Kehtivad alates 30. aprill 2024.a.
Sissejuhatus
Pharma Holding OÜ ja Südameapteegi kaubamärgi all tegutsevad apteegid, sh e-apteek (edaspidi koos „Südameapteek“ või „meie“) hindavad oma klientide privaatsust kõrgelt. Südameapteegi eesmärk on selgitada Teile läbipaistvalt ja arusaadavalt, kuidas ning milliste põhimõtete alusel me oma klientide andmeid töötleme. Käesolevad isikuandmete töötlemise põhimõtted (edaspidi: „Isikuandmete Töötlemise Põhimõtted“) kirjeldavad Südameapteegi andmetöötluspõhimõtteid ning seda, kuidas me isikuandmeid töötleme. Palun tutvuge Isikuandmete Töötlemise Põhimõtetega hoolikalt, et saada aru, kuidas me Teie andmeid töödelda võime.
1. Mõisted
|
„GDPR“ |
Euroopa Parlamendi ja nõukogu määrus (EL) 2016/679, 27. aprill 2016, füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus).
|
|
„e-apteek“ |
Veerenni Apteek OÜ (registrikood 114767320), kes on saanud loa Ravimiametilt e-apteegi pidamiseks ning pakub nimetatud e-apteeki Veebilehe kaudu. |
|
„Isikuandmed“ |
Igasugune teave tuvastatud või tuvastatava füüsilise isiku („andmesubjekti“) kohta; tuvastatav füüsiline isik on isik, keda saab otseselt või kaudselt tuvastada, eelkõige sellise identifitseerimistunnuse põhjal nagu nimi, isikukood, asukohateave, võrguidentifikaator või selle füüsilise isiku ühe või mitme füüsilise, füsioloogilise, geneetilise, vaimse, majandusliku, kultuurilise või sotsiaalse tunnuse põhjal.
|
|
„Kehtiv Seadusandlus“ |
Kõik kehtivad Euroopa Liidu õigusaktid ning kõik kehtivad Eesti Vabariigi õigusaktid, sealhulgas, kuid mitte ainult, GDPR-i riigisisesed rakendusaktid, mis kehtivad Kliendiga sõlmitud lepingu ajal või hakkavad kehtima pärast vastava lepingu sõlmimist; järelevalveasutuste soovitused ja juhised, sealhulgas, kuid mitte ainult, Eesti Andmekaitse Inspektsiooni, Euroopa Andmekaitse Nõukogu ja direktiivi 95/46/EÜ artikli 29 alusel loodud Euroopa Andmekaitse töörühma poolt antud soovitused ja juhised.
|
|
„Klient“ või „andmesubjekt“
|
Füüsiline isik, kes kasutab, on kasutanud või on avaldanud soovi kasutada Südameapteegi teenuseid ning kelle Isikuandmeid Südameapteek Töötleb.
|
|
„Südameapteek“ |
Pharma Holding OÜ (registrikood 12009590, edaspidi „Pharma“) ja Südameapteegi kaubamärgi all tegutsevad apteegipidajad, sh e-apteek, kes koos või eraldi töötlevad Isikuandmeid Vastutava töötlejana. Nimekiri Südameapteegi kaubamärki kasutavatest apteekidest on kättesaadav: https://www.sudameapteek.ee/apteegid/.
|
|
„Töötlemine“ |
Isikuandmete või nende kogumitega tehtav automatiseeritud või automatiseerimata toiming või toimingute kogum, nagu kogumine, dokumenteerimine, korrastamine, struktureerimine, säilitamine, kohandamine ja muutmine, päringute tegemine, lugemine, kasutamine, edastamise, levitamise või muul moel kättesaadavaks tegemise teel avalikustamine, ühitamine või ühendamine, piiramine, kustutamine või hävitamine.
