Tietosuojaseloste

Päivitetty 2.8.2018

Rekisterinpitäjä ja rekisteriasioista vastaavat henkilöt

Saarijärven apteekki (jäljempänä ”Apteekki”) 

Kauppakatu 5

43100 Saarijärvi 

p. 014 5252 700

saarijarven.apteekki(at)apteekit.net

yhteyshenkilöt: apteekkari Pirjo Mäkelä, proviisori, tietosuojavastaava Marja Somppi

Rekisterin nimi

Saarijärven apteekin verkkokaupan (https://saarijarven-apteekki.eapteekki.fi) asiakasrekisteri

Henkilötietojen käsittelyn tarkoitus ja perusteet

Henkilötietoja käsitellään verkkokaupan tilausten, laskutuksen, yhteydenottojen, lääkeneuvonnan ja muiden asiakkuuden hoitamiseen liittyvien toimenpiteiden yhteydessä. Henkilötietoja käsitellään myös mahdollisten reklamaatioiden ja muiden vaatimusten selvittämisen edellyttämissä tarkoituksissa. Lisäksi tietoja voidaan käyttää apteekissa anonyymisti verkkopalvelun toiminnan ja palvelun kehittämiseen sekä tilastointiin.

Tietojen käsittelyn teknisen toteutuksen vuoksi osa tiedoista voi sijaita Apteekin alihankkijoilla, joiden kanssa on tietojenkäsittelysopimus.

Rekisterin tietosisältö

Rekisteriin kerätään asiakkaan etu- ja sukunimi, asiakasnumero, osoitetiedot, puhelinnumero, sähköposti, tiedot lääkeneuvontatarpeesta ja annetusta lääkeneuvonnasta.

Tiedot asiakkaan ostotapahtumista säilytetään tilausjärjestelmässä vain 48 tuntia tilauksen jälkeen. Tilausvahvistukset, joissa näkyy asiakkaan antamat osoite- ja muut yhteystiedot sekä tilauksen tiedot, talletetaan paperisena ja säilytetään 1 vuoden ajan tilausvuoden lopusta.

Reseptin käsittelyssä asiakkaan tietoja käsitellään asiakkaan tilauksen perusteella ja henkilötietoja kerätään tiettyä, nimenomaista ja laillista tarkoitusta varten lääkemääräysrekisteriin. Ellei lakisääteisistä vaatimuksista muuta aiheudu, asiakastiedot poistetaan rekisteristä, kun asiakassuhde ja siihen liittyvät molemminpuoliset velvoitteet ovat päättyneet.

Tietojen säännönmukaiset luovutukset

Rekisterin tietoja ei luovuteta ulkopuolisille. Apteekki voi kuitenkin luovuttaa asiakastietoja viranomaisille voimassaolevan lainsäädännön sallimissa ja velvoittavissa rajoissa. Tietoja voidaan myös siirtää Apteekin valikoimille yhteistyökumppaneille, jotka käsittelevät tietoja luottamuksellisesti Apteekin lukuun, osapuolten välisen yhteistyösopimuksen perusteella. Tällöin tietojen käsittelijällä ei ole oikeutta käsitellä siirrettyjä tietoja omassa toiminnassaan.

Tietojen siirto EU:n tai Euroopan talousalueen ulkopuolelle

Muita tietoja kuin sähköpostien välitystietoja ei lähetetä EU-alueen ulkopuolelle. Sähköpostien välityspalveluna käytetään Mandrill-palvelua, joka on osa Mailchimp-palvelukokonaisuutta. Mailchimp ei takaa, että palvelun kautta kulkevien sähköpostien tiedot pysyvät EU-alueella. Mailchimp on Privacy Shield-sertifioitu.  Tämä tarkoittaa, että Mailchimp voi vastaanottaa EU-kansalaisten tietoja ja takaa sen, että GDPR:n mukaiset tarvittavat prosessit henkilötietojen käsittelemiseen ovat olemassa.

Evästeiden käyttö

Apteekki käyttää verkkokaupassa evästeitä (ns. cookie), joiden avulla seurataan kävijäliikennettä ja parannetaan palvelun laatua.

Evästeet ovat tarpeellisia kaupasta tilaamiseen.

Rekisterin suojauksen periaatteet

Tietokantoihin ja järjestelmiin on pääsy ainoastaan nimetyillä ja tehtäviensä vuoksi pääsyyn valtuutetuilla henkilöillä henkilökohtaisilla käyttäjätunnuksilla ja salasanoilla. Rekisterinpitäjä on rajannut käyttöoikeudet ja -valtuudet tietojärjestelmiin siten, että tietoja pääsevät käyttämään ja tarkastelemaan ainoastaan niiden lainmukaisen käsittelyn kannalta tarpeelliset henkilöt. Lisäksi tietokantojen ja järjestelmien käyttötapahtumat tallentuvat rekisterinpitäjän tietojärjestelmän lokitietoihin. Palvelin on suojattu asianmukaisella palomuurilla ja muilla teknisillä suojakeinoilla.

Tilat joissa käsitellään henkilötietoja, on suojattu asianmukaisella valvonnalla. Rekisterin tiedot säilytetään lukituissa tiloissa, joihin ulkopuolisten pääsy on kokonaan kielletty. Tiedot hävitetään tietoturvaperiaatteen mukaisesti.

