Tietosuojaseloste

Tietosuojaseloste on laajennettu rekisteriseloste, joka sisältää EU:n yleisen tietosuoja-asetuksen mukaiset tiedot rekisteröidyn oikeuksista. Kaikista rekisterinpitäjän ja rekisteröidyn oikeuksista ja vastuista on yksityiskohtaisempi kuvaus EU:n yleisessä tietosuoja-asetuksessa (679/2016) ja henkilötietolaissa (523/1999). Tietosuojaselosteen voimaantulopäivä:  23.5.2018.

Rekisterinpitäjä

Lohjan 1. apteekki (jäljempänä ”Apteekki”).

Osoite:

Laurinkatu 37 – 41A, 08100 LOHJA

Puhelinnumero:

019 – 375 0600

Yhteyshenkilö rekisteriä koskevissa asioissa:

Apteekkari Eeva Savela

Rekisterin nimi

Apteekin verkkokauppa

Henkilötietojen käsittelyn tarkoitus ja perusteet

Verkkokaupassa asioivan henkilötietoja käsitellään verkkokaupan tilausten, laskutuksen, yhteydenottojen ja muiden asiakkuuden hoitamiseen liittyvien toimenpiteiden yhteydessä.

Kuluttajasuojalain (6 luku 14§) vaatimien tietojen toimittaminen asiakkaalle toimituksen yhteydessä.

Henkilötietojen käsittelijät

Apteekin henkilökunnasta ne, joilla on asianmukaiset valtuudet käsitellä verkkokaupan asiakasrekisterin tietoja.

Verkkokaupan tekninen tuki Anders Inno Oy käsittelee henkilötietoja vain siinä määrin, mikä on tukipyynnön käsittelyn kannalta välttämätöntä.

Mikäli maksu suoritetaan verkkokaupassa:

Checkout maksunvälityspalvelu siirtää asiakkaan maksun Checkout Finland Oy:n hallinnoimalle tilille, josta se siirretään apteekille. Checkout on Checkout Finland Oy:n (y-tunnus 2196606-6) ylläpitämä palvelu. Palvelu on maksulaitoslain siirtymäsäännöksen nojalla merkitty Finanssivalvonnan ylläpitämään maksulaitosrekisteriin.

Rekisterin tietosisältö ja säilyttäminen

Verkkokaupassa: asiakkaan etu- ja sukunimi, asiakasnumero, osoitetiedot, puhelinnumero, sähköposti, tiedot lääkeneuvonnan tarpeesta, tiedot ostotapahtumista (mm. ostetut tuotteet, tilaukseen liittyvät vapaamuotoiset lisätiedot) ja alennuksista.

Apteekki käyttää verkkokaupassa evästeitä (ns. cookie), joiden avulla seurataan kävijäliikennettä ja parannetaan palvelun laatua. Evästeet ovat tarpeellisia verkkokaupasta tilaamiseen.

Mikäli maksu suoritetaan verkkokaupassa, maksuun liittyvät välttämättömät tiedot välittyvät Checkout Finland Oy:lle. Tällaisia tietoja ovat muun muassa asiakkaan nimi, pankkitiedot ja maksun summa.

Tilauksen yhteydessä toimitetaan kuluttajasuojalain (6 luku 14§) edellyttämä vahvistus, jossa on muun muassa seuraavat tiedot: Apteekin nimi ja yhteystiedot, toimituksesta vastaava henkilö ja lääkkeen tiedot.

Tiedot säilyvät verkkokaupassa tilauksen käsittelyyn asti. Kun tilaus on käsitelty, siitä tulostetaan tilausvahvistus apteekin arkistoon säilytettäväksi. Apteekkariliiton antaman suosituksen perusteella tulostetta säilytetään 12 kuukautta tilauksen toimittamisesta.

Tietojen säännönmukaiset tietolähteet ja luovutukset

Apteekki saa rekisteröidyn tietoja ainoastaan hänen syöttämänään. Tietoja voi syöttää ainoastaan tilausta varten.