|
|
„Vastutav Töötleja“ |
Füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kes üksi või koos teistega määrab kindlaks Isikuandmete Töötlemise eesmärgid ja vahendid. Käesolevate Isikuandmete Töötlemise Põhimõtete tähenduses on Kliendi Isikuandmete Vastutav Töötleja Pharma ning Südameapteegi kaubamärgi all tegutsevad juriidilistest isikutest apteegipidajad, sh e-apteek, kes Klientidele apteegiteenuseid pakkuvad. |
|
„Veebileht“
|
Veebileht www.sydameapteek.ee ja sellega seotud alamdomeenid või Südameapteegi poolt tulevikus kasutusele võetav(-ad) muu(-d) veebileht(-ed).
|
|
„Volitatud Töötleja“ |
Füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kes töötleb isikuandmeid Vastutava Töötleja nimel. |
2. Üldsätted
2.1. Isikuandmete Töötlemise Põhimõtted kohalduvad, kui Klient kasutab, on kasutanud või on avaldanud soovi kasutada Südameapteegi teenuseid. Muuhulgas kohalduvad Isikuandmete Töötlemise Põhimõtted siis, kui Klient on vormistanud endale Südameapteegi kliendikaardi, sh soovib kasutada kliendikaardiga seotud hüvesid, kui Klient sooritab oste Südameapteegis, sh e-apteegis, kui Klient kasutab Veebilehte või kasutab muid Südameapteegi teenuseid.
2.2. Isikuandmete Töötlemise Põhimõtted kirjeldavad Südameapteegi Isikuandmete Töötlemise üldpõhimõtteid.
2.3. Südameapteek tagab Kliendi Isikuandmete Töötlemise kooskõlas Kehtiva Seadusandlusega. Kõige olulisem õigusakt, millest Südameapteek Kliendi Isikuandmete Töötlemisel lähtub on GDPR.
2.4. Südameapteegil on õigus Isikuandmete Töötlemise Põhimõtteid aeg-ajalt ja vastavalt vajadusele uuendada. Ajakohased ja kehtivad Isikuandmete Töötlemise Põhimõtted on kättesaadavad Veebilehel.
3. Isikuandmete Töötlemise eesmärgid ja õiguslikud alused
3.1. Südameapteek Töötleb Kliendi Isikuandmeid üksnes selleks Kehtivast Seadusandlusest tulenevat õiguslikku alust omades.
3.2. Asjakohasel juhul võib Südameapteek Töödelda Kliendi Isikuandmeid näiteks:
3.2.1. Kliendiga lepingu sõlmimiseks ja lepingu täitmiseks või Kliendile teenuse osutamiseks, näiteks kliendikaardi registreerimisel, kliendikaardiga seotud soodustuste (sh boonusraha või loosipiletid) kasutamise võimaldamiseks, kliendikaardi soodustusega seotud loosimiste läbiviimiseks, loosimisel selgunud võitja väljakuulutamiseks ja kliendikaardiga oste sooritades või Veebilehte kasutades (nt ravimite ja mitteravimite kättetoimetamiseks);
3.2.2. Südameapteegi juriidilise kohustuse täitmiseks, näiteks seoses Südameapteegi poolt raamatupidamiskohustuse täitmisega või ravimite käitlemist reguleerivate õigusaktide täitmiseks;
3.2.3. Südameapteegi õigustatud huvi korral, tingimusel, et Südameapteegi õigustatud huvi ei kaalu üles riivet andmesubjekti õigustele ja vabadustele, näiteks seoses isikute ja vara kaitseks turvakaamerate kasutamisega, teenuste, sh e-apteegi teenuste kasutusmugavuse tõstmiseks, statistiliste andmete kogumiseks, Klientide profiilianalüüsiks eesmärgiga määrata klientide profiili ja nende eelistusi, õigusnõuete koostamiseks;
3.2.4. Kliendi antud nõusoleku alusel, näiteks otseturunduspakkumiste saatmiseks. Kliendile personaalsete pakkumiste saatmiseks teostab Südameapteek Kliendi Isikuandmete osas turunduslikku andmeanalüüsi, eesmärgiga selgitada välja Kliendi eelistused turundusliku sisu saamiseks.
4. Isikuandmete kogumine
4.1. Isikuandmete liigid ja Isikuandmete koosseis, mida Südameapteek Kliendi kohta töötleb, sõltuvad konkreetsest teenusest, mida Südameapteek asjakohasel juhul Kliendile osutab.
