Tietosuojaseloste

Tämä on Kalevalan kuntoutuskoti-säätiö/Hyvinvointi Sampo ja Kalevalan Hyvinvointi Oy:n EU:n yleisen tietosuoja-asetuksen (GDPR) mukainen tietosuojaseloste, jota käytetään rekisteröityjen informoimiseen henkilötietojen käsittelystä. Päivitetty viimeksi 19.12.2025.

1. Rekisterinpitäjä

Kalevalan kuntoutuskoti-säätiö/Hyvinvointi Sampo ja Kalevalan Hyvinvointi Oy
Väinämöinen 2
88900 Kuhmo
Y-tunnus: 0698217–2

2. Rekisteristä vastaava yhteyshenkilö

Jussi Komulainen
toimitusjohtaja
+35840 849 1406
jussi.komulainen@kalevalankk.fi

Tietosuojaan liittyvissä asioissa voit ottaa yhteyttä:
tietosuojavastaava@kalevalankk.fi

3. Rekisteröityjen ryhmät

Henkilötietorekisteri sisältää alla mainitut rekisteröityjen ryhmät:

  • asiakasrekisteri
  • tapahtumien osallistujat
  • verkkosivujen vierailijat

4. Henkilötietojen käsittelyn perusteet ja käyttötarkoitukset

Asiakasrekisteri
Asiakasrekisteriin sisältyy seuraavat asiakasryhmät:

  • Kuntoutusasiakkaat
  • Hoivapalvelujen asiakkaat
  • Ravintola- ja majoitusasiakkaat
  • Siivouspalvelun asiakkaat
  • Kuntosali Syke Plussan asiakkaat

Henkilötietojen käsittelyn oikeusperuste on rekisterinpitäjän oikeutettu etu tai osapuolten välinen sopimus. Lisäksi käsittely voi perustua lakisääteisiin velvoitteisiin, jotka liittyvät sosiaali- ja terveydenhuollon asiakastietolakiin ja kirjanpitolakiin. Henkilötietoja käytetään seuraaviin tarkoituksiin:

  • Asiakassuhteen hoitamiseen, asiakasviestintään, palveluiden tuottamiseen sekä toiminnan kehittämiseen ja suunnittelemiseen.
  • Maksamiseen ja laskutukseen sekä maksujen valvontaan ja perintään.
  • Majoitus- ja kokousvarausten sekä tapahtumailmoittautumisten suunnittelu, käsittely ja seuranta.
  • Rekisteröidyn mahdollisia erityisruokavaliotietoja käytetään vain ruoan valmistukseen ja tarjoiluun.
  • Rekisteröidyn yhteystietoja voidaan käyttää asiakaspalautteen ja asiakastyytyväisyyden kartoittamiseen sekä markkinatutkimusten ja mielipidekyselyiden toteutukseen.
  • Muut asiakassuhteen hoitoon, palvelujen suunnitteluun, seurantaan, toteutukseen, arviointiin ja kehittämiseen liittyvät tarkoitukset.
  • Liiketoiminnan ja asiakaspalvelun kehittäminen sekä palveluiden raportointi ja tilastointi.
  • Muut rekisterinpitäjän oikeuksien ja velvollisuuksien toteuttamisen edellyttämät tehtävät.

Kuntoutus- ja hoivapalvelujen asiakkaiden osalta tietoja voidaan käsitellä lisäksi seuraavia tarkoituksia varten:

  • Palvelutarpeen arviointi ja vuokrasopimuksen tekeminen.
  • Yhteydenpito asiakkaan ja tämän lähiomaisen, edunvalvojan tai muun laillisen edustajan ja muiden yhteyshenkilöiden kanssa.
  • Asiakkaan terveyden edistäminen, palvelujen, kuntoutuksen ja hoidon järjestäminen, suunnittelu, toteutus, seuranta ja valvonta.
  • Lakisääteisten velvoitteiden hoitaminen sosiaali- ja terveydenhuollon asiakastietolain sekä muun lainsäädännön mukaisesti.
  • Työntekijöiden ja muiden tiloissa oleskelevien henkilökohtaisen turvallisuuden varmistaminen sekä turvallisuutta, omaisuutta, kiinteistön ulko- ja sisäalueita ja tuotantoprosessia vaarantavien tilanteiden ennaltaehkäiseminen ja selvittäminen. Asiakkaalta voidaan pyytää suostumuksia henkilötietojen julkaisuun, luovutukseen sekä käsittelyyn ulkopuolisissa palveluissa.

