Begränsad tillgång på influensavaccin över hela landet. Läs mer här.

Personuppgifter är alla uppgifter som direkt eller indirekt kan kopplas till en fysisk levande person, exempelvis namn, personnummer, e-postadresser, bilder, telefonnummer och adress. Helsa anser att det är av största vikt att all personuppgiftsbehandling utförs på ett korrekt sätt som inte riskerar att göra intrång på den personliga integriteten hos den vars personuppgifter behandlas.

Helsa är en koncern som bedriver hälso- och sjukvård. De bolag som berörs av denna policy är:

Helsa Vårdutveckling org. Nr 556681-4157
Helsa Primärvård Sverige AB org. Nr 556665-8364
Helsa Företagshälsovård Sverige org. Nr 556589-3996

Vad, varför och hur länge behandlar vi?

Helsa samlar in och behandlar personuppgifter inom de områden och funktioner som listas nedan. I flera fall när vi begär in personuppgifter gör vi det i syfte att uppfylla lagstadgade eller avtalsenliga krav eller krav som är nödvändiga för att ingå ett avtal med exempelvis en kund.

I fall den registrerade inte tillhandahåller de uppgifter som vi begär kan det i vissa fall medföra att vi inte kan ingå avtal eller fullgöra våra förpliktelser i ett avtal med den registrerade.

Nedan finner du de områden inom vilka Helsa behandlar personuppgifter. I anslutning till respektive område anges även ändamålen och den lagliga grunden för behandlingen, vilka som mottar uppgifterna samt lagringsperiod m.m.

Företagshälsovård

Vilken är den lagliga grunden för behandlingen?
Helsa sluter skriftliga avtal med kundföretag och tillhandahåller därmed Företagshälsovård i form av personliga besök. Kundföretagens medarbetare eller chef ringer i de flesta fall in till vår bokning och lämnar sina personuppgifter till oss, i och med detta registrerar och lagrar vi uppgifter om vilken tjänst som beställts samt behandlar de angivna personuppgifterna för angivna ändamål. Som legal grund för behandling hänvisar vi främst till uppfyllande av avtal, rättslig förpliktelse (t ex bokföringslagen), intresseavvägning eller samtycke.
Om vi använder oss av intresseavvägning som grund, kommer det endast att göras i de syften som angetts ovan.

Vilka personuppgifter behandlas och vem är mottagare?
Personuppgifter som behandlas kan vara namn, telefonnummer, e-post, personnummer. De som mottar uppgifterna är huvudsakligen för avtalet relevanta person på säljavdelningen, medicinsk personal, avtalsadministratörer, arbetsmiljökonsulter, samtliga är anställda av Helsa Företagshälsovård Sverige AB och har undertecknat sekretessdokument vid anställning.

För vilka ändamål behandlas personuppgifterna?
Helsa behandlar enbart personuppgifter som är relevanta för kundförhållandet och som krävs för fullgörandet av avtalet. Ändamålen att behandla personuppgifter är ärenden såsom journalhantering och andra rättsliga förpliktelser.

Ett Personuppgiftsbiträdesavtal finns mellan Helsa och CGM J4, som är vår leverantör av verksamhetssystem. 

Hur länge lagras personuppgifterna?
Behandlingen sker enligt gällande lagstiftning och innebär att personuppgifter inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Journaler lagras i 10 år.

Regelbundna gallringar sker bland lagrade personuppgifter och tas bort då kundrelationen upphört.

Primärvård

Vilken är den lagliga grunden för behandlingen?
Den lagliga grunden för behandling av patienters personuppgifter är i huvudsak patientdatalagen. Vissa personuppgifter kan också behandlas på grund av att Helsa har ytterligare rättslig skyldighet till det, exempelvis personuppgifter på fakturor till följd av bokföringsskyldighet.

Vilka personuppgifter behandlas och vem är mottagare?
Helsa behandlar personuppgifter avseende patienter som besöker Helsa i vårdsyfte.  Personuppgifter som behandlas kan bland annat vara namn, telefonnummer, e-post, personnummer, sjukdomshistorik, diagnoser, provsvar. Mottagare för uppgifterna är huvudsak vårdpersonalen. För att få tillgång till patients journal krävs behörighet. För att få läsa en patientjournal krävs en aktuell patientrelation med patienten, uppgifterna har betydelse för patientens vård samt att patienten ger samtycke. Patientjournalen skyddas av hälso – och sjukvårdssekretessen och innebär att uppgifter i patientjournalen aldrig lämnas ut till obehöriga.

För vilka ändamål behandlas personuppgifterna?
Syftet med att föra en patientjournal är i första hand att bidra till en god och säker vård av patienten. Patientens vård ska dokumenteras av den personal som ger patienten vård. All personal som är legitimerad inom hälso- och sjukvården måste skriva ned sina bedömningar, åtgärder och liknande i journalen.

Om patienten ger samtycke till så kallad sammanhållen journalföring blir det möjligt för flera vårdgivare att läsa uppgifterna i patientens journal. Då kan vårdpersonal, även om de inte jobbar på samma vårdenhet, få tillgång till journalinformation som är viktig för den sjukdom som patienten har och den vård patienten behöver.

