Tietosuojakäytäntö

1 Rekisterin nimi

Turun 9. Pyhän Henrikin apteekin verkkopalvelun (Apteekkiverkkokauppa.fi) asiakasrekisteri (myöhemmin ”Rekisteri”).

2 Rekisterinpitäjä

Rekisteriä pitää Pyhän Henrikin apteekki (myöhemmin ”Apteekki”).

Yhteystiedot:
Turun 9. Pyhän Henrikin apteekki
Kalevantie 41 20520
Turku

p. (02) 275 2150
info@pyhahenrik.fi

3 Rekisterin yhteyshenkilö

Rekisteriin liittyvissä kysymyksissä ja muissa rekisteriä koskevissa asioissa tulee ottaa yhteyttä apteekkari Harri Kanervaan.

Yhteystiedot:
Harri Kanerva
Kalevantie 41 20520
Turku

harri.kanerva@pyhahenrik.fi TAI info@pyhahenrik.fi p. (02) 275 2170

4 Apteekin tietosuojavastaava

Apteekin tietosuojavastaavana toimii farmaseutti Miikael Halonen.

5 Rekisterin julkisuus

Rekisterin sisältämät tiedot on rajoitettu yrityksen tiedoiksi ja ne ovat saatavilla vain Apteekin määrittelemille valtuutetuille käyttäjille. Rekisterin käyttäjätunnuksien julkisuutta rajoitetaan tietosuojallisista syistä.

6 Henkilötietojen käsittelyn tarkoitus

Henkilötietoja kerätään tiettyä, nimenomaista ja laillista tarkoitusta varten. Asiakasrekisteriä käytetään henkilötietolain ja kulloinkin voimassaolevan muun lainsäädännön mukaisesti.

Henkilötietoja kerätään asiakkaiden ostamien tuotteiden toimittamiseen, maksujen ja muiden ostotapahtumaan liittyvien oikeuksien ja velvollisuuksien toteuttamiseen sekä tuotteiden ja palvelujen kehittämiseen ja parantamiseen.

Asiakkaalla on oikeus kieltää hänelle kohdistettu suoramarkkinointi.

Henkilötietoja käsitellään tämän tietosuojaselosteen mukaisesti eikä niitä missään tilanteessa luovuteta, muuteta tai siirretä eri tavalla kuin tässä tietosuojaselosteessa on mainittu.

7 Rekisterin tietosisältö

Rekisteriin kerätään ilman rekisteröitymistä ostavilta asiakkailta osto- ja maksutapahtuman tiedot sekä verkkokaupassa tehtyihin ostoihin liittyen verkkopalvelun käyttötiedot (esim. selaushistoria), asiakkaan päätelaitteen IP-osoite ja muut tekniset tiedot sekä lisäksi tuotteiden toimituksen ja sen seurannan kannalta tarpeellisia tietoja esim. asiakkaan nimi, osoite ja muut yhteystiedot.

Rekisteröityneestä asiakkaasta asiakasrekisteriin tallennetaan edellä mainittujen tietojen lisäksi seuraavia asiakkaan itse ilmoittamia sekä asiakassuhteesta kerättäviä käyttötarkoituksen kannalta tarpeellisia asiakkaan tietoja:

  • asiakkaan mahdolliset lääkehoidon ja asiakkuuden kannalta tärkeät erityispiirteet: huomioitavat sairaudet, allergiat, yliherkkyydet, lääkeainesopimattomuudet sekä hoitava lääkäri
  • laskutusta varten mahdollinen työpaikkakassa, vakuutusyhtiö tai muu maksaja
  • sähköiseen lääkemääräykseen liittyvät valtuutukset
  • henkilötunnus reseptilääkkeiden tilauksen yhteydessä
  • käyttäjätunnukset, puhelintunnistuksen turvakysymys/-vastaus
  • tuotteiden ostotiedot
  • tiedot palautteista ja muusta yhteydenpidosta asiakkaan kanssa
  • asiakkaan antamat suostumukset, luvat ja kiellot

8 Säännönmukaiset tietolähteet

Henkilötietoja kerätään ja päivitetään myös sovellettavan lainsäädännön rajoissa yleisesti saatavilla olevista lähteistä, jotka liittyvät rekisterinpitäjän ja rekisteröidyn henkilön välisen asiakassuhteen toteuttamiseen ja joiden avulla rekisterinpitäjä toteuttaa asiakassuhteiden ylläpitämiseen liittyviä velvollisuuksiaan.