4.2. Isikuandmed, mida Südameapteek töötleb, hõlmavad eelkõige järgmisi andmeid Kliendi kohta: eesnimi, perekonnanimi; isikukood või sünniaeg; sugu; suhtlemiskeel; telefoninumber või e-postiaadress; kliendikaardiga sooritatud ostude andmed; andmed Kliendi kindlustatuse kohta vabatahtliku tervisekindlustusega, sh kindlustuse limiidi olemasolu, omavastutus, kui selline esineb, kauba/vaktsiini hüvitatavus kindlustuslepingu alusel, kindlustusjuhtumi number; terviseandmed (retseptiandmed ja väljastatud ravimite andmed, tervisliku seisundi andmed, kas apteegis kohapeal või e-apteegis saadud nõustamise sisu), finantsandmed (pangakonto, kaardiandmed maksete teostamiseks e-apteegis või apteegis), elukoha andmed (e-apteegist ostetud kaupade kättetoimetamisel), Kliendi poolt valitud kliendikaardi soodustuse tüüp (s.t. kas klient soovib ostudelt koguda boonusraha või loosipileteid) ning boonusraha/loosipiletite arvestus.
4.3. Südameapteek kogub Isikuandmeid eelkõige järgmistel juhtudel:
4.3.1. Kliendiga lepingu sõlmimisel, Kliendipoolsel teenuse tellimisel, Kliendi registreerimisel, uudiskirja tellimisel, Kliendi päringu saamisel kliendikaardi soodustuste võimaldamiseks, sh boonusraha/loosipiletite genereerimiseks ja nende üle arvestuse pidamiseks, kliendikaardiga seotud loosi läbiviimiseks, võitja väljakuulutamiseks nii Südameapteegi kommunikatsioonikanalites (s.t. nii koduleht kui ka sotsiaalmeediakonto) kui ka meedias ja võitjast sotsiaalmeediapostituse tegemiseks, võitjaga ühenduse võtmiseks, võitjale auhinna üleandmiseks ja võitja tuvastamiseks enne auhinna üleandmist jne;
4.3.2. kui Südameapteek saab Isikuandmed Kliendi poolt mõne Südameapteegi poolt pakutud teenuse kasutamisel (näiteks kliendikaardiga ja/või e-apteegis sõlmitud ostude andmed) ning see on vajalik Kliendiga sõlmitud lepingu täitmiseks või lepingu täitmise tagamiseks;
4.3.3. kui Südameapteek saab Isikuandmed Kliendilt Kliendi antud nõusoleku alusel (nt lisateenuse osutamisel kogutud terviseandmed);
4.3.4. teatud juhtudel töötleb Südameapteek Kliendi kohta kolmandatelt isikutelt saadud Isikuandmeid, näiteks kui Klient ostab retseptiravimeid digiretsepti kasutades, kontrollib Südameapteek retsepti kehtivuse andmeid retseptikeskuselt saadud andmete põhjal või kui Klient soovib kauba/vaktsineerimise ostusumma hüvitamist vabatahtliku tervisekindlustuse arvelt, kogub Südameapteek Kliendi kindlustusandjalt või tema agendilt andmeid Kliendi kindlustatuse kohta;
4.3.5. maksete tegemisel pangakontolt või pangakaardiga;
4.3.6. Kliendiga suhtlemisel apteegis, e-apteegis, telefoni teel või veebikeskkonnas ning täiendavate teenuste osutamisel, näiteks vererõhu mõõtmisel, veresuhkru mõõtmisel;
4.3.7. retseptiravimite müümisel;
4.3.8. turvanõuete täitmisel (videovalve, paroolid jms kaitsemehhanismid e-apteegis;
4.3.9 õigusnõuete lahendamiseks;
4.3.10 Isikuandmete vahetamisel Pharma ja/või teiste Südameapteegi kaubamärgi all tegutsevate apteegipidajate vahel.
4.4. Südameapteek töötleb ainult selliseid Isikuandmeid, mida Klient on ise Südameapteegile Südameapteek ei kogu Kliendi kohta Isikuandmeid iseseisvalt kolmandatest allikatest, v.a kui selline kohustus tuleneb seadusandlusest seoses osutatavate apteegiteenustega, nt andmete kontroll retseptikeskuses või Klient on avaldanud soovi kauba/vaktsineerimise ostusumma hüvitamiseks vabatahtliku tervisekindlustuse arvelt, kogub Südameapteek Kliendi kindlustusandjalt või tema agendilt andmeid Kliendi kindlustatuse kohta ja jagab Kliendi andmeid kindlustusandjaga või tema agendiga kahjukäsitluse raames.
