DAO OÜ ISIKUANDMETE TÖÖTLEMISE REEGLISTIK
1. REEGLISTIKU EESMÄRK
Isikuandmete töötlemise reeglistiku eesmärk on anda kliendile teavet, missuguseid kliendi andmeid ja miks DAO OÜ töötleb, kuidas toimub andmete töötlemine ning missugused on kliendi õigused seoses isikuandmete töötlemisega.
Isikuandmete töötlemise reeglistik täidab Euroopa Parlamendi ja Nõukogu Määruse (EL) 2016/679, 27. aprill 2016, füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (edaspidi Määrus) artiklitest 13 ja 14 tuleneva teavitamiskohustuse.
2. MÕISTED
3.1. Dao – DAO OÜ (edaspidi Dao).
3.2. Andmesubjekt – inimene, kelle isikuandmeid töödeldakse, eelkõige klient, sh patsient.
3.3. Isikuandmed – mistahes andmed tuvastatud või tuvastatava inimese kohta, sõltumata sellest, millisel kujul või millises vormis on need andmed.
3.4. Eriliigilised isikuandmed – andmed terviseseisundi, puude, pärilikkuse informatsiooni, seksuaalelu või ametiühingu liikmelisuse kohta; biomeetrilised andmed, etnilist päritolu ja rassilist kuuluvust kirjeldavad andmed ning andmed inimese poliitiliste, usuliste ja maailmavaateliste vaadete kohta.
3.5. Isikuandmete töötlemine – iga isikuandmetega tehtav toiming, sh isikuandmete kogumine, salvestamine, korrastamine, säilitamine, muutmine, avalikustamine; isikuandmetele juurdepääsu võimaldamine, päringute teostamine ja väljavõtete tegemine; isikuandmete kasutamine, edastamine, ristkasutamine, ühendamine, sulgemine, kustutamine või hävitamine; või mitu eelnimetatud toimingut, sõltumata toimingute teostamise viisist ja kasutatavatest vahenditest.
3.6. Isikuandmete töötleja – füüsiline või juriidiline isik, kes töötleb või kelle ülesandel töödeldakse isikuandmeid.
3.7. Teenus – Dao pakutavad kaubad ja teenused, mille nimekirjaga on võimalik tutvuda siin: http://www.tervisealkeemia.ee (edaspidi Teenus).
3.8. Klient – inimene, kes on avaldanud soovi saada või on saanud Daolt ühte või mitut Teenust.
3. ISIKUANDMETE TÖÖTLEJAD JA ANDMEKAITSESPETSIALIST
2.1. Isikuandmete vastutav töötleja: Dao OÜ
Registrikood: 10943277
Telefon: + 372 6048668; +372 55520119
Juriidiline aadress: Tartu maakond, Tartu linn, Lootuse tn 21-5, 50108
E-post: info@tervisealkeemia.ee
2.2. Dao avaldab isikuandmeid oma koostööpartneritele, kes käituvad kliendi isikuandmete suhtes kui volitatud töötlejad, osutamaks Daole teenuseid, näiteks IT-, logistika-, õigusabi-, turundusteenused.
2.3. Samuti töötlevad
kliendi isikuandmeid Dao juhtkond, arstid, praktikandid ja töötajad, kellel on oma
töökohustustest tulenevalt õigus ning vajadus kliendi isikuandmeid töödelda.
Seadusest tulenevatel juhtudel ning alustel avaldab Dao kliendi isikuandmeid ka
avaliku sektori asutustele (nt maksuametile), õiguskaitseorganitele või muudele
riigiasutustele.
4. ISIKUANDMETE TÖÖTLEMISE ALUS, EESMÄRGID JA SÄILITAMISE TÄHTAJAD
4.1. Dao töötleb kliendi üldandmeid: ees- ja perekonnanimi; sünniaeg; kontaktandmed – telefoninumber, koduaadress, e-posti aadress. Dao töötleb kliendi eriliigilisi isikuandmeid, s.o. terviseandmeid.