Ilman rekisteröitymistä ostavilta asiakkailta tiedot saadaan osto- ja maksutapahtuman sekä toimituksen yhteydessä.

Rekisteröityneiltä asiakkailta tiedot ja niiden muutokset saadaan rekisteröitymisen yhteydessä sekä lisäksi osto- ja maksutapahtuman sekä toimituksen yhteydessä. Näiden lisäksi mahdollisilla muilla asiakkaan ilmoituksilla.

9 Tietojen säännönmukaiset luovutukset

Apteekki luovuttaa yksittäistapauksessa asiakkaan tai sidosryhmän tiedot osoitetulle osapuolelle, jos asianomainen pyytää Apteekkia toimimaan edellä mainitulla tavalla tai jos lainsäädäntöön perustuen lainvoimainen viranomainen vaatii Apteekkia luovuttamaan erikseen yksilöidyn tiedon Apteekin hallussa olevasta tietokannasta.

Verkkokaupan asiakkaan tietoja välitetään mm. seuraaville kolmansille osapuolille, joiden kanssa tietosuojan toteutuminen on varmistettu mm. kirjallisin sopimuksin:

Luovutettava tieto: Osapuolet:
Reseptin toimituksen yhteydessä asiakkaalle reseptillä toimitettavien lääkkeiden toimitustiedot, hintatiedot ja korvaustiedot

Apteekin asiakasrekisteri

Apteekin lääkemääräysrekisteri (reseptipäiväkirja)

Kelan ylläpitämä Reseptikeskus

Kela (lääkekorvaustietojen ylläpitämistä varten)

Reseptin toimituksen yhteydessä asiakkaan toimeentulotuen maksusitoumuksella maksettujen lääkkeiden toimitustiedot, hintatiedot ja korvaustiedot

Kela (Jos maksaja)

Sosiaalitoimisto (Jos maksaja)
Reseptin toimituksen yhteydessä asiakkaan vakuutusyhtiön maksusitoumuksella maksettujen lääkkeiden toimitustiedot, hintatiedot ja korvaustiedot Maksava vakuutusyhtiö
Reseptin toimituksen yhteydessä asiakkaan työpaikkakassan maksamien lääkkeiden toimitustiedot, hintatiedot ja korvaustiedot Maksava työpaikkakassa
Asiakkaan suostumuksesta Kanta-asiakkaiden tiedot Apteekin kanta-asiakasrekisteri
Asiakkaan suostumuksesta asiakkaan nimi, sähköpostiosoite Sähköpostimarkkinointikumppani
Verkkoapteekin oston toimituksen yhteydessä nimi, osoite, puhelinnumero, sähköpostiosoite Logistiikkakumppani (Jos kuljetustapa muu kuin nouto apteekista)
Verkkoapteekin oston yhteydessä maksutiedot, laskutustiedot

Maksunvälittäjä

Verkkokaupan käyttäjästä anonymisoitu tieto mm. sivuston käytöstä Analytiikka- ja tilastointikumppani

10 Tietojen siirto EU:n tai Euroopan talousalueen ulkopuolelle tai kansainväliselle järjestölle

Apteekki on tehnyt päätöksen olla siirtämättä Apteekin hallussa olevia tietoja automaattisesti EU:n tai Euroopan talousalueen ulkopuolelle tai kansainväliselle järjestölle. Apteekki luovuttaa yksittäistapauksessa tiedot kolmansiin maihin tai kansainväliselle järjestölle, jos asiakas tai sidosryhmä on tähän tarkoitukseen antanut Apteekille mandaatin toimia edellä mainitulla tavalla ja Apteekki on yhdessä tietosuojavastaavan sekä Suomen tietosuojaviranomaisen kanssa suorittanut riskiperusteiden ja laatujärjestelmän arvioinnin kolmannen maan tietoturvatason todellisesta tasosta.

