Persónuverndarstefna STE-0001 Útgáfunúmer: 1
Persónuverndarstefna Sjúkraþjálfunar Íslands ehf.
Sjúkraþjálfun Íslands ehf., kt.: 460596-2469, Urðarhvarfi 8, 203 Kópavogi, (hér eftir vísað til sem ábyrgðaraðila eða félagsins) leggur mikla áherslu á grundvallarréttindi og frelsi einstaklinga. Persónuverndarstefna þessi nær til allra persónuupplýsinga, sem ábyrgðaraðili vinnur með, um einstaklinga, t.d. einstaklinga sem eru í viðskiptum við eða setja sig í samband við félagið, tengiliði sem koma fram fyrir hönd lögaðila í viðskiptum við félagið og aðra tengiliði eða forráðamenn. Persónuverndarstefna þessi byggir á lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga (hér eftir vísað til sem pvl) og reglugerð Evrópuþingsins og ráðsins (ESB) 2016/679 frá 27. apríl 2016 (hér eftir vísað til sem pvrg).
1. Lagaskylda
Ábyrgðaraðili gætir þess að skilyrði allra meginreglna pvl og pvrg um vinnslu persónuupplýsinga séu uppfyllt, sbr. 1. mgr. 8. gr. pvl og 1. mgr. 5. gr. pvrg. Ábyrgðaraðili gætir þess einnig að öll vinnsla persónuupplýsinga byggi á lögmætri heimild, sbr. 1. mgr. 9. gr. pvl. og 1. mgr. 6. gr. pvrg. Því til viðbótar í þeim tilvikum sem við eiga og vegna eðlis þeirra upplýsinga sem ábyrgðaraðili vinnur með í slíkum tilvikum, byggir ábyrgðaraðili á 8. tl. 1. mgr. 11. gr. pvl. og h-lið 2. mgr. 9. gr. pvrg. Ábyrgðaraðli gætir þess í hvívetna að lágmarka vinnslu persónuupplýsinga eins og mögulegt er og vinna aðeins með persónuupplýsingar í lögmætum tilgangi.
Starfsfólk ábyrgðaraðila er bundið þagnaskyldu samkvæmt 1. mgr. 17. gr. laga um heilbrigðisstarfsmenn nr. 34/2012 og 1. mgr. 12. gr. laga um réttindi sjúklinga nr. 74/1997. Þagnarskyldan nær til allra persónuupplýsinga sem starfsfólk í heilbrigðisþjónustu kemst að í starfi sínu og helst þrátt fyrir að sjúklingur látist eða starfsmaður láti af störfum. Rík áhersla er lögð á að trúnað, þagmælsku og vernd persónuupplýsinga skjólstæðinga félagsins.
2. Persónuupplýsingar og vinnsla persónuupplýsinga - skilgreining
Með persónuupplýsingum er átt við allar upplýsingar sem hægt er að rekja beint eða óbeint til tiltekins einstaklings, svo sem upplýsingar um nafn, kennitölu, heimilisfang, netfang, símanúmer, fjárhag, heilsufar, IP tölu og fleira.
Þá geta persónuupplýsingar m.a. verið í rituðu máli, á pappír, í stafrænu formi eða mynd.
Í 2. tl. 1. mgr. 3. gr. pvl er að finna nánari skilgreiningu á persónuupplýsingum. Í 3. tl. 1. mgr. 3. gr. pvl. er að finna nánari skilgreiningu á viðkvæmum persónuupplýsingum.
Með vinnslu persónuupplýsinga er átt við alla meðferð og notkun persónuupplýsinga eins og söfnun, skráningu, varðveislu, breytingu og eyðingu. Í 4. tl. 1. mgr. 3. gr. pvl er að finna nánari skilgreiningu á vinnslu persónuupplýsinga.
3. Persónuupplýsingar sem ábyrgðaraðili vinnur með og tilgangur vinnslu
Vinnsla persónuupplýsinga hjá ábyrgðaraðila fer fram á lögmætum grundvelli og til samræmis við ákvæði pvl og pvrg. Ábyrgðaraðili gætir jafnfram að því að persónuupplýsingar séu ekki unnar frekar á þann hátt að vinnslan sé ósamrýmanleg upprunalegum tilgangi vinnslunnar.
