Tietosuojaseloste

Tämä on EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen selvitys henkilötietojen käsittelystä.

Rekisterinpitäjä

Porin Karhu apteekki

Y-tunnus: 2194264-6

osoite: Itäkeskuksenkaari 6, 28130 PORI

Tietosuoja-asioita koskevat yhteydenotot

Kaikissa henkilötietojen käsittelyyn liittyvissä kysymyksissä ja omien oikeuksien käyttämiseen liittyvissä tilanteissa rekisteröityä kehotetaan ottamaan yhteyttä rekisterin pitäjään.

Henkilötietojen käsittelyn peruste ja tarkoitus

Henkilötietojen käsittelyn oikeusperusteita ovat seuraavat EU:n yleisen tietosuoja-asetuksen (jäljempänä myös ”GDPR”) mukaiset perusteet:

rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten (GDPR 6 art. 1.a);

käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä (GDPR 6 art. 1.b);

käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi (GDPR 6 art. 1.f).

Edellä mainittu rekisterinpitäjän oikeutettu etu perustuu rekisteröidyn henkilön ja rekisterinpitäjän välillä olevaan merkitykselliseen ja asianmukaiseen suhteeseen, joka on seurausta siitä, että rekisteröity on rekisterinpitäjän asiakas, ja kun käsittely tapahtuu tarkoituksiin, joita rekisteröity on kohtuudella voinut odottaa henkilötietojen keräämisen ajankohtana ja asianmukaisen suhteen yhteydessä.

Henkilötietoja käsitellään tarkoituksissa, jotka liittyvät asiakassuhteen hoitamiseen, hallinnointiin ja kehittämiseen, palvelujen tarjoamiseen ja toimittamiseen sekä palvelujen kehittämiseen ja laskutukseen liittyen. Henkilötietoja käsitellään myös mahdollisten reklamaatioiden ja muiden vaatimusten selvittämisen edellyttämissä tarkoituksissa.

Lisäksi henkilötietoja käsitellään asiakkaille suunnatussa viestinnässä kuten tiedotus- ja uutisointitarkoituksissa sekä markkinoinnissa, jonka osana henkilötietoja käsitellään myös suoramarkkinointiin ja sähköiseen suoramarkkinointiin liittyvissä tarkoituksissa.

Reseptilääketilausten ja Suomi.fi-tunnistautumisen kautta saatua henkilötietoa ei käytetä markkinointiin, analysointiin tai profilointiin.

Asiakkaalla on oikeus kieltää hänelle kohdistettu suoramarkkinointi.

Rekisterinpitäjä käsittelee tietoja itse sekä hyödyntää henkilötietojen käsittelyssä rekisterinpitäjän puolesta ja lukuun toimivia alihankkijoita.

Säännönmukaiset tietolähteet

Käsiteltävät henkilötiedot saadaan säännönmukaisesti seuraavista lähteistä:

  • Rekisteröidyltä itseltään

  • Suomi.fi -tunnistautumisen kautta

Rekisterin tietosisältö

Rekisterinpitäjä kerää rekisteröidyistä vain sellaisia henkilötietoja, jotka ovat olennaisia ja tarpeellisia tässä tietosuojaselosteessa selostettujen käyttötarkoitusten kannalta.

Rekisteröidyistä käsitellään seuraavia tietoja:

  • etu- ja sukunimi

  • asiakasnumero

  • syntymäaika

  • osoitetiedot

  • puhelinnumero

  • sähköposti

  • tiedot lääkeneuvontatarpeesta

  • evästetiedot

  • ostotapahtuma

  • suoramarkkinointiluvat ja -kiellot

Reseptilääketilauksilla ja Suomi.fi-tunnistuksen kautta saadut asiakkaan tiedot tallennetaan vain tilauksen käsittelyä ja lain edellyttämää säilytystä varten. Reseptilääketilauksien ja Suomi.fi-tunnistuksen kautta kerätyt tiedot tallennetaan verkkokaupan tarjoajan tietojärjestelmään vain tilauksen käsittely ajaksi ja anonymisoidaan 48 tuntia tilauksen käsittelyn päätyttyä.

Henkilötietojen luovuttaminen

Henkilötietoja ei luovuteta ulkopuolisille, ellei laissa aseteta siihen velvoitetta. Tietoja voidaan siis poikkeuksellisesti luovuttaa esimerkiksi viranomaisille lain vaatimuksesta.

Henkilötietojen siirrot kolmansiin maihin

Henkilötietoja ei siirretä EU:n ja Euroopan talousalueen ulkopuolelle.

Henkilötietojen suojaus

Rekisterinpitäjä käsittelee henkilötietoja tavalla, jolla pyritään varmistamaan henkilötietojen asianmukainen turvallisuus, mukaan lukien suojaaminen luvattomalta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta.

Rekisterinpitäjä käyttää asianmukaisia teknisiä ja organisatorisia suojatoimia tämän tavoitteen varmistamiseksi, mukaan lukien palomuurien, salaustekniikoiden ja turvallisten laitetilojen käyttö, asianmukainen kulunvalvonta, tietojärjestelmien käyttäjätunnusten huolellinen hallinta sekä henkilötietojen käsittelyyn osallistuvan henkilöstön ohjeistaminen.

Kaikilla henkilötietoja käsittelevillä työntekijöillä on työsopimuslain (55/2001) ja niitä täydentävien salassapitosopimusten perusteella vaitiolovelvollisuus rekisteröityjen henkilötietojen käsittelyyn liittyvistä asioista.