Osa analytiikkatyökaluista (esim. Google ja Microsoft) voi käsitellä tietoja myös EU-/ETA-alueen ulkopuolella esim. Yhdysvalloissa tai Englannissa, jolloin tietojenkäsittelyn tason varmistuskeinona ovat EU-komission hyväksymät mallisopimuslausekkeet, tai muu tietosuoja-asetuksen mukainen hyväksytty tapa. Nämä analyysityökalut käyttävät anonymisoitua tietoa sivuilla vierailuista ilman henkilökohtaisia tietoja

11 Rekisterin suojauksen periaatteet

Apteekki ottaa huomioon henkilörekisterin suojauksessa teknisen turvallisuuden ja hallinnolliset sekä tietotekniset vaatimukset. Apteekki suojaa Rekisterin perustuen suorittamansa riskiarvioinnin tuloksiin. Apteekin tietosuojavastaava osallistuu riskien arviointiprosessiin ja antaa puolueettoman lausunnon lopullisesta päätöksestä tietojen suojaamisen osalta, jota Apteekki noudattaa.

Tilat joissa käsitellään henkilötietoja, on suojattu asianmukaisella rakenteellisella suojauksella ja murtohälytysjärjestelmillä sekä riittävällä valvonnalla. Asiakirjat tai tallenteet säilytetään lukituissa tiloissa, joihin ulkopuolisten pääsy on kokonaan kielletty. Vain erikseen nimetyt henkilöt pääsevät niihin käsiksi. Tiedot hävitetään tietoturvaohjeen mukaisesti.

Manuaalinen aineisto: säilytetään lukitussa säilytystilassa.

Asiakasrekisterin tiedot on suojattu salasanalla ja käyttöoikeustasoilla. Tiedot sijaitsevat asianmukaisilla tietoturvaohjelmistoilla ja teknisillä järjestelyillä suojatussa ympäristössä.

Rekisterinpitäjän työntekijät ja muut henkilöt ovat sitoutuneet noudattamaan vaitiolovelvollisuutta ja pitämään salassa henkilötietojen käsittelyn yhteydessä saamansa tiedot.

Verkkopalvelun toteuttaa Vilkas Group Oy. Verkkopalvelun palvelimet sijaitsevat fyysisesti Suomessa, DataCenter Finlandin konesalissa.

Maksupalveluita tuottaa Paytrail, joka toimii myös rekisterinpitäjänä. Suomi.fi tunnistupalveluita tuottaa Digi- ja väestövirasto, joka toimii myös rekisterinpitäjänä. 

12 Tarkastusoikeus

Rekisteröidyllä on oikeus tarkastaa, mitä häntä koskevia tietoja rekisteriin on tallennettu. Lisäksi hänellä on riittävän tarkan ja yksilöidyn tarkastuspyynnön tehtyään oikeus saada tietoonsa itseään koskevat ja tallenteiden sisältämät tiedot. Tarkastuspyyntö tulee osoittaa kirjallisesti ja allekirjoitettuna apteekkarille.