4.2. Daos on isikuandmete töötlemise alusteks:
4.2.1. kliendiga sõlmitud kokkulepe või leping ja selle täitmine;
4.2.2. Dao õigustatud huvi;
4.2.3. Dao juriidilise kohustuse täitmine;
4.2.4. kliendi nõusolek;
4.2.5. tervishoiuteenuse osutamisel täiendavalt tervishoiuteenuste korraldamise seadus.
4.3. Teenuse osutamise eelduseks on isikuandmete esitamine.
4.4. Daos töödeldavad andmed pärinevad kliendilt, alaealise kliendi vanematelt, piiratud teovõimega patsiendi eestkostjalt.
4.5. Dao töötleb isikuandmeid järgmistel eesmärkidel ja alustel:
4.5.1. Kliendi registreerimiseks, registreerimisega seonduvate toimingute tegemiseks, kliendiga ühenduse võtmiseks ning kliendipoolse kontakti korral kliendi identifitseerimiseks. Kasutatavad isikuandmed: eesnimi, perekonnanimi, sünniaeg, e-posti aadress, telefoninumber, ankeedis tingimuste aktsepteerimise fakt. Alus: kliendiga sõlmitud kokkulepe või leping ja selle täitmine.
4.5.2. Isikuga ühenduse võtmiseks juhul, kui kõigi eelnevas punktis antud kontaktandmete kasutamine ei ole tulemust andud. Kasutatavad isikuandmed: aadress. Alus: kliendiga sõlmitud kokkulepe või leping ja selle täitmine
4.5.3. Tervishoiuteenuse osutamiseks. Kasutatavad isikuandmed: eesnimi, perekonnanimi, sünniaeg, e-posti aadress, terviseandmed, elukutse, laste arv. Alus: kliendiga sõlmitud kokkulepe või leping ja selle täitmine, tervishoiuteenuste korraldamise seadus.
4.5.4. Teenuse osutamise lepingu täitmiseks (koolitus, teraapia, treening). Kasutatavad isikuandmed: eesnimi, perekonnanimi, sünniaeg, e-posti aadress, terviseandmed, elukutse, laste arv. Alus: kliendiga sõlmitud kokkulepe või leping ja selle täitmine.
4.5.5. Üksikute müügilepingute täitmiseks ehk Daolt tellitud Teenuste kohaletoimetamiseks. Kasutatavad isikuandmed: e-posti aadress, telefoninumber, kliendi eesnimi, perekonnanimi, aadress. Alus: kliendiga sõlmitud kokkulepe või leping ja selle täitmine
4.5.6. Raamatupidamislikel ja maksuarvestuslikel eesmärkidel. Kasutatavad isikuandmed: vastavalt raamatupidamise seaduses ning maksuseadustes sätestatule. Alus: raamatupidamisseadus ning muud kohalduvad seaduses ja õigusaktid.
4.5.7. Muudel seadustest tulenevate kohustuste täitmiseks, näiteks täitmaks õiguskaitseasutuste korraldusi, taotlusi ning päringuid. Kasutatavad isikuandmed: sõltuvalt konkreetsest juhtumist. Alus: õigustatud huvi, muud kohalduvad seadused ja õigusaktid.
4.5.8. Otseturunduslikel eesmärkidel (nt uudiskirja saamiseks), kui klient on ankeedis märkinud vastava sooviavalduse saada reklaamkirju. Kasutatavad andmed: kliendi eesnimi, perekonnanimi, e-postiaadress. Alus: kliendi nõusolek.
4.5.9. Dao ooteruumis (aadress: Tulika 19, 10613 Tallinn) kasutatakse turvakaamerat inimeste (klientide, töötajate vms) ja nende vara ning Dao vara kaitse eesmärgil, võimalike õigusrikkumiste tuvastamise ja vastavas menetluses tõendamise eesmärgil. Kaamera salvestised on nähtavad Dao juhatusele ja töötajatele, kellele on väljastatud selleks kasutajatunnus ning parool. Kaamerapilti reaalajas ei jälgita. Seaduses sätestatud juhtudel väljastatakse salvestusi korrakaitseorganitele. Muudel isikutel, sh klientidel, ei ole teiste klientide privaatsuse tagamiseks lubatud kasutada salvestusvahendeid. Kaamera kasutamisest teavitatakse isikuid videovalve kleebisega Dao välisuksel, millelt nähtub kaamera kasutamise fakt (turvakaamera kujutis), isikuandmete töötleja ehk Dao ärinimi ja kontaktandmed. Alus: õigustatud huvi.