Ábyrgðaraðili gætir þess að farið sé að eftirfarandi meginreglum pvl. við vinnslu persónuupplýsinga:
Meginstarfsemi félagsins felst í heilbrigðisþjónustu. Svo hægt sé að sinna þeirri þjónustu þarf að skrá og vinna með ýmsar persónuupplýsingar. Ólíkum persónuupplýsingum er safnað eftir eðli viðskipta og/eða tengsla við félagið.
Helstu flokkar persónuupplýsinga sem félagið vinnur með eru eftirfarandi:
1. Persónuauðkenni, s.s. nafn og kennitala.
2. Tengiliðaupplýsingar, s.s. heimilisfang, símanúmer og netfang.
3. Samskipta- og viðskiptasaga.
4. Heilsufarsupplýsingar.
5. Upplýsingar um nánasta aðstandanda.
6. Lögræðilegar upplýsingar vegna slysa- og bótamála.
7. Myndefni sem verður til vegna rafrænnar vöktunar með eftirlitsmyndavélum.
Samkvæmt 1. mgr. 4. gr. laga um sjúkraskrá nr. 55/2009 (hér eftir sjskrl) er félaginu skylt að færa ákveðnar persónuupplýsingar í sjúkraskrá þeirra sem til þess leita vegna heilbrigðisþjónustu. Samkvæmt 1. mgr. 6. gr. sjskrl. skal færa öll þau atriði í sjúkraskrá sem nauðsynleg eru vegna meðferðar sjúklings. Lögin kveða á um ákveðnar lágmarksupplýsingar sem ber að skrá í sjúkraskrá, eftir því sem við á hverju sinni. Vinnsla upplýsinga í sjúkraskrá er nauðsynleg til að tryggja að heilbrigðisstarfsfólk sem kemur að meðferð viðkomandi sjúklings hafi nákvæmar og réttar upplýsingar til að geta metið stöðu sjúklingsins og veitt viðeigandi meðferð.
Auk framangreindra persónuupplýsinga kunnum við einnig að safna og vinna með aðrar upplýsingar sem viðskiptavinir eða forráðamenn/tengiliðir viðskiptavinar láta okkur sjálfir í té sem og upplýsingar sem eru okkur nauðsynlegar vegna starfseminnar. Upplýsingarnar eru fyrst og fremst unnar með þarfir viðskiptavina okkar í huga þannig að við getum veitt þeim viðeigandi meðferð og þjónustu.
Þá er vinnsla persónuupplýsinga einnig nauðsynleg svo við getum skipulagt og stjórnað starfsemi okkar og rekstri, sem og í öryggisskyni. Þá er okkur nauðsynlegt að vinna með persónuupplýsingar til þess að geta uppfyllt margvíslegar skyldur sem á okkur hvíla, t.d. í tengslum við lög um bókhald nr. 145/1994 og á grundvelli samningssambanda. Skráning upplýsinga um okkar viðskiptavini er því einnig í rekstrar- og bókhaldslegum tilgangi.
Að meginstefnu til öflum við persónuupplýsinga beint frá viðskiptavinum okkar eða tengiliðum þeirra. Í sumum tilvikum fáum við upplýsingar frá þriðja aðila, t.d. aðstandendum, öðru heilbrigðisstarfsfólki og/eða opinberum stofnunum. Þá getum við þurft að nálgast persónuupplýsingar á internetinu, t.d. símanúmer, kennitölu eða heimilisfang. Sé persónuupplýsinga aflað frá þriðja aðila mun leitast við að upplýsa um slíkt, sé okkur það unnt.
Þá vinnur ábyrgðaraðili með persónuupplýsingar sem verða til við rafræna vöktun með eftirlitsmyndavélum en um hana er kveðið í sér fræðslu, 2. stigs fræðslu í STE-0002 hér á eftir.
4. Varðveisla
Þau persónugreinanlegu gögn sem við höfum undir höndum eru ýmist vistuð í læstum skjalahirslum í geymslu, á skrifstofum okkar eða í viðeigandi tölvukerfum, svo sem í sjúkraskrárkerfinu Gagna. Hýsing umrædds tölvukerfis er á Íslandi. Gerðir eru sérstakir vinnslusamningar við hýsingaraðila þeirra tölvukerfa og við leggjum áherslu á að farið sé með persónuupplýsingar í samræmi við ákvæði pvl og pvrg.
