Isikuandmete Töötlemise Põhimõtted

 

Kehtivad alates 06.november 2019.a.

 

Sissejuhatus

Pharma Holding OÜ ja Südameapteegi kaubamärgi all tegutsevad apteegid, sh e-apteek (edaspidi koos „Südameapteek“ või „meie“) hindavad oma klientide privaatsust kõrgelt. Südameapteegi eesmärk on selgitada Teile läbipaistvalt ja arusaadavalt, kuidas ning milliste põhimõtete alusel me oma klientide andmeid töötleme. Käesolevad isikuandmete töötlemise põhimõtted (edaspidi: „Isikuandmete Töötlemise Põhimõtted“) kirjeldavad Südameapteegi andmetöötluspõhimõtteid ning seda, kuidas me isikuandmeid töötleme. Palun tutvuge Isikuandmete Töötlemise Põhimõtetega hoolikalt, et saada aru, kuidas me Teie andmeid töödelda võime.

 

1.     Mõisted

„GDPR“

Euroopa Parlamendi ja nõukogu määrus (EL) 2016/679, 27. aprill 2016, füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus).

 

„e-apteek“

Veerenni Apteek OÜ (registrikood 114767320), kes on saanud loa Ravimiametilt e-apteegi pidamiseks ning pakub nimetatud e-apteeki Veebilehe kaudu.

„Isikuandmed“

Igasugune teave tuvastatud või tuvastatava füüsilise isiku („andmesubjekti“) kohta; tuvastatav füüsiline isik on isik, keda saab otseselt või kaudselt tuvastada, eelkõige sellise identifitseerimistunnuse põhjal nagu nimi, isikukood, asukohateave, võrguidentifikaator või selle füüsilise isiku ühe või mitme füüsilise, füsioloogilise, geneetilise, vaimse, majandusliku, kultuurilise või sotsiaalse tunnuse põhjal.

 

„Kehtiv Seadusandlus“

Kõik kehtivad Euroopa Liidu õigusaktid ning kõik kehtivad Eesti Vabariigi õigusaktid, sealhulgas, kuid mitte ainult, GDPR-i riigisisesed rakendusaktid, mis kehtivad Kliendiga sõlmitud lepingu ajal või hakkavad kehtima pärast vastava lepingu sõlmimist; järelevalveasutuste soovitused ja juhised, sealhulgas, kuid mitte ainult, Eesti Andmekaitse Inspektsiooni, Euroopa Andmekaitse Nõukogu ja direktiivi 95/46/EÜ artikli 29 alusel loodud Euroopa Andmekaitse töörühma poolt antud soovitused ja juhised. 

 

„Klient“ või „andmesubjekt“

 

Füüsiline isik, kes kasutab, on kasutanud või on avaldanud soovi kasutada Pharma teenuseid ning kelle Isikuandmeid Pharma Töötleb.

 

„Südameapteek“

Pharma Holding OÜ (registrikood 12009590, edaspidi „Pharma“), selle kontserni kuuluvad Eesti äriühingud, kellele kuuluvad Südameapteegi apteegid ning teised Südameapteegi kaubamärgi all tegutsevad  apteegipidajad, sh e-apteek (sõltumata kaubamärgi kasutamise aluseks olevast õigussuhtest), kes koos või eraldi töötlevad Isikuandmeid Vastutava töötlejana. Nimekiri Südameapteegi kaubamärki kasutavatest apteekidest on kättesaadav: https://www.sudameapteek.ee/apteegid/.

 

„Töötlemine“

Isikuandmete või nende kogumitega tehtav automatiseeritud või automatiseerimata toiming või toimingute kogum, nagu kogumine, dokumenteerimine, korrastamine, struktureerimine, säilitamine, kohandamine ja muutmine, päringute tegemine, lugemine, kasutamine, edastamise, levitamise või muul moel kättesaadavaks tegemise teel avalikustamine, ühitamine või ühendamine, piiramine, kustutamine või hävitamine.