4.6. Dao säilitab isikuandmeid sisalduvaid dokumente õigusaktides sätestatud tähtajani või juhul, kui selliseid tähtaegu ei ole õigusaktides määratud, kuni hetkeni, millal on isikuandmete algse kogumise eesmärk saavutatud. Käesoleva Korra koostamisel on tähtajad järgmised:
4.6.1. Raamatupidamisliku tähtsusega isikuandmeid säilitatakse seitse aastat alates vastava kirje kui raamatupidamise algdokumendi tekkest, arvestades raamatupidamise seadusest tulenevaid nõudeid.
4.6.2. Müügi- või teenuse osutamise lepingut, lepinguga seotud dokumente, samuti kirjavahetusi ning muud dokumenteeritud suhtlust kliendiga säilitatakse kolm aastat alates vastava lepingu või suhtluse lõpust, kuivõrd sellesisulise andmestiku säilitamine on oluline Dao õiguste kaitsmiseks seoses nõuete aegumisega.
4.6.3. Mistahes nõusolekuga seotud andmeid säilitatakse nii kaua, kuni neid on vaja teenuse osutamiseks ja kuniks kliendi antud nõusolek on kehtiv ning seda ei ole tagasi võetud.
4.6.4. Tervishoiuteenuste osutamist tõendavate dokumentide säilitamisel järgib Dao sotsiaalministri 18.09.2008 määruses nr. 56 „Tervishoiuteenuse osutamise dokumenteerimise ning nende dokumentide säilitamise tingimused ja kord“ märgitud tähtaegu.
4.6.5. Kaamera videosalvestusi säilitatakse kaks kuud, välja arvatud juhul, kui salvestist on vaja kasutada ka pärast nimetatud perioodi lõppemist käesolevas Korras märgitud eesmärgi saavutamiseks.
4.7. Pärast säilitustähtaja lõppemist isikuandmed kustutatakse või hävitatakse viisil, mis välistab isikuandmete loetavuse. Digitaalsete andmekandjate suuremate koguste kustutamise ja hävitamise puhul kasutatakse dokumendihävitusfirma teenust, üksikud digitaalsed andmekandjad kustutatakse, kasutades failide ülekirjutamisprogramme; paberandmekandjate hävitamiseks kasutatakse paberihunti, suuremate koguste korral kasutatakse dokumendihävitusfirma teenust.
5. KLIENDI ÕIGUSED
5.1. Kliendil on õigus:
5.1.1. taotleda juurdepääsu teda puudutavatele isikuandmetele;
5.1.2. nõuda, et Dao parandaks tema kohta käivad ebaõiged andmed või täiendaks ebatäielikke andmeid;
5.1.3. nõuda andmete kustutamist, kui:
5.1.3.1. andmeid ei ole enam vaja algse kogumise või töötlemise eesmärgil;
5.1.3.2. klient on võtnud tagasi andmete töötlemiseks antud nõusoleku ning puuduvad muud alused andmete töötlemiseks;
5.1.3.3. isikuandmeid on töödeldud ebaseaduslikult; või
5.1.3.4. selline õigus tuleneb Dao suhtes otse kohalduvast Euroopa Liidu või liikmesriigi õigusest.
5.1.4. taotleda isikuandmete töötlemise piiramist, kui:
5.1.4.1. ta on vaidlustanud isikuandmete õigsuse;
5.1.4.2. isikuandmete töötlemine on ebaseaduslik ja klient ei esita kustutamise nõuet; või
5.1.4.3. Dao ei vaja isikuandmeid enam töötlemise eesmärgil, ent klient vajab neid õigusnõuete esitamiseks, koostamiseks või kaitsmiseks.
5.1.5. esitada vastuväiteid isikuandmete töötlemisele;
5.1.6. taotleda Daole esitatud andmete ülekandmist teisele isikuandmete töötlejale, kui andmete töötlemine toimus lepingu täitmiseks ning andmeid töödeldi automatiseeritult. Paberkandjal olevad (esitatud) isikuandmed ülekandmisele ei kuulu.