13 Rekisteröidyn oikeudet

Rekisteröidyllä on seuraavat EU:n yleisen tietosuoja-asetuksen mukaiset oikeudet:

  1. oikeus saada rekisterinpitäjältä vahvistus siitä, että häntä koskevia henkilötietoja käsitellään tai että niitä ei käsitellä, ja jos näitä henkilötietoja käsitellään, oikeus saada pääsy henkilötietoihin sekä seuraavat tiedot:(i) käsittelyn tarkoitukset; (ii) kyseessä olevat henkilötietoryhmät; (iii) vastaanottajat tai vastaanottajaryhmät, joille henkilötietoja on luovutettu tai on tarkoitus luovuttaa; (iv) mahdollisuuksien mukaan henkilötietojen suunniteltu säilytysaika tai jos se ei ole mahdollista, tämän ajan määrittämiskriteerit; (v) rekisteröidyn oikeus pyytää rekisterinpitäjältä häntä itseään koskevien henkilötietojen oikaisemista tai poistamista taikka henkilötietojen käsittelyn rajoittamista tai vastustaa tällaista käsittelyä; (vi) oikeus tehdä valitus valvontaviranomaiselle; (vii) jos henkilötietoja ei kerätä rekisteröidyltä, kaikki tietojen alkuperästä käytettävissä olevat tiedot (GDPR 15 art.). Nämä kuvatut perustiedot (i)–(vii) annetaan rekisteröidylle henkilölle tällä lomakkeella;
  2. oikeus peruuttaa suostumus milloin tahansa tämän vaikuttamatta suostumuksen perusteella ennen sen peruuttamista suoritetun käsittelyn lainmukaisuuteen (GDPR 7 art.);
  3. oikeus vaatia, että rekisterinpitäjä oikaisee ilman aiheetonta viivytystä rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot sekä oikeus saada puutteelliset henkilötiedot täydennettyä, muun muassa toimittamalla lisäselvitys ottaen huomioon tarkoitukset, joihin tietoja käsiteltiin (GDPR 16 art.);
  4. oikeus saada rekisterinpitäjä poistamaan rekisteröityä koskevat henkilötiedot ilman aiheetonta viivytystä, edellyttäen, että (i) henkilötietoja ei enää tarvita niihin tarkoituksiin, joita varten ne kerättiin tai joita varten niitä muutoin käsiteltiin; (ii) rekisteröity peruuttaa suostumuksen, johon käsittely on perustunut, eikä käsittelyyn ole muuta laillista perustetta; (iii) rekisteröity vastustaa käsittelyä henkilökohtaiseen erityiseen tilanteeseensa liittyvällä perusteella eikä käsittelyyn ole olemassa perusteltua syytä tai rekisteröity vastustaa käsittelyä suoramarkkinointitarkoituksia varten; (iv) henkilötietoja on käsitelty lainvastaisesti; tai (v) henkilötiedot on poistettava unionin oikeuteen tai kansallisen lainsäädäntöön perustuvan rekisterinpitäjään sovellettavan lakisääteisen velvoitteen noudattamiseksi (GDPR 17 art.);
  5. oikeus siihen, että rekisterinpitäjä rajoittaa käsittelyä, jos (i) rekisteröity kiistää henkilötietojen paikkansapitävyyden, jolloin käsittelyä rajoitetaan ajaksi, jonka kuluessa rekisterinpitäjä voi varmistaa niiden paikkansapitävyyden; (ii) käsittely on lainvastaista ja rekisteröity vastustaa henkilötietojen poistamista ja vaatii sen sijaan niiden käytön rajoittamista; (iii) rekisterinpitäjä ei enää tarvitse kyseisiä henkilötietoja käsittelyn tarkoituksiin, mutta rekisteröity tarvitsee niitä oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi; tai (iv) rekisteröity on vastustanut henkilötietojen käsittelyä henkilökohtaiseen erityiseen tilanteeseensa liittyvällä perusteella odotettaessa sen todentamista, syrjäyttävätkö rekisterinpitäjän oikeutetut perusteet rekisteröidyn perusteet (GDPR 18 art.);
  6. oikeus saada itseään koskevat henkilötiedot, jotka rekisteröity on toimittanut rekisterinpitäjälle, jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa, ja oikeus siirtää kyseiset tiedot toiselle rekisterinpitäjälle sen rekisterinpitäjän estämättä, jolle henkilötiedot on toimitettu, jos käsittely perustuu asetuksen tarkoittamaan suostumukseen ja käsittely suoritetaan automaattisesti (GDPR 20 art.);
  7. oikeus tehdä valitus valvontaviranomaiselle jos rekisteröity katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan EU:n yleistä tietosuoja-asetusta (GDPR 77 art.).