Apteekki ei luovuta säännönmukaisesti asiakasrekisterin tietoja ulkopuolisille kolmansille tahoille. Apteekki voi kuitenkin luovuttaa asiakastietoja viranomaisille voimassaolevan lainsäädännön sallimissa ja velvoittavissa rajoissa.

Tietojen siirto EU:n tai Euroopan talousalueen ulkopuolelle (ETA)

Sähköpostien välityspalveluna käytetään Mandrill palvelua, joka on osa Mailchimp palvelukokonaisuutta. Mailchimp ei takaa, että palvelun kautta kulkevien sähköpostien tiedot pysyvät EU alueella. Mailchimp on Privacy Shield sertifioitu. Tämä tarkoittaa, että Mailchimp voi vastaanottaa EU kansalaisten tietoja ja takaa sen, että EU:n yleisen tietosuoja-asetuksen mukaiset tarvittavat prosessit henkilötietojen käsittelemiseen ovat olemassa.

Tämä käytännössä tarkoittaa, että muita tietoja kuin sähköpostien välitystietoja ei lähetetä EU-alueen ulkopuolelle.

Evästeiden käyttö

Apteekki käyttää verkkokaupassa evästeitä (ns. cookie), joiden avulla seurataan kävijäliikennettä ja parannetaan palvelun laatua.

Evästeet ovat tarpeellisia kaupasta tilaamiseen.

Rekisterin suojauksen periaatteet

Yleiset suojausperiaatteet:

Kaikki rekisterin tiedot ovat ehdottomasti salassa pidettävää tietoa ja niitä voi käsitellä vain asianmukaiset valtuudet omaavat henkilöt. Jokainen apteekin henkilökunnan jäsen on allekirjoittanut salassapitositoumuksen, jossa he ovat allekirjoituksellaan vahvistaneet käyttävänsä vain heille annettujen valtuuksien mukaisia tietojärjestelmiä ja tietojärjestelmien osia.

Sähköisen/ATK:lla käsiteltävän aineiston suojausperiaatteet:

Rekisteri on asianmukaisesti suojattu ulkopuolisilta palomuureilla ja muilla teknisillä suojakeinoilla. Rekisteriä käyttävät ainoastaan henkilöt, joiden toimenkuvaan sen käyttö kuuluu ("Ylläpitäjä"). Jokaisella ylläpitäjällä on henkilökohtainen käyttäjätunnus ja salasana.

Paperisen aineiston suojausperiaatteet:

Tulostettuja tilausvahvistuksia voi käsitellä apteekin henkilökunnasta vain ne, joilla on asianmukaiset valtuudet käsitellä ko. tietoja.

Rekisteröidyn oikeudet


Rekisteröidyn oikeus tarkastaa häntä koskevat tiedot

Henkilötietolaki (523/1999) 26 § Tarkastusoikeus, 27§ tarkastusoikeuden rajoitukset:

Rekisteröidyllä on salassapitosäännösten estämättä oikeus tiedon etsimiseksi tarpeelliset seikat ilmoitettuaan saada tietää, mitä häntä koskevia tietoja henkilörekisteriin on talletettu tai, ettei rekisterissä ole häntä koskevia tietoja. Rekisterinpitäjän on samalla ilmoitettava rekisteröidylle rekisterin säännönmukaiset tietolähteet sekä, mihin rekisterin tietoja käytetään ja säännönmukaisesti luovutetaan.

Rekisteröidyllä on oikeus saada tarkastaa ainoastaan ne tiedot, jotka eivät ole tarkastusoikeuden rajoitusten poissulkemia. Rajoitusehdot ovat tarkastettavissa: Henkilötietolaki (523/1999) 27§.

Rekisterinpitäjä saa periä tietojen antamisesta korvauksen vain, jos siitä, kun asianomainen edellisen kerran sai tarkastettavakseen rekisterin tiedot, on kulunut vähemmän kuin yksi vuosi. Perittävän korvauksen tulee olla kohtuullinen eikä se saa ylittää tiedon antamisesta aiheutuvia välittömiä kustannuksia.