 

„Vastutav Töötleja“

Füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kes üksi või koos teistega määrab kindlaks Isikuandmete Töötlemise eesmärgid ja vahendid. Käesolevate Isikuandmete Töötlemise Põhimõtete tähenduses on Kliendi Isikuandmete Vastutav Töötleja Pharma ning asjakohasel juhul ka Südameapteegi kaubamärgi all tegutsevad juriidilistest isikutest apteegipidajad, sh e-apteek, kes Klientidele apteegiteenuseid pakkuvad.

 

„Veebileht“

 

Veebileht www.sydameapteek.ee ja sellega seotud alamdomeenid või Südameapteegi poolt tulevikus kasutusele võetav(-ad) muu(-d) veebileht(-ed).

 

„Volitatud Töötleja“

Füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kes töötleb isikuandmeid Vastutava Töötleja nimel. Kui Pharma või mõni Südameapteegi kaubamärgi all tegutsev apteegipidaja töötleb Isikuandmeid Pharma või Südameapteegi kaubamärgi all tegutsev apteegipidaja nimel, võib Pharma või Südameapteegi kaubamärgi all tegutsev apteegipidaja olla selliste Isikuandmete osas samuti Volitatud Töötleja.

  

2.       Üldsätted

2.1.     Isikuandmete Töötlemise Põhimõtted kohalduvad, kui Klient kasutab, on kasutanud või on avaldanud soovi kasutada Südameapteegi teenuseid. Muuhulgas kohalduvad Isikuandmete Töötlemise Põhimõtted siis, kui Klient on vormistanud endale Südameapteegi kliendikaardi, kui Klient sooritab oste Südameapteegis, sh e-apteegis, kui Klient kasutab Veebilehte või kasutab muid Südameapteegi teenuseid.

2.2.     Isikuandmete Töötlemise Põhimõtted kirjeldavad Südameapteegi Isikuandmete Töötlemise üldpõhimõtteid. Kliendi Isikuandmete Töötlemise täiendavad tingimused võivad olla kirjeldatud ka Kliendiga sõlmitud lepingus või lepingutes, näiteks Südameapteegi kliendikaardi üldtingimustes või olla toodud Kliendi antud nõusolekus Isikuandmete Töötlemiseks.

2.3.     Südameapteek tagab Kliendi Isikuandmete Töötlemise kooskõlas Kehtiva Seadusandlusega. Kõige olulisem õigusakt, millest Südameapteek Kliendi Isikuandmete Töötlemisel lähtub on GDPR.

2.4.     Südameapteegil on õigus Isikuandmete Töötlemise Põhimõtteid aeg-ajalt ja vastavalt vajadusele uuendada. Ajakohased ja kehtivad Isikuandmete Töötlemise Põhimõtted on kättesaadavad Veebilehel.

 

3.        Isikuandmete Töötlemise eesmärgid ja õiguslikud alused

3.1.     Südameapteek Töötleb Kliendi Isikuandmeid üksnes selleks Kehtivast Seadusandlusest tulenevat õiguslikku alust omades.

3.2.     Asjakohasel juhul võib Südameapteek Töödelda Kliendi Isikuandmeid näiteks:

3.2.1.     Kliendiga lepingu sõlmimiseks ja lepingu täitmiseks või Kliendile teenuse osutamiseks, näiteks kliendikaardi registreerimisel ja kliendikaardiga oste sooritades või Veebilehte kasutades (nt ravimite ja mitteravimite kättetoimetamiseks);

3.2.2.     Südameapteegi juriidilise kohustuse täitmiseks, näiteks seoses Südameapteegi poolt raamatupidamiskohustuse täitmisega või ravimite käitlemist reguleerivate õigusaktide täitmiseks;

3.2.3.     Südameapteegi õigustatud huvi korral, tingimusel, et Südameapteegi õigustatud huvi ei kaalu üles riivet andmesubjekti õigustele ja vabadustele, näiteks seoses isikute ja vara kaitseks turvakaamerate kasutamisega, samuti personaalsete pakkumiste tegemiseks (eeldusel, et Klient ei ole seda otsesõnu keelanud), teenuste, sh e-apteegi teenuste kasutusmugavuse tõstmiseks, statistiliste andmete kogumiseks, Klientide profiilianalüüsiks eesmärgiga määrata klientide profiili ja nende eelistusi;

3.2.4.     Kliendi antud nõusoleku alusel, näiteks otseturunduspakkumiste saatmiseks. Kliendile personaalsete pakkumiste saatmiseks teostab Südameapteek Kliendi Isikuandmete osas turunduslikku andmeanalüüsi, eesmärgiga selgitada välja Kliendi eelistused turundusliku sisu saamiseks.