Rekisterinpitäjän työntekijät ja muut henkilöt ovat sitoutuneet noudattamaan vaitiolovelvollisuutta ja pitämään salassa henkilötietojen käsittelyn yhteydessä saamansa tiedot.

Rekisteröidyn oikeudet   

Rekisteröidyllä on seuraavat EU:n yleisen tietosuoja-asetuksen mukaiset oikeudet:

  1. oikeus saada rekisterinpitäjältä vahvistus siitä, että häntä koskevia henkilötietoja käsitellään tai että niitä ei käsitellä, ja jos näitä henkilötietoja käsitellään, oikeus saada pääsy henkilötietoihin sekä seuraavat tiedot: (i) käsittelyn tarkoitukset; (ii) kyseessä olevat henkilötietoryhmät; (iii) vastaanottajat tai vastaanottajaryhmät, joille henkilötietoja on luovutettu tai on tarkoitus luovuttaa; (iv) mahdollisuuksien mukaan henkilötietojen suunniteltu säilytysaika tai jos se ei ole mahdollista, tämän ajan määrittämiskriteerit; (v) rekisteröidyn oikeus pyytää rekisterinpitäjältä häntä itseään koskevien henkilötietojen oikaisemista tai poistamista taikka henkilötietojen käsittelyn rajoittamista tai vastustaa tällaista käsittelyä; (vi) oikeus tehdä valitus valvontaviranomaiselle; (vii) jos henkilötietoja ei kerätä rekisteröidyltä, kaikki tietojen alkuperästä käytettävissä olevat tiedot (GDPR 15 art.). Nämä kuvatut perustiedot (i)–(vii) annetaan rekisteröidylle henkilölle tällä lomakkeella;
  2. oikeus peruuttaa suostumus milloin tahansa tämän vaikuttamatta suostumuksen perusteella ennen sen peruuttamista suoritetun käsittelyn lainmukaisuuteen (GDPR 7 art.);
  3. oikeus vaatia, että rekisterinpitäjä oikaisee ilman aiheetonta viivytystä rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot sekä oikeus saada puutteelliset henkilötiedot täydennettyä, muun muassa toimittamalla lisäselvitys ottaen huomioon tarkoitukset, joihin tietoja käsiteltiin (GDPR 16 art.);
  4. oikeus saada rekisterinpitäjä poistamaan rekisteröityä koskevat henkilötiedot ilman aiheetonta viivytystä, edellyttäen, että (i) henkilötietoja ei enää tarvita niihin tarkoituksiin, joita varten ne kerättiin tai joita varten niitä muutoin käsiteltiin; (ii) rekisteröity peruuttaa suostumuksen, johon käsittely on perustunut, eikä käsittelyyn ole muuta laillista perustetta; (iii) rekisteröity vastustaa käsittelyä henkilökohtaiseen erityiseen tilanteeseensa liittyvällä perusteella eikä käsittelyyn ole olemassa perusteltua syytä tai rekisteröity vastustaa käsittelyä suoramarkkinointitarkoituksia varten; (iv) henkilötietoja on käsitelty lainvastaisesti; tai (v) henkilötiedot on poistettava unionin oikeuteen tai kansallisen lainsäädäntöön perustuvan rekisterinpitäjään sovellettavan lakisääteisen velvoitteen noudattamiseksi (GDPR 17 art.);
  5. oikeus siihen, että rekisterinpitäjä rajoittaa käsittelyä, jos (i) rekisteröity kiistää henkilötietojen paikkansapitävyyden, jolloin käsittelyä rajoitetaan ajaksi, jonka kuluessa rekisterinpitäjä voi varmistaa niiden paikkansapitävyyden; (ii) käsittely on lainvastaista ja rekisteröity vastustaa henkilötietojen poistamista ja vaatii sen sijaan niiden käytön rajoittamista; (iii) rekisterinpitäjä ei enää tarvitse kyseisiä henkilötietoja käsittelyn tarkoituksiin, mutta rekisteröity tarvitsee niitä oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi; tai (iv) rekisteröity on vastustanut henkilötietojen käsittelyä henkilökohtaiseen erityiseen tilanteeseensa liittyvällä perusteella odotettaessa sen todentamista, syrjäyttävätkö rekisterinpitäjän oikeutetut perusteet rekisteröidyn perusteet (GDPR 18 art.);
  6. oikeus saada itseään koskevat henkilötiedot, jotka rekisteröity on toimittanut rekisterinpitäjälle, jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa, ja oikeus siirtää kyseiset tiedot toiselle rekisterinpitäjälle sen rekisterinpitäjän estämättä, jolle henkilötiedot on toimitettu, jos käsittely perustuu asetuksen tarkoittamaan suostumukseen ja käsittely suoritetaan automaattisesti (GDPR 20 art.);
  7. oikeus tehdä valitus valvontaviranomaiselle jos rekisteröity katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan EU:n yleistä tietosuoja-asetusta (GDPR 77 art.).

Rekisteröidyn oikeuksien toteuttamista koskevat pyynnöt osoitetaan tietosuojaselosteen alussa mainitulle rekisterinpitäjän yhteyshenkilölle.