Henkilötietolaki (523/1999) 28 § Tarkastusoikeuden toteuttaminen:

Sen, joka haluaa tarkastaa itseään koskevat tiedot 26 §:ssä tarkoitetulla tavalla, on esitettävä tätä tarkoittava pyyntö rekisterinpitäjälle omakätisesti allekirjoitetussa tai sitä vastaavalla tavalla varmennetussa asiakirjassa tai henkilökohtaisesti rekisterinpitäjän luona.

Rekisterinpitäjän on ilman aiheetonta viivytystä varattava rekisteröidylle tilaisuus tutustua 26 §:ssä tarkoitettuihin tietoihin tai annettava tiedot pyydettäessä kirjallisesti. Tiedot on annettava ymmärrettävässä muodossa. Jos rekisterinpitäjä kieltäytyy antamasta tietoja, hänen on annettava tästä kirjallinen todistus. Todistuksessa on mainittava myös ne syyt, joiden vuoksi tarkastusoikeus on evätty. Tarkastusoikeuden epäämisen veroisena pidetään sitä, että rekisterinpitäjä ei ole kolmen kuukauden kuluessa pyynnön esittämisestä antanut kirjallista vastausta rekisteröidylle. Rekisteröity voi saattaa asian tietosuojavaltuutetun käsiteltäväksi.

Tarkastuspyyntö on osoitettava tämän rekisterin yhteyshenkilölle (apteekkari) tai apteekin henkilökunnalle. Apteekkari vastaa tarkastuspyyntöön ja on vastuussa tietojen antamisesta lain edellyttämin perustein.



Rekisteröidyn oikeus saada jäljennös häntä koskevista henkilötiedoista

EU:n yleinen tietosuoja-asetus (679/2016):

Rekisteröidyllä on oikeus saada jäljennös häntä koskevista henkilötiedoista. Rekisterinpitäjän on toimitettava henkilötietojen käsittelyä koskevat tiedot rekisteröidylle tiiviisti esitetyssä, läpinäkyvässä, helposti ymmärrettävässä ja saatavilla olevassa muodossa.

Jos rekisteröity esittää oikeutta koskevan pyynnön sähköisesti, rekisterinpitäjän on toimitettava tiedot yleisesti käytetyssä sähköisessä muodossa, ellei rekisteröity toisin pyydä.

Tietosuoja-asetuksessa aikaraja rekisteröidyn esittämään pyyntöön reagoimiselle on yksi (1) kuukausi. Määräaikaa voidaan tarvittaessa jatkaa enintään kahdella (2) kuukaudella ottaen huomioon pyyntöjen monimutkaisuus ja määrä. Rekisterinpitäjän on ilmoitettava rekisteröidylle mahdollisesta määräajan jatkamisesta kuukauden kuluessa pyynnön vastaanottamisesta sekä kerrottava viivästymisen syyt.


Rekisteröidyn oikeus siirtää tiedot järjestelmästä toiseen

EU:n yleinen tietosuoja-asetus (679/2016)

Asetuksen mukaan rekisteröidyllä on oikeus siirtää rekisterinpitäjälle toimittamansa häntä koskevat henkilötiedot rekisterinpitäjältä toiselle sen rekisterinpitäjän estämättä, jolle tiedot on toimitettu. Rekisteröidyllä on oikeus saada henkilötiedot siirrettyä suoraan rekisterinpitäjältä toiselle, mikäli se on teknisesti mahdollista.

Tiedot on voitava siirtää jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa.

Rekisteröidyllä on oikeus siirtoon vain silloin, jos käsittely perustuu suostumukseen tai sopimukseen, ja jos käsittely suoritetaan automaattisesti.

Rekisteröidyn oikeutta siirtää tiedot järjestelmästä toiseen ei sovelleta käsittelyyn, joka on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi. Rekisteröidyn oikeus ei saa myöskään vaikuttaa haitallisesti muiden oikeuksiin ja vapauksiin.


Rekisteröidyn oikeus häntä koskevien tietojen oikaisemiseen

Henkilötietolaki (523/1999) 29 § Tiedon korjaaminen

Rekisterinpitäjän on ilman aiheetonta viivytystä oma-aloitteisesti tai rekisteröidyn vaatimuksesta oikaistava, poistettava tai täydennettävä rekisterissä oleva, käsittelyn tarkoituksen kannalta virheellinen, tarpeeton, puutteellinen tai vanhentunut henkilötieto.