5.1.7. esitada isikuandmete töötlemisega seotud kaebus järelevalveasutusele ehk Andmekaitse Inspektsioonile või kohtusse.
5.1.8. võtta tagasi oma nõusolekud töötlemistoimingute suhtes, mille suhtes klient on oma nõusoleku andnud. Nõusoleku tagasivõtmine ei mõjuta enne tagasivõtmist nõusoleku alusel toimunud andmetöötluse seaduslikkust. Isegi pärast nõusoleku tagasivõtmist võib Dao jätkata isikuandmete töötlemist ulatuses, mis on vajalik seadusest või Euroopa Liidu õigusest tulenevate kohustuste täitmiseks.
5.2. Kui klient on esitanud andmete kustutamise või andmete töötlemise piiramise nõude, edastab Dao teabe selle kohta kõikidele vastuvõtjatele, kellele isikuandmeid on edastatud, v.a juhul, kui see osutub võimatuks või nõuab ebaproportsionaalseid jõupingutusi. Daol on õigus keelduda andmete kustutamisest, kui see on vajalik:
5.2.1. Euroopa Liidu või liikmesriigi õigusest Daole tuleneva kohustuse või avalikes huvides oleva ülesande täitmiseks, eelkõige tervishoiuteenuse dokumenteerimise ning dokumentide säilitamise kohustusest;
5.2.2. rahvatervise valdkonnas avaliku huviga seotud põhjustel, kui andmete töötlejaks on isik, kellel on Euroopa Liidu või liikmesriigi õigusest tulenev saladuse hoidmise kohustus;
5.2.3. avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilistel eesmärkidel; või
5.2.4. õigusnõuete koostamiseks, esitamiseks või kaitsmiseks.
5.3. Eelpoolnimetatud õiguste realiseerimiseks esitab klient vastava soovi kirjalikult allkirjastatuna või e-kirja teel, kasutades e-posti aadressi, mille ta on ise varasemalt Daole endaga kontakteerumiseks esitanud. Dao väljastab nõutavad andmed koos isikuandmete töötlemise reeglistikuga või põhjendab andmete väljastamisest keeldumist avalduse saamisest ühe kuu jooksul.
5.4. Andmed väljastatakse kliendile viisil, milles klient esitas sooviavalduse (kirjalikult või elektrooniliselt). Paberkandjal terviseandmed antakse taotlejale isikut tõendava dokumendi alusel. Elektrooniliselt edastatakse andmed krüpteeritult. Daol on õigus andmete väljastamise eest nõuda kliendilt mõistlikku tasu.
5.5. Dao keeldub andmete väljastamisest, kui esineb seaduses toodud alus või kui Daol on kahtlusi andmete soovija identiteedis.
6. ISIKUANDMETE EDASTAMINE KOLMANDATELE ISIKUTELE
6.1. Dao edastab andmeid kolmandatele isikutele, kui selline kohustus tuleneb Eesti või Euroopa Liidu õigusest, samuti punktides 4.3. nimetatud juhul märgitud punktides väljendatud isikutele.
6.2. Dao ei edasta isikuandmeid kolmandatesse riikidesse.
7. ISIKUANDMETE RIKKUMISEST TEAVITAMINE
7.1. Dao teavitab klienti viivitamatult isikuandmetega seotud rikkumisest, kui see tõenäoliselt kujutab endast suurt ohtu kliendi õigustele ja vabadustele.
7.2. Daol puudub teavitamiskohustust, kui:
7.2.1. Isikuandmete töötlemisel oli kasutatud vajalikke tehnilisi ja korralduslikke turvameetmeid, mis muudavad andmed juurdepääsuõiguseta isikutele loetamatuks;
7.2.2. Dao on võtnud kasutusele vajalikke meetmeid, et muuta ohu teke ebatõenäoliseks;
7.2.3. See nõuab ebaproportsionaalseid jõupingutusi;
7.3. Kui teavitamise kohustus puudub teavitamisega kaasnevate ebaproportsionaalsete jõupingutuste tõttu, tehakse avalik teadaanne või valitakse muu taoline meede, mis tagab kõikide rikkumisest puudutatud klientide tulemusliku teavitamise.