4.5 Südameapteek kasutab kliendikaardiga seotud loosimängu läbiviimisel automatiseeritud otsuseid, eelkõige loosipiletite genereerimiseks ja võitja välja selgitamiseks, tagades seeläbi loosipiletite korrektse arvestuse ja võitja juhuslikkuse. Kui Klient ei soovi, et tema isikuandmeid töödeldakse automatiseeritud otsuse raames, siis ei saa Klient kliendikaardiga seotud loosimängus osaleda
5. Isikuandmete edastamine ja Töötlemine Volitatud Töötlejate poolt
5.1. Südameapteegil on Kehtiva Seadusandluse alusel õigus kasutada Isikuandmete töötlemisel Volitatud Töötlejaid. Südameapteegi Volitatud Töötlejad, kes võivad Kliendi Isikuandmeid töödelda on muuhulgas IT-teenuste osutajad (näiteks serveriteenuse pakkujad, IT tarkvara arendajad), makseteenuste pakkujad (näiteks pangamaksete ja kaardimaksete vastuvõtmine ja teostamine), turundusparterid (näiteks uudiskirjade, küsitluste ja muude turundusalaste teavituste saatmine klientidele, või loosimängude läbiviija), kaupade kättetoimetamiseks (näiteks kuller- ja postiteenused, partnerapteegid).
5.2. Südameapteek kasutab Volitatud Töötlejana üksnes selliseid koostööpartnerid, kes on võtnud kohustuse Töödelda Isikuandmeid vastavuses käesolevate Isikuandmete Töötlemise Põhimõtetega ja Kehtiva Seadusandluse kohaselt.
5.3. Ühtlasi võivad Pharma ja Südameapteegi kaubamärgi all tegutsevad apteegipidajad edastada Isikuandmeid üksteisele eesmärgiga pakkuda üksteisele teenuseid eesmärgiga parandada Südameapteegi kaubamärgi all pakutavaid teenuseid (näiteks Pharma poolt Veebilehe pakkumine e-apteegi pidamiseks), ühtse kliendiandmebaasi pidamiseks ja ühtse kliendikaardi võimaldamine (näiteks Pharma poolt kliendibaasi ja kliendikaardi võimaldamine Südameapteegi kaubamärgi all tegutsevatele apteegipidajatele), turunduse jms teenuste pakkumiseks.
5.4. Südameapteek on Kliendi Isikuandmete Vastutavaks Töötlejaks.
5.5. Südameapteek jagab Kliendi andmeid iseseisvaks vastutavaks töötlejaks oleva kindlustusandjaga või tema agendiga kahjukäsitluse raames juhul, kui Klient on kasutanud ostusumma eest tasumisel vabatahtlikku tervisekindlustust.
6. Isikuandmete säilitamine
6.1. Südameapteek ei säilita Isikuandmeid kauem, kui see on lähtuvalt Isikuandmete Töötlemise eesmärgist või Kehtiva Seadusandluse alusel vajalik.
6.2. Üldreeglina säilitab Südameapteek Kliendiga seotud Isikuandmeid kuni kolm aastat peale Kliendi andmetega toimunud viimast toimingut, kuid Isikuandmete säilitamise konkreetne periood võib mõnel juhul olla muu ning põhineda Kliendiga sõlmitud lepingul, Südameapteegi õigustatud huvil või Kehtival Seadusandlusel, näiteks raamatupidamiskohustus või ravimite käitlemist puudutavad õigusaktid.
6.3. Üksikasjaliku teabe saamiseks Teiega seotud Isikuandmete säilitamise tähtaegade kohta, palun võtke meiega ühendust alltoodud jaotises „Kontaktandmed ja küsimused“ toodud kontaktandmetel.