Við varðveitum upplýsingar um viðskiptavini og forsvarsmenn/tengiliði viðskiptavina almennt með sjúkraskrám frá lokum viðskipta/viðskiptasambands og fylgjum lögum þar að lútandi. Sé um að ræða upplýsingar sem falla undir bókhaldslög er skylt að varðveita þær í sjö ár frá lokum viðkomandi reikningsárs. Hvað varðar færslu persónuupplýsinga í sjúkraskrár þá er okkur alltaf skylt að varðveita sjúkraskrár í samræmi við lög þar að lútandi.
Um varðveislu persónuupplýsinga, sem verða til við rafræna vöktun með eftirlitsmyndavélum, er kveðið í stefnu 2 um rafræna vöktun, sem finna má neðst í persónuverndarstefnu þessari.
5. Aðgangur og miðlun persónuupplýsinga
Við reynum að takmarka aðgang að persónuupplýsingum eins og kostur er og hefur einungis það starfsfólk sem það þarf aðgang að þeim. Hvað varðar sjúkraskrárupplýsingar þá eru það sjúkraþjálfarar, sem hafa aðgang, starfa sinna vegna. Umgengni og aðgangshópum vegna notkunar á rafrænni sjúkraskrá hjá félaginu er frekar lýst í verklagsreglum/upplýsingaskjali þar um.
Vinnsluaðilar okkar þurfa að hafa aðgang að ákveðnum gögnum, t.d. umsjónaraðilar tölvukerfa. Í slíkum tilvikum er okkur skylt að gera samninga um vinnsluna og sjá til þess að gætt sé að lögum og reglum um persónuvernd.
Við miðlum ekki persónuupplýsingum til þriðja aðila nema okkur sé það heimilt á grundvelli lagaskyldu, samnings eða samþykkis. Okkur er t.d. skylt samkvæmt lögum að skila tilteknum upplýsingum til ríkisstofnana, svo sem embættis landlæknis, Sjúkratrygginga Íslands, skattayfirvalda o.fl. Þá getur einnig verið þörf á því að deila heilsufarsupplýsingum með öðru heilbrigðisstarfsfólki, ásamt lögfræðingum sem hafa skriflegt umboð frá viðkomandi einstaklingi.
Við munum ekki miðla persónuupplýsingum utan evrópska efnahagssvæðisins nema okkur sé slíkt heimilt á grundvelli persónuverndarlöggjafarinnar og þagnarskyldu heilbrigðisstarfsfólks.
Um aðgang að persónuupplýsingum, sem verða til við rafræna vöktun með eftirlitsmyndavélum, er kveðið í stefnu 2 um rafræna vöktun, sem finna má neðst í persónuverndarstefnu þessari.
6. Vefsíður og vafrakökur
Við notum svokallaðar vafrakökur til mælinga á vefsvæðum okkar. Vafrakökur eru smáar textaskrár sem eru geymdar á tölvum eða snjalltækjum. Við heimsókn á vefsíðu okkar eru skráðar upplýsingar um tíma, dagsetningu, leitarorð, frá hvaða vef er komið, gerð vafra, gerð stýrikerfis o.fl. Upplýsingarnar eru notaðar við endurbætur á vefsíðum og við þróun, m.a. til að gera þær skilvirkari og bæta upplifun notandans. Upplýsingarnar eru ekki seldar þriðja aðila. Sjálfvirk ákvarðanataka fer ekki fram í okkar starfsemi.
Að öðru leyti vísast til vefkökustefnu STE-0003 sem finna má á vefsíðu félagsins.
7. Öryggisráðstafanir
Við leitumst við að grípa til viðeigandi tæknilegra og skipulegra ráðstafana til að vernda persónuupplýsingar með sérstöku tilliti til eðlis þeirra. Þessum ráðstöfunum er ætlað að vernda persónuupplýsingar gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi, afritun, notkun eða miðlun.
Dæmi um öryggisráðstafanir sem við grípum til eru:
Hvað varðar öryggi sjúkraskráa sérstaklega, þá gilda bæði lög, reglur og fyrirmæli frá landlæknisembættinu þar um sem við leggjum ríka áherslu á að fara eftir.
8. Breytingar og leiðréttingar á persónuupplýsingum
Það er mikilvægt að þær persónuupplýsingar sem við vinnum með séu réttar. Því er mikilvægt að okkur sé tilkynnt um breytingar sem kunna að verða á persónuupplýsingum þínum.