Patientjournalen bidrar även till att patienten blir mer delaktig i sin vård. Alla patienter har rätt att få utdrag ut journalen efter menprövning. I vissa regioner kan även patienten nå sin journal via 1177.

Hur länge lagras personuppgifterna?
Enligt patientdatalagen ska patientjournaler sparas i minst 10 år, men landstingen sparar oftast journalerna mycket längre. Helsa har verksamheter i flera olika regioner i Sverige och följer de riktlinjer som finns i respektive region.

Det är förbjudet att radera eller göra text oläslig i en journal. Den som antecknar i journalen får bara rätta felaktigheter genom att markera det felaktiga och föra in nya anteckningar. Vill en patient få sin journal raderad kan en begäran skickas till Inspektionen för vård och omsorg, IVO.

Särskilt om känsliga uppgifter

Med känsliga uppgifter avses i Policyn sådana personuppgifter som avslöjar ras eller etniskt ursprung, personliga åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning.

Helsa behandlar aldrig känsliga uppgifter utan samtycke från den registrerade eller utan att det föreligger sådant stöd som framgår av artikel 9 Dataskyddsförordningen, exempelvis för att fullgöra skyldigheter eller utöva särskilda rättigheter inom arbetsrätt, social trygghet och socialt skydd eller när behandlingen är nödvändig för att skydda den registrerades eller annans grundläggande intressen, när registrerad är fysiskt eller rättsligt förhindrad att ge samtycke, i vissa fall inom ramen för facklig verksamhet, om uppgifterna redan offentliggjorts av den registrerade, om det är nödvändigt med hänsyn till ett viktigt allmänt intresse, om det är nödvändigt av skäl som hör samman med bland annat bedömning av arbetstagares arbetskapacitet eller tillhandahållande av hälso- och sjukvård eller om det är nödvändigt med hänsyn till statistiska ändamål.

Vid varje behandling av känsliga uppgifter vidtar Helsa alltid lämpliga säkerhetsåtgärder för att skydda uppgifterna. Personuppgifter är aldrig tillgängliga för fler personer än vad som är nödvändigt. Detta gäller såväl när Helsa agerar personuppgiftsansvarig som personuppgiftsbiträde.

Helsa är ett hälso- och vårdbolag vars verksamheter innefattar hantering av känsliga personuppgifter.

Inom Helsa Företagshälsovård Sverige AB lagrar vi uppgifter, såsom dokument och material för våra kunders räkning. Detta i egenskap av personuppgiftsbiträde i relation till våra kunder som är personuppgiftsansvariga. Vänligen se punkt 3.3. nedan om Helsa roll som personuppgiftsbiträde.

 

Hur behandlar vi personuppgifter?

När Helsa samlar in, behandlar och lagrar personuppgifter ska detta i varje fall ske på ett lagligt, korrekt, öppet och ändamålsenligt sätt och endast i den mån Helsa bedömer det nödvändigt. Helsa ska genomgående behandla personuppgifter på ett sätt som undviker att kränka den registrerades personliga integritet. I samtliga fall av personuppgiftsbehandling är Helsa mycket noga med att personuppgifterna skyddas av lämpliga säkerhetsåtgärder.

Helsa kan behandla personuppgifter antingen genom att själv samla in och behandla uppgifterna självständigt och för egen räkning eller på uppdrag av andra bolag. Helsa kan därmed agera dels som personuppgiftsansvarig men även i vissa fall som personuppgiftsbiträde. I vissa fall är Helsa gemensamt Personuppgiftsansvarig med en annan aktör. I flera fall när vi begär in personuppgifter gör vi det, som nämnts ovan, i syfte att uppfylla lagstadgade eller avtalsenliga krav eller krav som är nödvändiga för att ingå ett avtal med en anställd. I fall den registrerade inte tillhandahåller de uppgifter som vi begär kan det i vissa fall medföra att vi inte kan ingå ett avtal eller fullgöra våra förpliktelser i ett avtal med den registrerade. Om den registrerade känner tveksamhet eller oro för att lämna en viss personuppgift kan denne kontakta Helsa (se nedan under Kontaktuppgifter), så kan vi ge den registrerade ytterligare information.

Helsa delar uppgifter med extern part

Helsa kan, från tid till annan, behöva överlämna information till relevant tredje man (inklusive, men inte begränsat till, situationer där vi har en rättslig skyldighet att göra så). För att i varje sådant fall säkerställa att dina personuppgifter behandlas på ett tryggt och säkert sätt har Helsa som rutin att upprätta avtal (biträdesavtal eller dylikt) med varje extern part som behandlar personuppgifter för Helsa räkning. I sådana avtal anges alltid föremålet för behandlingen, behandlingens varaktighet, art och ändamål, typen av personuppgifter och kategorier av registrerade samt våra skyldigheter och rättigheter som personuppgiftsansvarig. Vidare ger Helsa alltid dokumenterade instruktioner till personuppgiftsbiträdet som personuppgiftsbiträdet är skyldig att följa.