7. Küpsiste kasutamine
7.1. Pharma kui Veebilehe omanik ja haldaja kasutab Veebilehel küpsiseid. Küpsised on väikesed tekstifailid, mis sisaldavad Kliendi arvutisse talletatavat informatsiooni ning mida kasutatakse Kliendi jälgimiseks või tuvastamiseks.
7.2. Pharma kasutab Veebilehel järgmiseid küpsiseid: https://www.sudameapteek.ee/kupsiste-ulevaade
8. Turvakaamerate kasutamine
8.1. Kehtiva Seadusandluse alusel on Südameapteegil õigus kasutada isikute ja vara kaitse eesmärgil turvakaameraid. Õiguslik alus turvakaamerate kasutamiseks on Südameapteegi õigustatud huvi GDPR artikkel 6 lõige 1 punkt f alusel.
8.2. Südameapteek kasutab turvakaameraid valitud apteekide müügisaalides. Turvakaamerate kasutamise korral on jälgimisalasse alati paigutatud silt turvakaamera kasutamise kohta. Sildi puudumisel turvakaameraid ei kasutata.
8.3. Südameapteek ei edasta turvakaamerate salvestisi kolmandatele isikutele, välja arvatud Kehtiva Seadusandluse alusel, näiteks kui see on vajalik toimepandud õigusrikkumiste või muude intsidentide uurimiseks Kehtiva Seadusandluse alusel volitatud isikute poolt, näiteks Politsei- ja Piirivalveameti poolt.
8.4. Turvakaamerate salvestistele juurdepääs on piiratud isikute ringiga, kes vajavad ligipääsu rangelt seoses enda tööülesannete täitmisega. Näiteks on turvakaamerate salvestisele ligipääs keelatud apteegis töötavatele proviisoritele (kes ei ole apteegi juhataja) ja klienditeenindajatele.
8.5. Südameapteek rakendab turvakaamerate salvestise säilitamisel mõistlikke organisatsioonilisi ja tehnilisi turvameetmeid, et kaitsta Isikuandmeid tahtmatu või volitamata Töötlemise või avalikuks tuleku eest.
8.6. Südameapteek säilitab turvakaamerate salvestisi kuni 2 kuud alates salvestise tegemisest, välja arvatud, kui selle aja jooksul on algatatud menetlus samal perioodil toimepandud õigusrikkumise või muu intsidendi uurimiseks, millega seoses on vajalik salvestise säilitamine pikema säilitamisperioodi jooksul.
8.7. Kliendil on õigus nõuda Südameapteegilt turvakaamera salvestise koopiat, mis sisaldab Kliendi kujutist. Koopia saamiseks palun võtke meiega ühendust alltoodud jaotises „Kontaktandmed ja küsimused“ toodud kontaktandmetel.
8.8. Klient mõistab, et Südameapteek ei saa väljastada Kliendile turvakaamera salvestise koopiat, kui see on Kliendi taotluse esitamise ajaks kustutatud või selliselt, et salvestise koopia rikub kolmandate isikute Kehtivast Seadusandlusest tulenevaid õigusi. Klient mõistab, et turvakaamera salvestisi küsimisel saab Südameapteek Kliendile üldjuhul väljastada turvakaamera salvestisi üksnes töödeldud kujul, selliselt, et salvestisel on muudetud kolmandad isikud tuvastamatuks.