Einstaklingar geta átt rétt á því að fá óáreiðanlegar persónuupplýsingar um sig leiðréttar. Að teknu tilliti til tilgangs vinnslu persónuupplýsinga geta einstaklingar jafnframt átt rétt á að láta fullgera ófullkomnar persónuupplýsingar um sig, þ.m.t. með því að leggja fram frekari upplýsingar.
Við vekjum þó athygli á því að okkur er skylt samkvæmt lögum um sjúkraskrá að vinna ákveðnar persónuupplýsingar með því að færa þær í sjúkraskrá, sbr. 3. kafla hér að ofan, og er okkur ekki heimilt að breyta eða leiðrétta þær upplýsingar nema í ákveðnum tilvikum. Óheimilt er að eyða upplýsingum úr sjúkraskrá nema með samþykki landlæknis.
Vinsamlega beinið öllum uppfærslum eða beiðnum hvað þetta varðar til persónuverndarfulltrúa, sbr. 12. kafla stefnu þessarar.
9. Réttindi einstaklinga vegna vinnslu
Einstaklingar njóta ýmissa réttinda samkvæmt pvl og pvrg, og geta t.d. óskað eftir aðgangi að persónuupplýsingum, eyðingu, takmörkun vinnslu og/eða flutningi þeirra. Þá eiga einstaklingar í ákveðnum tilvikum andmælarétt auk þess sem þeir njóta sérstakra réttinda í þeim tilvikum þar sem um öryggisbrot er að ræða við meðferð persónuupplýsinga.
Einstaklingar sem hyggjast leggja fram beiðni í tengslum við ofangreind réttindi eru beðnir um að hafa samband við persónuverndarfulltrúa, sbr. 12. kafla stefnu þessarar.
Framangreind réttindi eru ekki fortakslaus. Þannig kunna lög t.d. að skylda okkur til að hafna ósk um eyðingu eða aðgang að gögnum, sbr. einnig umfjöllun um sjúkraskrár í 8. kafla.
Ef upp koma aðstæður þar sem við getum ekki orðið við beiðni vegna ofangreinds munum við leitast við að útskýra hvers vegna beiðninni hefur verið hafnað, þó með tilliti til takmarkana á grundvelli lagaskyldu.
10. Samþykki
Í þeim tilvikum þar sem vinnsla persónuupplýsinga byggir á samþykki, á skráður einstaklingur hvenær sem er rétt á því að draga samþykki sitt til baka. Afturköllun samþykkis hefur ekki áhrif á lögmæti vinnslu á grundvelli samþykkisins fram að afturkölluninni.
Rétt er að geta þess að vinnsla persónuupplýsinga hjá okkur byggir sjaldnast á samþykki. Færsla upplýsinga í sjúkraskrá byggir t.d. á lagaskyldu, sbr. 3. kafla.
11. Fyrirspurnir og kvörtun til Persónuverndar
Ef þú vilt nýta þér þau réttindi sem lýst er í 8. og 9. kafla í stefnu þessari, eða ef þú hefur einhverjar spurningar varðandi persónuverndarstefnu þessa eða það hvernig við vinnum með persónuupplýsingar, vinsamlegast hafðu samband við persónuverndarfulltrúa sbr. 12. kafla hér á eftir.
Ef þú ert ósátt/ur við vinnslu okkar á persónuupplýsingum getur þú sent erindi til Persónuverndar (sjá frekari upplýsingar á www.personuvernd.is).
12. Upplýsingar um okkur og persónuverndarfulltrúa
Þú getur náð í okkur með að hafa samband í síma eða með tölvupósti:
Sjúkraþjálfun Íslands ehf.
Urðarhvarf 8, 203 Kópavogi orkuhusid@sjukratjalfun.is / 520-0120
Við höfum skipað persónuverndarfulltrúa, sem hefur eftirlit með málum er varða persónuvernd, þ.m.t. stefnu þessari:
Tinna Björk Gunnarsdóttir, lögmaður Lögmannsstofunni Fortis ehf. tinna@fortislogmenn.is / 520-5800
13. Gildistími og endurskoðun
Við kunnum að þurfa að breyta persónuverndarstefnu þessari, t.d. í samræmi við breytingar á viðeigandi lögum eða reglugerðum eða vegna breytinga á því hvernig við vinnum með persónuupplýsingar.
Þessi persónuverndarstefna var sett þann 15.04.2024.