 

4.        Isikuandmete kogumine

4.1.     Isikuandmete liigid ja Isikuandmete koosseis, mida Südameapteek Kliendi kohta töötleb, sõltuvad konkreetsest teenusest, mida Südameapteek asjakohasel juhul Kliendile osutab. Isikuandmete kogumise täpsemad tingimused võivad olla kirjeldatud Südameapteegi ja Kliendi vahel sõlmitud lepingus.

4.2.     Isikuandmed, mida Südameapteek töötleb, hõlmavad eelkõige järgmisi andmeid Kliendi kohta: eesnimi, perekonnanimi; isikukood või sünniaeg; sugu; suhtlemiskeel; telefoninumber või e-postiaadress; kliendikaardiga sooritatud ostude andmed; terviseandmed (retseptiandmed ja väljastatud ravimite andmed, tervisliku seisundi andmed, kas apteegis kohapeal või e-apteegis saadud nõustamise sisu), finantsandmed (pangakonto, kaardiandmed maksete teostamiseks e-apteegis või apteegis), elukoha andmed (e-apteegist ostetud kaupade kättetoimetamisel).

4.3.    Südameapteek kogub Isikuandmeid eelkõige järgmistel juhtudel:

4.3.1.     Kliendiga lepingu sõlmimisel, Kliendipoolsel teenuse tellimisel, Kliendi registreerimisel, uudiskirja tellimisel, Kliendi päringu saamisel, jne;

 4.3.2.     kui Südameapteek saab Isikuandmed Kliendi poolt mõne Südameapteegi poolt pakutud teenuse kasutamisel (näiteks kliendikaardiga ja/või e-apteegis sõlmitud ostude andmed) ning see on vajalik Kliendiga sõlmitud lepingu täitmiseks või lepingu täitmise tagamiseks;

4.3.3.     kui Südameapteek saab Isikuandmed Kliendilt Kliendi antud nõusoleku alusel;

4.3.4.     teatud juhtudel töötleb Südameapteek Kliendi kohta kolmandatelt isikutelt saadud Isikuandmeid, näiteks kui Klient ostab retseptiravimeid digiretsepti kasutades, kontrollib Südameapteek retsepti kehtivuse andmeid retseptikeskuselt saadud andmete põhjal;

4.3.5.  maksete tegemisel pangakontolt või pangakaardiga;

4.3.6.  Kliendiga suhtlemisel apteegis, e-apteegis, telefoni teel või veebikeskkonnas ning täiendavate teenuste osutamisel, näiteks vererõhu mõõtmisel, veresuhkru mõõtmisel;

4.3.7. retseptiravimite müümisel;

4.3.8.  turvanõuete täitmisel (videovalve, paroolid jms kaitsemehhanismid e-apteegis;

4.3.9. Isikuandmete vahetamisel Pharma ja/või teiste Südameapteegi kaubamärgi all tegutsevatelt apteegipidajate vahel.  

4.4.     Südameapteek töötleb ainult selliseid Isikuandmeid, mida Klient on ise Südameapteegile (kas otse või läbi Pharma või muu Südameapteegi kaubamärgi all tegutseva apteegipidaja) avaldanud.  Südameapteek ei kogu Kliendi kohta Isikuandmeid iseseisvalt kolmandatest allikatest, v.a kui selline kohustus tuleneb seadusandlusest seoses osutatavate apteegiteenustega, nt andmete kontroll retseptikeskuses.

 

5.        Isikuandmete edastamine ja Töötlemine Volitatud Töötlejate poolt

5.1.     Südameapteegil on Kehtiva Seadusandluse alusel õigus kasutada Isikuandmete töötlemisel Volitatud Töötlejaid. Südameapteegi Volitatud Töötlejad, kes võivad Kliendi Isikuandmeid töödelda on muuhulgas IT-teenuste osutajad (näiteks serveriteenuse pakkujad, IT tarkvara arendajad), makseteenuste pakkujad (näiteks pangamaksete ja kaardimaksete vastuvõtmine ja teostamine), turundusparterid (näiteks uudiskirjade, küsitluste ja muude turundusalaste teavituste saatmine klientidele), kaupade kättetoimetamiseks (näiteks kuller- ja postiteenused, partnerapteegid).