Tietojen säilytysaika

Rekisteriin kerättyjä tietoja säilytetään ainoastaan niin kauan ja siinä laajuudessa kuin on tarpeellista suhteessa niihin alkuperäisiin tai yhteensopiviin tarkoituksiin, joihin henkilötiedot on kerätty.

Henkilötietojen säilyttämisen tarvetta arvioidaan 2 vuoden välein; ja joka tapauksessa rekisteröityä henkilöä koskevat tiedot poistetaan rekisteristä 13 kuukautta sen jälkeen, kun kyseisen rekisteröidyn asiakassuhde rekisterinpitäjään on päättynyt, ja asiakassuhteeseen liittyvät velvollisuudet ja toimenpiteet on suoritettu loppuun. Esimerkiksi kirjanpitotositteita säilytetään kuusi vuotta tilikauden päättymisestä.

Rekisterinpitäjä arvioi tietojen säilyttämisen tarpeellisuutta säännöllisesti sisäisten käytännesääntöjensä mukaisesti. Lisäksi rekisterinpitäjä toteuttaa kaikki mahdolliset kohtuulliset toimenpiteet sen varmistamiseksi, että käsittelyn tarkoituksiin nähden epätarkat, virheelliset tai vanhentuneet henkilötiedot poistetaan tai oikaistaan viipymättä.

Profilointi

Henkilötietojen käsittely sisältää profilointia. Profiloinnilla tarkoitetaan henkilötietojen automaattista käsittelyä, jossa tietoja käyttämällä arvioidaan tiettyjä rekisteröidyn henkilökohtaisia ominaisuuksia. Rekisteröityjä profiloidaan, jotta heille voidaan helpommin kohdentaa heidän kiinnostuksen kohteitaan vastaavaa suoramarkkinointia ja muuta viestintää.

Profiloinnissa ei käytetä arkaluonteisia henkilötietoja, reseptilääketietoja tai Suomi.fi-tunniksen kautta saatua tietoa.

Rekisteröidyn oikeudet

Oikeus saada pääsy henkilötietoihin

Rekisteröidyllä on oikeus saada vahvistus siitä, käsitelläänkö häntä koskevia henkilötietoja, ja jos käsitellään, oikeus saada kopio henkilötiedoistaan.

Oikeus tietojen oikaisemiseen

Rekisteröidyllä on oikeus pyytää, että häntä koskevat epätarkat ja virheelliset henkilötiedot korjataan. Rekisteröidyllä on myös oikeus saada puutteelliset henkilötiedot täydennettyä toimittamalla tarvittavat lisätiedot.

Oikeus tietojen poistamiseen

Rekisteröidyllä on oikeus pyytää itseään koskevien henkilötietojen poistamista, jos

a. henkilötietoja ei enää tarvita niihin tarkoituksiin, joita varten ne on kerätty; tai

b. henkilötietoja on käsitelty lainvastaisesti.

Oikeus käsittelyn rajoittamiseen

Rekisteröidyllä on oikeus rajoittaa itseään koskevien henkilötietojen käsittelyä, jos

a. rekisteröity kiistää henkilötietojensa paikkansapitävyyden;

b. käsittely on lainvastaista, ja rekisteröity vastustaa henkilötietojensa poistamista ja vaatii sen sijaan niiden käytön rajoittamista; tai

c. rekisterinpitäjä ei enää tarvitse henkilötietoja käsittelyn alkuperäisiin tarkoituksiin, mutta rekisteröity tarvitsee niitä oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi.

Oikeus olla joutumatta automatisoitujen päätösten kohteeksi

Rekisteröidyllä on oikeus olla joutumatta sellaisen päätöksen kohteeksi, joka perustuu pelkästään automaattiseen käsittelyyn, kuten profilointiin, ja jolla on häntä koskevia oikeusvaikutuksia tai joka vaikuttaa häneen vastaavalla tavalla merkittävästi.

Edellä olevaa ei sovelleta, jos päätös on välttämätön rekisteröidyn ja rekisterinpitäjän välisen sopimuksen tekemistä tai täytäntöönpanoa varten tai perustuu rekisteröidyn nimenomaiseen suostumukseen.

Oikeus siirtää tiedot järjestelmästä toiseen

Rekisteröidyllä on oikeus saada häntä koskevat ja hänen itse toimittamansa henkilötiedot jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa ja oikeus siirtää kyseiset tiedot toiselle rekisterinpitäjälle.

Oikeus tehdä valitus valvontaviranomaiselle

Henkilötietoasioiden kansallisena valvontaviranomaisena on oikeusministeriön yhteydessä toimiva tietosuojavaltuutetun toimisto. Sinulla on oikeus saattaa asiasi valvontaviranomaisen käsiteltäväksi, jos katsot, että sinua koskevien henkilötietojen käsittelyssä rikotaan sitä koskevaa lainsäädäntöä.

Tietosuojakäytäntöjen muuttaminen

Rekisterinpitäjä kehittää toimintaansa jatkuvasti ja voi sen johdosta joutua tarpeen mukaan muuttamaan ja päivittämään tietosuojakäytäntöjään. Muutokset voivat perustua myös tietosuojaa koskevan lainsäädännön muuttumiseen.

Mikäli muutokset pitävät sisällään uusia tarkoituksia henkilötietojen käsittelylle tai muutoin muuttuvat merkittävästi, rekisterinpitäjä ilmoittaa niistä etukäteen ja pyytää tarvittaessa suostumuksen.