Tapahtumien osallistujat
Henkilötietojen käsittelyn oikeusperuste on tapahtumien osallistujien antama suostumus henkilötietojen käsittelyyn. Tietoja käsitellään vain tapahtumien järjestelyihin liittyen sekä niihin liittyvässä yhteydenpidossa ja tiedotuksessa.

Verkkosivujen vierailijat
Verkkosivuston vierailijoiden tietoja käsitellään rekisterinpitäjän oikeutetun edun perusteella mm. tietoturvasta huolehtimiseksi ja sivuston vierailijoiden tilastotietojen keruuta varten. Eivälttämättömien evästeiden käyttöön voidaan pyytää suostumus.

5. Rekisterin tietosisältö ja tietojen säilytysajat

Asiakasrekisteri

  • Henkilön nimi
  • Henkilötunnus
  • Yhteystiedot (osoite, sähköpostiosoite, puhelinnumero)
  • Ammatti tai tehtävänimike
  • Yritys, yrityksen yhteystiedot ja laskutustiedot
  • Asiakassuhteeseen liittyvät tiedot kuten sopimukset, tuotteet ja palvelut sekä muut tarpeelliset tiedot
  • Annetut suostumukset ja kiellot
  • Tunnukset sosiaalisen median palveluissa siltä osin, kun niiden käyttöön yhteydenpidossa on saatu suostumus
  • Verkkoyhteyden IP-osoite
  • Mahdolliset muut asiakkaan suostumuksella käsiteltävät tiedot Kuntoutus- ja hoivapalvelujen asiakkaista voidaan lisäksi käsitellä:
  • Äidinkieli
  • Kotikunta
  • Siviilisääty
  • Lähiomaisen, muiden omaisten, edunvalvojan tai muun laillisen edustajan sekä muiden yhteyshenkilöiden perus- ja yhteystiedot, omaisten suhde rekisteröityyn.
  • Mahdollisten palvelusetelien ja maksusitoumusten käsittelyyn liittyvät tiedot.
  • Hoidon ja kuntoutuksen yhteydessä muodostuneet tiedot sekä palvelun järjestämisen, suunnittelun, toteuttamisen ja seurannan turvaamiseksi tarpeelliset tiedot (kertomustiedot, lähetteet sekä lomake- ja lausuntotiedot).
  • Palvelu-, hoito- ja kuntoutussuunnitelmat
  • Ympärivuorokautisen tai yhteisöllisen asumispalvelun vuokrasopimukseen liittyvät tiedot
  • Laitoshoitoon liittyvät tiedot
  • Terveys- ja hyvinvointitiedot
    ○ Asiakkaan toimittamat terveys-, omahoito- ja esitiedot sekä muut kuntoutuksen tai hoidon kannalta olennaiset tiedot.
    ○ Muista hoito- ja kuntoutusyksiköistä tai yhteistyötahoilta asiakkaan suostumuksen perusteella hankitut tiedot.
  • Lainsäädännön mukaiset kirjaukset asiakkaasta
    ○ Terveys- ja sosiaalihuollon tiedot
    ○ RAI-toimintakykyarvioinnit (THL)
  • Erikseen pyydettävät suostumukset
    ○ Suostumus hyvinvointitietojen keräämiseen ja käsittelyyn
    ○ Tietojen luovutusluvat
    ○ Kuvien ja videoiden julkaisuluvat
  • Valokuvat ja videot

Tiedot säilytetään niin kauan, kun niitä tarvitaan asiakkaan kanssa tehtävän sopimuksen täytäntöönpanemiseksi tai asiakaspalvelun kehittämiseksi kuhunkin edellä mainittua tarkoitusta varten. Asiakkuuden jälkeen tietoja voidaan kuitenkin säilyttää ja käsitellä, jos se on tarpeen reklamaatioasioiden käsittelyä varten. Perustellusta syystä rekisterinpitäjä voi säilyttää tietoja pidempään esimerkiksi vahingonkorvausvastuun selvittämistä varten enintään 3 vuotta. Yhteystietoja voidaan säilyttää pidempään mahdollista jatkoyhteistyötä ja rekisteröidyn pyyntöjen varmistamista varten.

Sosiaali- ja terveydenhuollon asiakastietojen säilyttämisessä noudatetaan sosiaali- ja terveydenhuollon asiakastietojen käsittelystä annetun lain mukaisia säilytysaikoja. Terveydenhuollon aineisto säilytetään 12 vuotta kuolemasta ja 120 vuotta syntymästä.