5.2. Südameapteek kasutab Volitatud Töötlejana üksnes selliseid koostööpartnerid, kes on võtnud kohustuse Töödelda Isikuandmeid vastavuses käesolevate Isikuandmete Töötlemise Põhimõtetega ja Kehtiva Seadusandluse kohaselt.

5.3. Ühtlasi võivad Pharma ja Südameapteegi kaubamärgi all tegutsevad apteegipidajad edastada Isikuandmeid üksteisele eesmärgiga pakkuda üksteisele teenuseid eesmärgiga parandada Südameapteegi kaubamärgi all pakutavaid teenuseid (näiteks Pharma poolt Veebilehe pakkumine e-apteegi pidamiseks), ühtse kliendiandmebaasi pidamiseks ja ühtse kliendikaardi võimaldamine (näiteks Pharma poolt kliendibaasi ja kliendikaardi võimaldamine Südameapteegi kaubamärgi all tegutsevatele apteegipidajatele), turunduse jms teenuste pakkumiseks. Sõltuvalt konkreetsest Isikuandmete töötlemise eesmärgist võivad sellisel juhul Pharma ja Südameapteegi kaubamärgi all tegutsevad apteegipidajad olla kas Vastutav -Volitatud Töötleja suhtes või Vastutav-Vastutav Töötleja suhtes. Pharma ja Südameapteegi kaubamärgi all tegutsevad apteegipidajad lepivad omavaheliste lepingutega täpsemalt kokku Isikuandmete töötlemise põhimõtetes ning nende rikkumisega kaasnevas vastutuses.

5.4.     Kliendi Isikuandmete Vastutav Töötleja, s.o Pharma või Südameapteegi kaubamärgi all tegutsev apteegipidaja, kes on konkreetseid Isikuandmeid seoses Südameapteegi teenusega töötleb, jääb Kliendi ees täielikult vastutavaks selle eest, et Volitatud Töötlejad Töötleks Isikuandmeid Kehtiva Seadusandluse kohaselt. Muuhulgas tagab Vastutav Töötleja, et Volitatud Töötlejad töötlevad Isikuandmeid Vastutava Töötleja juhiste kohaselt, täidavad konfidentsiaalsusnõudeid ja rakendavad kohaseid turvameetmeid.

 

6.         Isikuandmete säilitamine

6.1.     Südameapteek ei säilita Isikuandmeid kauem, kui see on lähtuvalt Isikuandmete Töötlemise eesmärgist või Kehtiva Seadusandluse alusel vajalik.

6.2.     Üldreeglina säilitab Südameapteek Kliendiga seotud Isikuandmeid kuni kolm aastat peale Kliendi andmetega toimunud viimast toimingut, kuid Isikuandmete säilitamise konkreetne periood võib mõnel juhul olla muu ning põhineda Kliendiga sõlmitud lepingul, Südameapteegi õigustatud huvil või Kehtival Seadusandlusel, näiteks raamatupidamiskohustus või ravimite käitlemist puudutavad õigusaktid.

6.3.     Üksikasjaliku teabe saamiseks Teiega seotud Isikuandmete säilitamise tähtaegade kohta, palun võtke meiega ühendust alltoodud jaotises „Kontaktandmed ja küsimused“ toodud kontaktandmetel.

 

7.         Küpsiste kasutamine

7.1.     Pharma kui Veebilehe omanik ja haldaja kasutab Veebilehel küpsiseid.  Küpsised on väikesed tekstifailid, mis sisaldavad Kliendi arvutisse talletatavat informatsiooni ning mida kasutatakse Kliendi jälgimiseks või tuvastamiseks.