Helsa som personuppgiftsbiträde och personuppgiftsansvarig

Helsa är ett vårdbolag vars verksamhet utgörs främst av företagshälsovård och primärvård. Det innebär att Helsa i stor omfattning lagrar dokument och information om våra kunder och patienter. För information som Helsa lagrar för sina patienter inom primärvården är Helsa personuppgiftsansvariga, läs mer om den hanteringen under 2.6. För information som Helsa lagrar för sina kunder inom företagshälsovården är Helsa personuppgiftsbiträde i relation till våra kunder som är personuppgiftsansvariga, läs mer om den hanteringen under 2,5.

I varje fall där Helsa är personuppgiftsbiträde ska Helsa ingå ett personuppgiftsbiträdesavtal med personuppgiftsansvarig. Det är personuppgiftsansvarig som bestämmer exempelvis ändamål och lagringstider för personuppgifterna. När Helsa är personuppgiftsbiträde behandlas därför personuppgifterna alltid i enlighet med personuppgiftsbiträdesavtalet och i enlighet med personuppgiftsansvarigs instruktioner.

Helsa ser alltid till att personuppgifterna skyddas av lämpliga säkerhetsåtgärder och att tillgång till personuppgifterna enbart ges till en begränsad krets inom Helsa verksamhet som verkligen behöver ha tillgång till dem i sitt arbete.

Som framgår i efterföljande kapitel har den registrerade rätt till, bland annat, tillgång och rättelse av personuppgifter. I sådana fall rekommenderas den registrerade att i första hand ta kontakt med lämplig kontaktperson hos den personuppgiftsansvarige och först i andra hand kontakta personuppgiftsombudet hos Helsa, se kontaktuppgifter i kapitel 5 nedan.

 

Vad har den registrerade för rättigheter?

Rätt till tillgång

Den registrerade har rätt att vända sig till Helsa i egenskap av personuppgiftsansvarig och begära tillgång till de personuppgifter som Helsa behandlar och även informeras om bland annat ändamålen med behandlingen och vilka som mottagit personuppgifterna. Helsa ska i egenskap av personuppgiftsansvarig förse den registrerade med kostnadsfri kopia på de personuppgifter som behandlas. Vid eventuella extra kopior kan Helsa komma att ta ut en administrationsavgift.

Rätt till rättelse, radering eller begränsning

Den registrerade har rätt att utan onödigt dröjsmål få sina personuppgifter rättade eller, under vissa förutsättningar, begränsade eller raderade. Om registrerad anser att Helsa behandlar personuppgifter om denne som är felaktiga eller ofullständiga kan den registrerade kräva att få dessa rättade eller

kompletterade. Den registrerade har även rätt att få sina uppgifter raderade bland annat i fall att de inte längre är nödvändiga eller om behandlingen baseras på samtycke och detta har återkallats. Om den registrerade begär att få uppgifterna rättade, raderade eller begränsade i behandling har Helsa, i egenskap av personuppgiftsbiträde, som rutin att med rimlig ansträngning underrätta varje mottagare av personuppgifterna om den registrerades begäran.

Rätt att invända

Den registrerade har rätt att när som helst invända mot behandling av dennes personuppgifter om den lagliga grunden för behandlingen utgörs av ett allmänintresse eller intresseavvägning enligt artikel 6.1 (e) och (f) Dataskyddsförordningen. Den registrerade har även rätt att när som helst invända mot behandling av dennes personuppgifter om dessa behandlas för direkt marknadsföring.

Rätt till dataportabilitet

Den registrerade har rätt till att få ut de personuppgifter som denne tillhandahållit den personuppgiftsansvarige och har rätt att överföra dessa uppgifter till en annan personuppgiftsansvarig. Detta gäller dock under förutsättning att det

(a) är tekniskt möjligt och

(b) den lagliga grunden för behandlingen utgörs av samtycke eller att behandlingen varit nödvändig för fullgörande av avtal.

Rätt att återkalla samtycke

Om personuppgiftsbehandlingen grundar sig på den registrerades samtycke har denne rätt att när som helst återkalla detta samtycke. Sådan återkallelse påverkar inte lagligheten i personuppgiftsbehandlingen innan samtycket återkallades.

Rätt att klaga till Datainspektionen

Den registrerade har rätt att rikta klagomål till Datainspektionen.

Kontaktuppgifter
Telefonnummer: 08-657 61 00
E-postadress: datainspektionen@datainspektionen.se

KONTAKTUPPGIFTER

Vid frågor om Policyn eller vid andra önskemål avseende personuppgifter, vänligen kontakta Helsa personuppgiftsombud.

Kontaktuppgifter
Namn: Rickard Dahlgren
E-postadress: larm@helsa.se

Ändringar av Policyn

Helsa förbehåller sig rätten att ändra och uppdatera Policyn. Vid materiella ändringar i Policyn eller om befintlig information ska behandlas på annat sätt än vad som anges i Policyn, kommer Helsa informera om detta på lämpligt sätt.