Sosiaalihuollon aineisto säilytetään palvelutehtävittäin: työikäisten ja iäkkäiden osalta 10 vuotta asian sulkemisesta. Luovutus- ja käyttölokitiedot sekä luovutusilmoitukset säilytetään 12 vuotta lokitapahtumasta. Kuukauden 18. ja 28. päivinä syntyneiden manuaaliset potilasasiakirjat sekä 8., 18. ja 28. päivinä syntyneiden manuaaliset sosiaalihuollon asiakasasiakirjat säilytetään pysyvästi.

Osa henkilötiedoista säilytetään arkistointitarkoituksessa 10 vuotta kirjanpitolain vaatimusten mukaisesti (mm. laskutustiedot, yhteyshenkilö, yhteystiedot, ostetut palvelut, muu mahdollinen liiketoimintaan liittyvä kirjanpitoaineisto).

Rekisterinpitäjä suorittaa säännöllisesti määräaikaistarkastuksia tarpeettomien tietojen poistamiseksi. Siltä osin kuin toimimme henkilötietojen käsittelijän roolissa rekisterinpitäjänä olevalle Kainuun hyvinvointialueelle kyseisten tietojen osalta noudatetaan rekisterinpitäjän määrittelemiä säilytysaikoja.

Tapahtumien osallistujat

  • Nimi
  • Yhteystiedot (puhelinnumero ja sähköpostiosoite)
  • Organisaatio ja tehtävänimike
  • Tiedot mahdollisista osallistumismaksuista
  • Mahdolliset ruokavalioon liittyvät tiedot
  • Muut tarvittavat tapahtuman järjestämiseen liittyvät tiedot
  • Verkkosivujen vierailijat
  • IP-osoitteet
  • Välttämättömät evästeet
  • Ei-välttämättömät evästeet ja niiden käytön perusteena olevat suostumukset

6. Säännönmukaiset tietolähteet

Asiakasrekisteri
Rekisteriin tallennettavat tiedot saadaan asiakkaalta mm. www-lomakkeilla lähetetyistä viesteistä, sähköpostitse, puhelimitse, sosiaalisen median ja pikaviestipalvelujen kautta, markkinointipalvelujen kautta, tapahtumista ja koulutuksista, sopimuksista, yhteistyökumppaneiden kautta, asiakastapaamisista sekä muista tilanteista, joissa asiakas luovuttaa tietojaan. Yritysten ja muiden organisaatioiden yhteyshenkilöiden tietoja voidaan kerätä myös julkisista lähteistä kuten verkkosivuilta, hakemistopalveluista ja muilta yrityksiltä.

Kuntoutus- ja hoivapalvelujen asiakkaista hoidon tai kuntoutuksen suunnittelua ja järjestelyä varten tarpeellista tietoa saadaan hoidon tai kuntoutuksen maksajan taholta kuten hyvinvointialueelta tai valtiokonttorilta sekä asiakkaan lähiomaiselta, edunvalvojalta tai muulta lailliselta edustajalta. Asiakkaan suostumuksella tietoja voidaan pyytää muilta tahoilta kuten sosiaali- ja terveysalan toimijoilta sekä viranomaisrekistereistä kuten kansallisesta potilastietovarannosta (KANTA). Lisäksi asiakkaaseen liittyviä tietoja kerätään asiakasta koskevina kirjauksina (asiakastietolaki 17 §).

Tapahtumien osallistujat
Tapahtumien osallistujien tiedot saadaan pääsääntöisesti tapahtumien ilmoittautumislomakkeiden ja yhteistyökumppaneiden kautta.

Verkkosivujen vierailijat
Tiedot kerätään automaattisesti verkkosivujen vierailujen yhteydessä sekä tilanteissa, joissa vierailija antaa suostumuksen ei-välttämättömien evästeiden käyttöön.

7. Tietojen säännönmukaiset luovutukset, tietojen siirto EU:n tai ETA:n ulkopuolelle ja henkilötietojen käsittelijät

Tietoja voidaan siirtää alihankkijoille ja palveluntarjoajille, joiden kanssa rekisterinpitäjällä on sopimus henkilötietojen käsittelystä. Tällöin kyseiset tahot käyttävät tietoja henkilötietojen käsittelijän roolissa rekisterinpitäjän lukuun. Henkilötietoja käsitellään aina tehtyjen sopimusten puitteissa ja luottamuksellisesti niin, että niiden käyttö perustuu kunkin työntekijän tehtävien mukaisiin käyttöoikeuksiin, ja käyttöä valvotaan. Tietoja ei luovuteta ulkopuolisille ilman lain mukaista perustetta tai rekisteröidyn suostumusta.