7.2.     Pharma kasutab Veebilehel järgmiseid küpsiseid: https://www.sudameapteek.ee/kupsiste-ulevaade  

 

8.        Turvakaamerate kasutamine

8.1.     Kehtiva Seadusandluse alusel on Südameapteegil õigus kasutada isikute ja vara kaitse eesmärgil turvakaameraid. Õiguslik alus turvakaamerate kasutamiseks on Südameapteegi õigustatud huvi GDPR artikkel 6 lõige 1 punkt f alusel.

8.2.     Südameapteek kasutab turvakaameraid valitud apteekide müügisaalides. Turvakaamerate kasutamise korral on jälgimisalasse alati paigutatud silt turvakaamera kasutamise kohta. Sildi puudumisel turvakaameraid ei kasutata.

8.3.     Südameapteek ei edasta turvakaamerate salvestisi kolmandatele isikutele, välja arvatud Kehtiva Seadusandluse alusel, näiteks kui see on vajalik toimepandud õigusrikkumiste või muude intsidentide uurimiseks Kehtiva Seadusandluse alusel volitatud isikute poolt, näiteks Politsei- ja Piirivalveameti poolt.

8.4.     Turvakaamerate salvestistele juurdepääs on piiratud isikute ringiga, kes vajavad ligipääsu rangelt seoses enda tööülesannete täitmisega. Näiteks on turvakaamerate salvestisele ligipääs keelatud apteegis töötavatele proviisoritele (kes ei ole apteegi juhataja) ja klienditeenindajatele.

8.5.     Südameapteek rakendab turvakaamerate salvestise säilitamisel mõistlikke organisatsioonilisi ja tehnilisi turvameetmeid, et kaitsta Isikuandmeid tahtmatu või volitamata Töötlemise või avalikuks tuleku eest.

8.6.     Südameapteek säilitab turvakaamerate salvestisi kuni 2 kuud alates salvestise tegemisest, välja arvatud, kui selle aja jooksul on algatatud menetlus samal perioodil toimepandud õigusrikkumise või muu intsidendi uurimiseks, millega seoses on vajalik salvestise säilitamine pikema säilitamisperioodi jooksul.

8.7.     Kliendil on õigus nõuda Südameapteegilt turvakaamera salvestise koopiat, mis sisaldab Kliendi kujutist. Koopia saamiseks palun võtke meiega ühendust alltoodud jaotises „Kontaktandmed ja küsimused“ toodud kontaktandmetel.

8.8.     Klient mõistab, et Südameapteek ei saa väljastada Kliendile turvakaamera salvestise koopiat, kui see on Kliendi taotluse esitamise ajaks kustutatud või selliselt, et salvestise koopia rikub kolmandate isikute Kehtivast Seadusandlusest tulenevaid õigusi. Klient mõistab, et turvakaamera salvestisi küsimisel saab Südameapteek Kliendile üldjuhul väljastada turvakaamera salvestisi üksnes töödeldud kujul, selliselt, et salvestisel on muudetud kolmandad isikud tuvastamatuks.

 

9.        Kliendi õigused

9.1.     Kliendil on tema Isikuandmete Töötlemisel kõik Kehtivast Seadusandlusest tulenevad õigused.

9.2.     Kliendil tema Isikuandmete Töötlemisel muuhulgas järgmised õigused:

9.2.1.     juurdepääsuõigus: Kliendil on õigus igal ajal küsida, kas Südameapteegil on tema kohta Isikuandmeid või mitte ning saada teavet selle kohta, milliseid Isikuandmeid Südameapteek Kliendi kohta töötleb;

9.2.2.     õigus Isikuandmete parandamisele: Kliendil on õigus taotleda Südameapteegilt oma Isikuandmete täpsustamist või parandamist, kui need on ebapiisavad, puudulikud või valed;

9.2.3.     õigus vastuväidete esitamisele: Kliendil on õigus esitada Südameapteegile vastuväiteid oma Isikuandmete Töötlemise suhtes, näiteks siis kui Isikuandmete kasutamine põhineb Südameapteegi õigustatud huvil, sealhulgas profiilianalüüsil otseturunduse eesmärgil;

9.2.4.     õigus nõuda Isikuandmete kustutamist: Kliendil on õigus taotleda Isikuandmete kustutamist, näiteks siis, kui Isikuandmeid Töödeldakse Kliendi nõusolekul ja kui Klient on nõusoleku tagasi võtnud;