Rekisteröidyn oikeuksien toteuttamista koskevat pyynnöt osoitetaan kohdassa 3 mainitulle rekisterinpitäjän yhteyshenkilölle.

14 Rekisteriin tallennettavien informointi

Ajantasainen tietosuojaseloste on aina saatavilla verkkopalvelun sivuilta (Apteekkiverkkokauppa.fi).

15 Tietojen poistaminen ja säilytysaika

Apteekki poistaa rekisteristä asiakkaan tiedot, kun tietojen käsitellylle ei ole enää liiketoiminnallista perustetta tai jos asianomainen itse lakiin perustuen vaatii Apteekkia poistamaan häntä koskevat tiedot. Tiedot tuhotaan ylikirjoittamalla, kun tietojen käsittelylle tai säilyttämiselle ei ole enää perustetta. Tietoja ei kuitenkaan poisteta, jos laissa määrätään eri tavalla tai toimivaltainen viranomainen on käynnistänyt prosessin, joka edellyttää Apteekkia säilyttämään tietoja tai muu taho on hakenut Suomen oikeudelta turvasuojaamispäätöstä tiedoille.

Henkilötietojen säilyttämisen tarvetta arvioidaan 6 vuoden välein ja joka tapauksessa rekisteröityä henkilöä koskevat tiedot poistetaan rekisteristä 6 sen jälkeen, kun kyseisen rekisteröidyn asiakassuhde rekisterinpitäjään on päättynyt, ja asiakassuhteeseen liittyvät velvollisuudet ja toimenpiteet on suoritettu loppuun. Esimerkiksi kirjanpitotositteita säilytetään kuusi vuotta tilikauden päättymisestä.

Rekisterinpitäjä arvioi tietojen säilyttämisen tarpeellisuutta säännöllisesti sisäisten käytännesääntöjensä mukaisesti. Lisäksi rekisterinpitäjä toteuttaa kaikki mahdolliset kohtuulliset toimenpiteet sen varmistamiseksi, että käsittelyn tarkoituksiin nähden epätarkat, virheelliset tai vanhentuneet henkilötiedot poistetaan tai oikaistaan viipymättä.

16 Verkkoanalytiikka

Apteekkiverkkokauppa.fi:n sivuilla käytetään evästeitä sivuston kehittämiseen, käyttökokemuksen parantamiseen ja markkinointitarkoituksiin. Voit muuttaa suostumusta tästä.

Käytetyt evästeet jaetaan kolmeen luokkaan:

  1. Välttämättömät
  2. Markkinointi
  3. Tilastointi

Välttämättömät evästeet auttavat tekemään verkkosivustosta käyttökelpoisen sallimalla perustoimintoja kuten sivulla siirtymisen ja sivuston suojattujen alueiden käytön. Verkkosivusto ei toimi kunnolla ilman näitä evästeitä.

Markkinointievästeitä käytetään verkkosivustoilla kävijöiden seurantaan. Tarkoituksena on näyttää mainoksia, jotka ovat sopivia ja kiinnostavia yksittäisille käyttäjille, ja siten arvokkaampia julkaisijoille ja kolmansien osapuolten mainostajille.

Tilastoevästeet auttavat sivuston omistajia ymmärtämään, miten käyttäjät ovat vuorovaikutuksessa sivustojen kanssa keräämällä ja raportoimalla tietoja. Alla olevat palvelut keräävät anonymisoitua tietoa sivuilla vierailuista ilman henkilökohtaisia tietoja: Google Adsense, Google Analytics, Google Ads, Microsoft Ads.

18 Tietosuojaselosteen hyväksyntä

Tietosuojaseloste on hyväksytty jatkuvana ja tarkastettu 4.1.2023

Harri Kanerva, apteekkari, tietosuojapäällikkö 4.1.2023