiftsansvarig
Folkpensionsanstalten (FPA)
Nordenskiöldsgatan 12, 00250 Helsingfors
PB 450, 00056 FPA
tfn 020 634 11
Kontaktperson i registerärenden
Frågor om registerärenden som gäller patientuppgifter som lämnas ut till välbefinnandeapplikationer kan skickas till Kanta-tjänsternas kundsupport på adressen asiakaspalvelu@kanta.fi.
I ärenden som gäller den registrerades rättigheter kan den registrerade skicka förfrågningar per e-post till Kanta-tjänsternas dataskyddsombud på adressen tietosuoja@kanta.fi.
Registrets namn
Loggregistret över patientuppgifter som lämnas ut till välbefinnandeapplikationer
Ändamål och grund för behandlingen av personuppgifter samt registrets användningsändamål
Behandlingen av personuppgifter grundar sig på 74 § 2 mom. i lagen om behandling av kunduppgifter inom social- och hälsovården (703/2023), enligt vilket en person via medborgargränssnittet eller en välbefinnandeapplikation får visas eller få sådana uppgifter om sig själv som finns sparade i de riksomfattande informationssystemtjänsterna, med undantag för uppgifter som kunden enligt 11 § 2 mom. i offentlighetslagen, 34 § i dataskyddslagen eller enligt annan lagstiftning inte har rätt att få. För att få uppgifterna via välbefinnandeapplikationen ska kunden ta i bruk applikationen och godkänna att uppgifterna lämnas ut. Dessutom får personen via gränssnittet visas utlämningslogguppgifter och användningslogguppgifter som gäller behandlingen av hans eller hennes uppgifter, med undantag för mottagarens personuppgifter.
Uppgifterna i loggregistret används för att verifiera att FPA behandlar patientuppgifter som förts in i Kanta-tjänsterna lagenligt. Logguppgifterna används också för att reda ut problemsituationer vid FPA.
Bevarandetid för personuppgifter
Bevarandetiden för logguppgifter är 12 år från det att logguppgifterna uppkommit, och därefter förstörs uppgifterna.
FPA har inte rätt att behandla logguppgifter som sparats i Kanta-tjänsterna i större omfattning än vad som är nödvändigt för att administrera Kanta-tjänsterna. FPA genomför behandlingen av personuppgifter i enlighet med EU:s allmänna dataskyddsförordning och andra lagar som reglerar behandlingen av personuppgifter.
Registrets datainnehåll
I loggregistret över patientuppgifter som lämnas ut till välbefinnandeapplikationer registreras händelsens nummer och en uppgift om hur händelsen slutade samt välbefinnandeapplikationens meddelande.
Loggregistret innehåller följande uppgifter:
- beviljade och raderade åtkomsträttigheter för välbefinnandeapplikationer
- uppgift om att användaren har mottagit informationen om att ta emot patientuppgifter i en välbefinnandeapplikation, och när informationen har mottagits
- till vilka välbefinnandeapplikationer patientuppgifter har lämnats ut och när
- vilka patientuppgifter som har lämnats ut
Dessa uppgifter registreras när välbefinnandeapplikationen tar emot patientuppgifter. I loggregistret finns inget innehåll ur handlingar och inga personuppgifter.
Uppgifterna om utlämnade patientuppgifter (utlämningsloggen) förs in och bevaras i Patientdatalagret.
Som förtydligande konstateras att de uppgifter om användaren som anges nedan registreras i Kanta-tjänsterna när patientuppgifter lämnas ut till en välbefinnandeapplikation, både när användaren tar i bruk tjänsten och alltid när användaren ger applikationen åtkomsträttigheter eller tar emot uppdaterad information om att ta emot patientuppgifter i en välbefinnandeapplikation.
- användarens personbeteckning
- uppgifter om åtkomsträttigheter som användaren beviljat applikationer eller raderat
- uppgift om att användaren har mottagit informationen om att ta emot patientuppgifter i en välbefinnandeapplikation, och när informationen har mottagits.
Regelmässiga uppgiftskällor
Tjänsten samlar in uppgifter om patientuppgifter som lämnats ut från Patientdatalagret och om åtkomsträttigheter i auktoriseringstjänsten.
Regelmässigt utlämnande av uppgifter och överföring av uppgifter utanför EU eller Europeiska ekonomiska samarbetsområdet
Trots sekretessbestämmelserna och andra bestämmelser om användningen av uppgifter får FPA lämna ut uppgifter till andra myndigheter, om den myndighet som begär uppgifter enligt lag har rätt till de aktuella uppgifterna och om de lagstadgade förutsättningarna för utlämnande är uppfyllda.
Information överförs inte till länder utanför EU eller Europeiska ekonomiska samarbetsområdet.
En förbindelse om utlämnande mellan personuppgiftsansvariga har ingåtts med leverantörerna av välbefinnandeapplikationer.
Principer för skydd av registret
Organisatoriska principer för skydd av registret
FPA ska ha en informationssäkerhetsplan för att säkerställa dataskyddet och datasäkerheten. FPA ska ha ett namngivet dataskyddsombud.