9.2.5.     õigus piirata Töötlemist: Kliendil on õigus nõuda, et Südameapteek piiraks Kliendi Isikuandmete Töötlemist Kehtiva Seadusandluse alusel, näiteks kui Südameapteek ei vaja Kliendi Isikuandmeid enam Töötlemise eesmärkidel või kui  Klient on esitanud Isikuandmete Töötlemise suhtes vastuväite;

9.2.6.     õigus võtta Isikuandmete Töötlemiseks antud nõusolek tagasi: kui Kliendi Isikuandmete Töötlemine põhineb Kliendi antud nõusolekul, on Kliendil igal ajal õigus Südameapteegile antud nõusolek tagasi võtta;

9.2.7.     õigus andmete ülekantavusele: Kliendil on õigus ise saada Südameapteegilt Isikuandmeid, mida Klient on ise Südameapteegile esitanud ning mida Töödeldakse Kliendi nõusoleku alusel või Kliendiga sõlmitud lepingu täitmiseks, kirjalikult või üldkasutavas elektroonilises vormingus, ning, kui see on tehniliselt võimalik, nõuda, et Südameapteek edastaks need andmed kolmandale teenusepakkujale;

9.2.8.     õigus esitada kaebus:  Kui Klient leiab, et tema Isikuandmete Töötlemisel on rikutud tema õigusi Kehtiva Seadusandluse alusel, on Kliendil õigus pöörduda nõudega Andmekaitse Inspektsiooni või kohtu poole.

9.3.     Kliendi käesolevas peatükis loetletud õigused seoses Kliendi Isikuandmete Töötlemisega ei ole absoluutsed õigused. Teatud juhtudel võivad teiste andmesubjektide õigused või Südameapteegi juriidilised kohustused piirata Kliendi õigusi.  

9.4.     Kliendi Isikuandmete Töötlemisega kaasnevate õiguste teostamiseks või Isikuandmete Töötlemisega seotud taotluste esitamiseks, palun võtke meiega ühendust alltoodud jaotises „Kontaktandmed ja küsimused“ toodud kontaktandmetel.

9.10.   Selguse huvides märgime, et Kliendi eeltoodud õiguste teostamiseks on volitatud kas Pharma või Südameapteegi kaubamärgi all tegutsev apteegipidaja, kes konkreetsel juhul Isikuandmeid kui iseseisev Vastutav Töötleja töötleb.

 

10.      Isikuandmete turvalisuse tagamine

10.1.  Südameapteek kohustub tagama Isikuandmete Töötlemise turvalisuse, eesmärgiga kaitsta Isikuandmeid tahtmatu või volitamata töötlemise, avalikuks tuleku või hävimise eest.

10.2.  Võttes arvesse teaduse ja tehnoloogia viimast arengut ja rakendamise kulusid ning Isikuandmete Töötlemise laadi, ulatust, konteksti ja eesmärke, samuti Töötlemisest tulenevaid füüsiliste isikute õigusi ja vabadusi ähvardavaid erineva tõenäosuse ja suurusega ohte, rakendab Südameapteek Isikuandmete Töötlemisel asjakohaseid tehnilisi ja korralduslikke meetmeid Isikuandmete turvalisuse tagamiseks.

 

11.       Kontaktandmed ja küsimused

11.1.  Isikuandmete Töötlemisega seotud küsimuste korral või Isikuandmete Töötlemisega seotud taotluste esitamiseks, palun võtke ühendust Pharmaga või Pharma andmekaitsespetsialistiga telefoni, e-posti või posti teel. Pharma jätab endale sellisel juhul õiguse vastata küsimusele ise või edastada küsimus konkreetsele Südameapteegi kaubamärgi all tegutsevale apteegipidajale, kes küsimuse objektiks olevaid Isikuandmeid Vastutava Töötlejana töötleb.

 

Pharma kontaktandmed on:

Ärinimi: Pharma Holding OÜ;

Aadress: Veerenni 53a, Tallinn;

Telefon: 6051780;

E-post: info@sydameapteek.ee

Pharma andmekaitseametniku kontaktandmed:

Telefon: 6051760

E-post: andmekaitse@sydameapteek.ee