9. Kliendi õigused
9.1. Kliendil on tema Isikuandmete Töötlemisel kõik Kehtivast Seadusandlusest tulenevad õigused.
9.2. Kliendil tema Isikuandmete Töötlemisel muuhulgas järgmised õigused:
9.2.1. juurdepääsuõigus: Kliendil on õigus igal ajal küsida, kas Südameapteegil on tema kohta Isikuandmeid või mitte ning saada teavet selle kohta, milliseid Isikuandmeid Südameapteek Kliendi kohta töötleb;
9.2.2. õigus Isikuandmete parandamisele: Kliendil on õigus taotleda Südameapteegilt oma Isikuandmete täpsustamist või parandamist, kui need on ebapiisavad, puudulikud või valed;
9.2.3. õigus vastuväidete esitamisele: Kliendil on õigus esitada Südameapteegile vastuväiteid oma Isikuandmete Töötlemise suhtes, näiteks siis kui Isikuandmete kasutamine põhineb Südameapteegi õigustatud huvil, sealhulgas profiilianalüüsil otseturunduse eesmärgil;
9.2.4. õigus nõuda Isikuandmete kustutamist: Kliendil on õigus taotleda Isikuandmete kustutamist, näiteks siis, kui Isikuandmeid Töödeldakse Kliendi nõusolekul ja kui Klient on nõusoleku tagasi võtnud;
9.2.5. õigus piirata Töötlemist: Kliendil on õigus nõuda, et Südameapteek piiraks Kliendi Isikuandmete Töötlemist Kehtiva Seadusandluse alusel, näiteks kui Südameapteek ei vaja Kliendi Isikuandmeid enam Töötlemise eesmärkidel või kui Klient on esitanud Isikuandmete Töötlemise suhtes vastuväite;
9.2.6. õigus võtta Isikuandmete Töötlemiseks antud nõusolek tagasi: kui Kliendi Isikuandmete Töötlemine põhineb Kliendi antud nõusolekul, on Kliendil igal ajal õigus Südameapteegile antud nõusolek tagasi võtta;
9.2.7. õigus andmete ülekantavusele: Kliendil on õigus ise saada Südameapteegilt Isikuandmeid, mida Klient on ise Südameapteegile esitanud ning mida Töödeldakse Kliendi nõusoleku alusel või Kliendiga sõlmitud lepingu täitmiseks, kirjalikult või üldkasutavas elektroonilises vormingus, ning, kui see on tehniliselt võimalik, nõuda, et Südameapteek edastaks need andmed kolmandale teenusepakkujale;
9.2.8. õigus esitada kaebus: Kui Klient leiab, et tema Isikuandmete Töötlemisel on rikutud tema õigusi Kehtiva Seadusandluse alusel, on Kliendil õigus pöörduda nõudega Andmekaitse Inspektsiooni või kohtu poole.
9.3. Kliendi käesolevas peatükis loetletud õigused seoses Kliendi Isikuandmete Töötlemisega ei ole absoluutsed õigused. Teatud juhtudel võivad teiste andmesubjektide õigused või Südameapteegi juriidilised kohustused piirata Kliendi õigusi.
9.4. Kliendi Isikuandmete Töötlemisega kaasnevate õiguste teostamiseks või Isikuandmete Töötlemisega seotud taotluste esitamiseks, palun võtke meiega ühendust alltoodud jaotises „Kontaktandmed ja küsimused“ toodud kontaktandmetel.
10. Isikuandmete turvalisuse tagamine
10.1. Südameapteek kohustub tagama Isikuandmete Töötlemise turvalisuse, eesmärgiga kaitsta Isikuandmeid tahtmatu või volitamata töötlemise, avalikuks tuleku või hävimise eest.
10.2. Võttes arvesse teaduse ja tehnoloogia viimast arengut ja rakendamise kulusid ning Isikuandmete Töötlemise laadi, ulatust, konteksti ja eesmärke, samuti Töötlemisest tulenevaid füüsiliste isikute õigusi ja vabadusi ähvardavaid erineva tõenäosuse ja suurusega ohte, rakendab Südameapteek Isikuandmete Töötlemisel asjakohaseid tehnilisi ja korralduslikke meetmeid Isikuandmete turvalisuse tagamiseks.
11. Kontaktandmed ja küsimused
11.1. Isikuandmete Töötlemisega seotud küsimuste korral või Isikuandmete Töötlemisega seotud taotluste esitamiseks, palun võtke ühendust Südameapteegiga või Südameapteegi andmekaitsespetsialistiga telefoni, e-posti või posti teel.
|
Südameapteegi kontaktandmed on: Telefon: 6051780;E-post: info@sydameapteek.ee |
Südameapteegi andmekaitseametniku kontaktandmed: Telefon: 6051760 E-post: andmekaitse@sydameapteek.ee
|