FPA ska ge skriftliga anvisningar om behandlingen av kunduppgifter och om de förfaranden som ska följas samt se till att personalen har tillräcklig sakkunskap och kompetens vid behandlingen av kunduppgifter i sin egen verksamhet.
Tekniska principer för skydd av registret
Den som läser eller på annat sätt behandlar logguppgifter som registrerats i loggregistret över patientuppgifter som lämnas ut till välbefinnandeapplikationer måste identifiera sig med stark autentisering, och hantering av åtkomsträttigheter till systemet förutsätts. Myndigheten för digitalisering och befolkningsdata ansvarar för identifierings- och certifikattjänsterna.
Fysiska principer för skydd av registret
Uppgifterna i loggregistret över patientuppgifter som lämnas ut till välbefinnandeapplikationer är tekniskt skyddade mot ändring och radering. FPA:s lokaler med utrustning och uppgifterna finns fysiskt i Finland. FPA:s tekniska administratörer har begränsat tillträde till de lokaler som de behöver ha tillträde till för att kunna sköta sina arbetsuppgifter.
Rätt till insyn i egna uppgifter
I enlighet med artikel 15 i EU:s allmänna dataskyddsförordning (2016/679) har de registrerade rätt att se vilka uppgifter om dem som registrerats i loggregistret över patientuppgifter som lämnas ut till välbefinnandeapplikationer. De registrerade har rätt att begära utlämningslogguppgifterna från FPA.
En person kan med fullmakt eller som laglig företrädare för en vuxen begära rätt att se uppgifterna i loggregistret över patientuppgifter som lämnas ut till välbefinnandeapplikationer. En företrädare kan begära uppgifter under förutsättning att företrädaren har rätt att företräda sin huvudman i det aktuella ärendet. FPA kontrollerar personens rätt att ta emot uppgifterna. På grunder som anges i lag kan FPA vägra lämna ut uppgifter.
Begäran om uppgifter riktas till FPA (registratorskontoret, PB 450, 00056 FPA). Se Övriga rättigheter i samband med behandlingen av personuppgifter.
Rätt att lämna in klagomål till tillsynsmyndigheten
Kunder som anser att behandlingen av deras personuppgifter strider mot tillämplig dataskyddslagstiftning har rätt att lämna in ett klagomål till den behöriga tillsynsmyndigheten i enlighet med artikel 77 i dataskyddsförordningen och 21 § i dataskyddslagen. I Finland är dataombudsmannen tillsynsmyndighet.
Övriga rättigheter i samband med behandlingen av personuppgifter
De registrerade har rätt att av FPA begära logguppgifter om patientuppgifter som lämnas ut till välbefinnandeapplikationer. En registrerad kan rikta en begäran om logguppgifter till FPA.
En person som har fullmakt eller är laglig företrädare för en vuxen kan med en begäran om logguppgifter till FPA begära uppgifter om till vilka välbefinnandeapplikationer patientuppgifter har lämnats ut med samtycke som grund. FPA kontrollerar personens rätt att ta emot uppgifterna. På grunder som anges i lag kan FPA vägra lämna ut uppgifter.
En vårdnadshavare har rätt att med en begäran om logguppgifter till FPA begära uppgifter om till vilka välbefinnandeapplikationer patientuppgifter har lämnats ut med den minderårigas samtycke. När en vårdnadshavare begär uppgifter om en minderårig kontrollerar FPA vårdnadens giltighet. På grunder som anges i lag kan FPA vägra lämna ut uppgifter.
En begäran om logguppgifter kan göras med en blankett för begäran om logguppgifter, som finns hos tjänstetillhandahållare inom social- och hälsovården som anslutit sig till Kanta-tjänsterna, på apoteken, på FPA:s kundserviceställen och på webbplatsen www.kanta.fi. En begäran om logguppgifter kan också formuleras fritt per telefon eller e-post. Begäran riktas till FPA:s registratorskontor (kirjaamo@kela.fi eller FPA registratorskontor, PB 450, 00056 FPA).
För att få logguppgifter som är äldre än två år krävs en särskild orsak. Kunden får inte använda eller lämna logguppgifterna vidare för något annat ändamål.
Kunden har rätt att få samma logguppgifter på nytt av grundad anledning för att kundens intressen och rättigheter ska kunna tillgodoses. FPA får ta ut en avgift som motsvarar kostnaderna för att lämna ut uppgifter som begärs på nytt.
FPA:s verksamhet och administreringen av Kanta-tjänsterna baserar sig på nationell lagstiftning. Av dessa orsaker tillämpas inte den registrerades rätt till radering av uppgifter enligt artikel 17 i EU:s allmänna dataskyddsförordning och rätt till överföring av uppgifter från ett system till ett annat enligt artikel 20 på uppgifter som registrerats i loggregistret över patientuppgifter som lämnas ut till välbefinnandeapplikationer. I den nationella lagstiftningen föreskrivs om bevarandetider för logguppgifter som registrerats i loggregistret över patientuppgifter som lämnas ut till välbefinnandeapplikationer. Efter att bevarandetiden löpt ut förstörs uppgifterna.