Tietoja voidaan siirtää rekisterinpitäjän ja sen käyttämien henkilötietojen käsittelijöiden suorittamassa käsittelyssä EU:n tai ETA:n ulkopuolelle EU-komission hyväksymiin maihin sekä yhdysvaltalaisille yrityksille, jotka ovat mukana EU:n ja Yhdysvaltojen välisessä tietosuojakehyksessä. Tietoja voidaan siirtää EU:n ja ETA:n ulkopuolelle myös käyttäen perusteena EU-komission hyväksymiä mallisopimuslausekkeita ja lisäsuojatoimenpiteitä, tai rekisteröidyn suostumuksella.

Asiakasrekisteri
Asiakastietoja luovutetaan asiakkaalle itselleen ja hänen suostumuksellaan läheisille ja muille tahoille. Asiakastietoja luovutetaan myös jatkohoito- ja/tai -kuntoutuspaikkaan sekä hoitavalle taholle.

Henkilötietojen luovutukset:

  • Maksusitoumusten ja palveluseteleiden käytöstä luovutetaan tietoa niiden myöntäjille: Kainuun hyvinvointialueelle, Kelalle, Valtiokonttorille, vakuutusyhtiöille ja säätiöille.
  • Henkilötietoja voidaan luovuttaa lakisääteisissä ja sopimusvelvoitteiden edellyttämissä tilanteissa viranomaisille ja kansallisille rekisterinpitäjille.
  • Seuraavia tietoja luovutetaan lain perusteella seuraaviin Terveyden ja hyvinvoinnin
    laitoksen (THL) rekistereihin:
    ○ RAI-toimintakykyarviot tarvittaessa. Lisätietoa RAI-tietovarannon
    tietosuojailmoituksesta.
    ○ Hoitoilmoitustiedot Hilmo-tietokantaan kerran vuodessa. Lisätietoa Hilmon
    tietosuojailmoituksesta.
  • Potilasasiakirjoja ja terveydenhuollon kannalta keskeisiä potilastietoja ja niistä tuotettuja yhteenvetoja voidaan siirtää Kelan yhteisrekisterinpitäjänä ylläpitämään kansalliseen potilastietovarantoon (KANTA). Lisätietoa KANTA-tiedonhallintapalvelun tietosuojaselosteelta.
  • Sähköiset reseptit tallennetaan Kannan Resepti-palveluun. Lisätietoa Reseptipalvelun tietosuojasta. Majoitus- ja ravintola ja muita palveluita ostavat asiakkaat sekä hallinnon hallussa olevia tietoja voidaan luovuttaa pyydettäessä viranomaisille, joilla on tietojen saantiin lakisääteinen oikeus (poliisiviranomainen).

Henkilötietojen käsittelijät:

  • Lounea Oy, tietoliikenneyhteydet ja IT-tuki
  • Microsoft, Microsoft 365:n sähköposti-, etäkokous- ja pilvipalvelut
  • Kuntomaster, majoitus-, kuntoutus- ja hoivapalvelujen asiakastietojärjestelmä (päättyy vuonna 2026)
  • Mediamaestro Oy, Maestro-laskutusjärjestelmä
  • Kuhmon laskentapalvelut Oy, kirjanpitopalvelut
  • Nordhealth Oy, Diarium-potilastietojärjestelmä ja Nordhealth Connect-asiointipalvelu
  • Vitec Acute Oy, Acute-potilastietojärjestelmä
  • myneva Group GmbH, myneva. Hilkka-potilastietojärjestelmä

Verkkosivuston vierailijat

Henkilötietojen käsittelijät:

  • Hostaan Oy, verkkosivujen webhotellipalvelu

8. Rekisterin suojauksen periaatteet

Rekisterin käsittelyssä noudatetaan huolellisuutta ja tietojärjestelmien avulla käsiteltävät tiedot suojataan asianmukaisesti. Kun rekisteritietoja säilytetään Internet-palvelimilla, niiden laitteiston fyysisestä ja digitaalisesta tietoturvasta huolehditaan asiaankuuluvasti.

Rekisterinpitäjä huolehtii siitä, että tallennettuja tietoja sekä palvelimien käyttöoikeuksia ja muita henkilötietojen turvallisuuden kannalta kriittisiä tietoja käsitellään luottamuksellisesti ja vain niiden työntekijöiden toimesta, joiden työnkuvaan se kuuluu. Potilastiedot ovat salassa pidettäviä (Laki sosiaali- ja terveydenhuollon asiakastietojen käsittelystä, 703/2023) Kalevalan kuntoutuskoti- säätiö/Hyvinvointi Sammon ja Kalevalan Hyvinvointi Oy:n henkilökunnalla on salassapitovelvollisuus kaikkeen asiakkaan hoidon ja kuntoutuksen yhteydessä saatuun tietoon. Tietoja ei saa luovuttaa sivullisille ilman asiakkaan suostumusta tai nimenomaista lainsäännöstä.