Jollei rekisterinpitäjä hyväksy rekisteröidyn vaatimusta tiedon korjaamisesta, hänen on annettava asiasta kirjallinen todistus. Todistuksessa on mainittava myös ne syyt, joiden vuoksi vaatimusta ei ole hyväksytty. Rekisteröity voi saattaa asian tietosuojavaltuutetun käsiteltäväksi.

Rekisterinpitäjän on ilmoitettava tiedon korjaamisesta sille, jolle rekisterinpitäjä on luovuttanut tai jolta rekisterinpitäjä on saanut virheellisen henkilötiedon. Ilmoitusvelvollisuutta ei kuitenkaan ole, jos ilmoittaminen on mahdotonta tai vaatii kohtuutonta vaivaa.


Rekisteröidyn oikeus tulla unohdetuksi

EU:n yleinen tietosuoja-asetus (679/2016): Oikeus tulla unohdetuksi

Rekisteröidyllä on oikeus tulla unohdetuksi eli hänellä on oikeus häntä koskevien tietojen poistamiseen tästä rekisteristä ja muiden rekisterinpitäjien rekistereistä, joille tämän rekisterin rekisterinpitäjä on tietoja luovuttanut.


Rekisteröidyn oikeus vastustaa käsittelyä, automaattista päätöksentekoa ja profilointia, kielto-oikeus

Henkilötietolaki (523/1999) 30 § Kielto-oikeus, 31 § Automatisoitu päätös, EU:n yleinen tietosuoja-asetus (679/2016)

Rekisteröidyllä on oikeus vastustaa ja kieltää rekisterinpitäjää käsittelemästä häntä itseään koskevia tietoja henkilökohtaisesta syystä. Rekisterinpitäjä ei saa enää käsitellä henkilötietoja, paitsi jos rekisterinpitäjä voi osoittaa, että käsittelyyn on olemassa huomattavan tärkeä ja perusteltu syy.

Rekisteröidyllä on oikeus olla joutumatta sellaisen päätöksen kohteeksi, joka perustuu pelkästään automaattiseen käsittelyyn, kuten profilointiin, ja josta aiheutuu rekisteröidylle oikeudellisia vaikutuksia tai joka muuten vaikuttaa häneen merkittävällä tavalla.

Automatisoitu päätös on sallittua vain, jos siitä on laissa säädetty, tai rekisteröity on antanut tähän suostumuksena, tai jos päätös on välttämätöntä tehdä sopimuksen tekemisen tai täytäntöönpanon yhteydessä edellytyksellä, että rekisteröidyn oikeuksien suojaaminen varmistetaan tai että päätöksellä täytetään rekisteröidyn sopimuksen tekemistä tai täytäntöönpanoa koskeva pyyntö.

Verkkoapteekissa ei suoriteta profilointia.


Rekisteröidyn oikeus saada ilmoitus tietoturvaloukkauksesta

EU:n yleinen tietosuoja-asetus (679/2016):Henkilötietojen tietoturvaloukkauksesta ilmoittaminen rekisteröidylle

Kun henkilötietojen tietoturvaloukkaus todennäköisesti aiheuttaa korkean riskin luonnollisten henkilöiden oikeuksille ja vapauksille, rekisterinpitäjän on ilmoitettava tietoturvaloukkauksesta rekisteröidylle ilman aiheetonta viivytystä.

Rekisteröidylle annettavassa ilmoituksessa kuvataan selkeällä ja yksinkertaisella kielellä henkilötietojen tietoturvaloukkauksen luonne.


Rekisteröidyn oikeus tehdä valitus valvontaviranomaiselle

EU:n yleinen tietosuoja-asetus (679/2016), Henkilötietolaki (523/1999)

Rekisteröidyllä on oikeus tehdä valitus viranomaiselle. Henkilötietoja valvova viranomainen on tietosuojavaltuutetun toimisto.