Rekisteriseloste

Rekisterinpitäjä

Nettiapteekki / Simonkylän Uusi Apteekki

Osoite: Leinikkitie 22, 01350 Vantaa

Puh: 050 468 5986

Sähköposti: info(at)nettiapteekki.fi

Rekisteriasioiden yhteyshenkilö: Apteekkari Antti Vaara

Rekisterin nimi

Simonkylän Uuden Apteekin Nettiapteekin asiakasrekisteri

Henkilötietojen käsittelyn tarkoitus ja oikeusperusteet

Henkilötietoja käsitellään verkkokaupan tilausten, laskutuksen, yhteydenottojen, palveluiden kehittämisen, toimittamisen ja muiden asiakkuuden hoitamiseen liittyvien toimenpiteiden yhteydessä, kuten mahdollisten reklamaatioiden käsittelyssä. Tietojen käsittelyn teknisen toteutuksen vuoksi osa tiedoista voi sijaita Simonkylän Uuden Apteekin alihankkijoilla, joiden kanssa Nettiapteekilla on tietojenkäsittelysopimus

Seuraavat EU:n yleisen tietosuoja-asetuksen (jatkossa ”GDPR”) mukaiset perusteet ovat Nettiapteekin henkilötietojen käsittelyn oikeusperusteet:

1. Rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten (GDPR 6 art. 1.a);
2. Käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä (GDPR 6 art. 1.b);
3. Käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi (GDPR 6 art. 1.f).

Edellä mainittu rekisterinpitäjän oikeutettu etu perustuu rekisteröidyn henkilön ja rekisterinpitäjän välillä olevaan merkitykselliseen ja asianmukaiseen suhteeseen, joka on seurausta siitä, että rekisteröity on rekisterinpitäjän asiakas, ja kun käsittely tapahtuu tarkoituksiin, joita rekisteröity on kohtuudella voinut odottaa henkilötietojen keräämisen ajankohtana ja asianmukaisen suhteen yhteydessä

Rekisterin tietosisältö

Asiakkaan etu- ja sukunimi, syntymäaika, asiakasnumero, osoitetiedot, puhelinnumero, sähköposti ja tiedot lääkeneuvontatarpeesta.

Säännönmukaiset tietolähteet

Henkilötietoja saadaan rekisteröidyltä itseltään. Henkilötietoja kerätään ja päivitetään myös sovellettavan lainsäädännön rajoissa yleisesti saatavilla olevista lähteistä, jotka liittyvät rekisterinpitäjän ja rekisteröidyn henkilön välisen asiakassuhteen toteuttamiseen ja joiden avulla rekisterinpitäjä toteuttaa asiakassuhteiden ylläpitämiseen liittyviä velvollisuuksiaan.

Rekisterin tietosisältö ja henkilötietojen säilytysaika   

Rekisteriin kerättyjä tietoja säilytetään ainoastaan niin kauan ja siinä laajuudessa kuin on tarpeellista suhteessa niihin alkuperäisiin tai yhteensopiviin tarkoituksiin, joihin henkilötiedot on kerätty.

Henkilötietojen säilyttämisen tarvetta arvioidaan kuuden vuoden välein ja joka tapauksessa rekisteröityä henkilöä koskevat tiedot poistetaan rekisteristä kuuden vuoden jälkeen, kun kyseisen rekisteröidyn asiakassuhde rekisterinpitäjään on päättynyt, ja asiakassuhteeseen liittyvät velvollisuudet ja toimenpiteet on suoritettu loppuun. Esimerkiksi kirjanpitotositteita säilytetään kuusi vuotta tilikauden päättymisestä.

Rekisterinpitäjä arvioi tietojen säilyttämisen tarpeellisuutta säännöllisesti sisäisten käytännesääntöjensä mukaisesti. Lisäksi rekisterinpitäjä toteuttaa kaikki mahdolliset kohtuulliset toimenpiteet sen varmistamiseksi, että käsittelyn tarkoituksiin nähden epätarkat, virheelliset tai vanhentuneet henkilötiedot poistetaan tai oikaistaan viipymättä.

Tietojen säännönmukaiset luovutukset

Apteekki ei luovuta asiakasrekisterin tietoja ulkopuolisille kolmansille tahoille. Apteekki voi kuitenkin luovuttaa asiakastietoja viranomaisille voimassaolevan lainsäädännön sallimissa ja velvoittavissa rajoissa.