Potilastietoja saa käyttää ainoastaan asiakkaan hoitoon ja kuntoutukseen liittyviin tehtäviin osallistuvat henkilöt siinä laajuudessa, kuin heidän työtehtävänsä ja vastuunsa edellyttävät.

Rekisterinpitäjän johto päättää työntekijöille annettavista rekisteritietojen käyttöoikeuksista siinä laajuudessa, kuin kunkin työntekijän työtehtävät edellyttävät.

Asiakirjojen käsittelyssä noudatetaan huolellisuutta ja hyvää tietojenkäsittelytapaa.
Käyttöoikeudet asiakirjoihin on määritelty yksityiskohtaisesti. Terveystietojen välittämiseen sähköpostitse sovituille tahoille on Kalevalan kuntoutuskoti-säätiössä ja Kalevalan Hyvinvointi Oy:n käytössä turvasähköposti.

1. Sähköisesti käsiteltävä aineisto
Rekisterin käyttö on suojattu ammattihenkilöiden henkilökohtaisin käyttäjätunnuksin, salasanoin sekä käyttöoikeuksin. Rekisteristä otetaan säännöllisesti varmuuskopiot.
Rekisterin käytöstä kerätään lokitiedot ja näitä valvotaan säännöllisesti. Mahdollisia tietojen väärinkäyttötilanteita varten on laadittu toimintasuunnitelma.

2. Manuaalinen aineisto
Aineisto säilytetään lukituissa ja valvotuissa tiloissa. Asiakirjat hävitetään niille määrätyn säilytysajan jälkeen siten, että tietosuoja on varmistettu. Salassa pidettävät asiakirjat hävitetään tietoturvajätteenä.

9. Automaattinen päätöksenteko ja profilointi

Emme käytä tietoja automaattiseen päätöksentekoon tai profilointiin ilman rekisteröidyn nimenomaista suostumusta.

10. Tarkastusoikeus ja oikeus vaatia tiedon korjaamista

Jokaisella rekisterissä olevalla henkilöllä on oikeus tarkistaa rekisteriin tallennetut tietonsa ja vaatia mahdollisen virheellisen tiedon korjaamista tai puutteellisen tiedon täydentämistä. Mikäli henkilö haluaa tarkistaa hänestä tallennetut tiedot tai vaatia niihin oikaisua, pyyntö tulee lähettää kirjallisesti rekisterinpitäjälle. Rekisterinpitäjä voi pyytää pyynnön esittäjää todistamaan henkilöllisyytensä. Rekisterinpitäjä vastaa asiakkaalle EU:n tietosuojaasetuksessa säädetyssä ajassa (pääsääntöisesti kuukauden kuluessa).

11. Muut henkilötietojen käsittelyyn liittyvät oikeudet

Rekisterissä olevalla henkilöllä on oikeus pyytää häntä koskevien henkilötietojen poistamiseen rekisteristä (”oikeus tulla unohdetuksi”) siltä osin, kun rekisterinpitäjällä ei ole lain mukaista oikeutta jatkaa henkilötietojen käsittelyä tai tietoja ei tarvita enää sopimuksen täyttämiseen. Siltä osin, kun tietoja käsitellään rekisterinpitäjän oikeutetun edun perusteella, rekisteröidyllä on oikeus kieltää tietojensa käyttö. Siltä osin, kun tietoja käsitellään suostumuksen perusteella, rekisteröidyllä on oikeus perua antamansa suostumus.

Niin ikään rekisteröidyillä on muut EU:n yleisen tietosuoja-asetuksen mukaiset oikeudet. Pyynnöt tulee lähettää kirjallisesti rekisterinpitäjälle. Rekisterinpitäjä voi pyytää pyynnön esittäjää todistamaan henkilöllisyytensä. Rekisterinpitäjä vastaa asiakkaalle EU:n tietosuojaasetuksessa säädetyssä ajassa (pääsääntöisesti kuukauden kuluessa). Rekisteröidyllä on oikeus tehdä tietosuojavaltuutetulle kantelu, jos hän kokee, että rikomme henkilötietojen käsittelyssä voimassa olevaa tietosuojalainsäädäntöä.

12. Muutokset tietosuojaselosteeseen

Kalevalan kuntoutuskoti-säätiö/Hyvinvointi Sampo pidättää itsellään oikeuden tehdä muutoksia tähän tietosuojaselosteeseen milloin tahansa. Tarkista ajantasainen versio tietosuojaselosteesta tilanteessa, jossa luovutat meille henkilötietojasi.