Tietojen siirto EU:n tai Euroopan talousalueen ulkopuolelle

Muita tietoja kuin sähköpostien välitystietoja ei lähetetä EU-alueen ulkopuolelle. Sähköpostien välityspalveluna käytetään Mandrill-palvelua, joka on osa Mailchimp-palvelukokonaisuutta. Mailchimp ei takaa, että palvelun kautta kulkevien sähköpostien tiedot pysyvät EU-alueella. Mailchimp on Privacy Shield -sertifioitu. Tämä tarkoittaa, että Mailchimp voi vastaanottaa EU-kansalaisten tietoja ja takaa sen, että GDPR:n mukaiset tarvittavat prosessit henkilötietojen käsittelemiseen ovat olemassa. Tarkempaa tietoa Mailchimpin käyttöehdoista liittyen GDPR:ään löydät kappaleesta 20 ja kappaleesta 5.

Evästeiden käyttö

Apteekki käyttää verkkokaupassa evästeitä (ns. cookie), joiden avulla seurataan kävijäliikennettä ja parannetaan palvelun laatua. Evästeet ovat tarpeellisia kaupasta tilaamiseen. Evästeet ovat pieniä tekstitiedostoja, jotka sisältävät tietoa vierailustasi verkkosivustolla. Evästeet helpottavat ja nopeuttavat sinun ja meidän välistä vuorovaikutusta. Mitkään verkkosivustomme sisältämät evästeet eivät kerää tietoja, jotka saattaisivat paljastaa henkilöllisyytesi. Verkkosivuston toimintaan liittyvien ja vain istunnon ajan voimassa olevien evästeiden lisäksi käytämme Google Analytics evästeitä. Halutessasi voit muuttaa evästeiden käyttöön liittyviä asetuksia selaimessasi, mutta tällöin kaikki toiminnot eivät välttämättä toimi. Evästeitä ei koskaan käytetä sellaisten tietojen keräämiseen, joiden avulla sinut voidaan tunnistaa henkilökohtaisesti

Rekisterin suojauksen periaatteet

Asiakasrekisterin tiedot on suojattu käyttäjätunnuksilla, salasanoilla ja teknisillä suojauksilla. Vain Simonkylän Uuden Apteekin henkilökunnalla ja apteekin lukuun järjestelmää ylläpitävillä henkilöillä on pääsy tietoihin. Simonkylän Uuden Apteekilla ja järjestelmää ylläpitävien teknisten yhteistyökumppaneiden välillä on salassapitosopimus.

Henkilötietoja sisältäviä aineistoja säilytetään lukituissa tiloissa, joihin on pääsy ainoastaan nimetyillä ja tehtäviensä vuoksi pääsyyn valtuutetuilla henkilöillä.

Henkilötietoja sisältävä tietokanta on palvelimella, jota säilytetään lukitussa tilassa, johon on pääsy ainoastaan nimetyillä ja tehtäviensä vuoksi pääsyyn valtuutetuilla henkilöillä.  Palvelin on suojattu asianmukaisella palomuurilla ja teknisellä suojauksella.

Tietokantoihin ja järjestelmiin on pääsy vain erikseen myönnettävillä henkilökohtaisilla käyttäjätunnuksilla ja salasanoilla. Rekisterinpitäjä on rajannut käyttöoikeudet ja -valtuudet tietojärjestelmiin ja muihin tallennusalustoihin siten, että tietoja pääsevät tarkastelemaan ja käsittelemään ainoastaan niiden lainmukaisen käsittelyn kannalta tarpeelliset henkilöt. Lisäksi tietokantojen ja järjestelmien käyttötapahtumat rekisteröityvät rekisterinpitäjän IT-järjestelmän lokitietoihin.

Rekisteröidyn oikeudet

Rekisteröidyllä on seuraavat EU:n yleisen tietosuoja-asetuksen mukaiset oikeudet:

1. oikeus saada rekisterinpitäjältä vahvistus siitä, että häntä koskevia henkilötietoja käsitellään tai että niitä ei käsitellä, ja jos näitä henkilötietoja käsitellään, oikeus saada pääsy henkilötietoihin sekä seuraavat tiedot: (I) käsittelyn tarkoitukset; (II) kyseessä olevat henkilötietoryhmät; (III) vastaanottajat tai vastaanottajaryhmät, joille henkilötietoja on luovutettu tai on tarkoitus luovuttaa; (IV) mahdollisuuksien mukaan henkilötietojen suunniteltu säilytysaika tai jos se ei ole mahdollista, tämän ajan määrittämiskriteerit; (V) rekisteröidyn oikeus pyytää rekisterinpitäjältä häntä itseään koskevien henkilötietojen oikaisemista tai poistamista taikka henkilötietojen käsittelyn rajoittamista tai vastustaa tällaista käsittelyä; (VI) oikeus tehdä valitus valvontaviranomaiselle; (VII) jos henkilötietoja ei kerätä rekisteröidyltä, kaikki tietojen alkuperästä käytettävissä olevat tiedot (GDPR 15 art.). Nämä kuvatut perustiedot (I)–(VII) annetaan rekisteröidylle henkilölle tällä lomakkeella.

b. oikeus peruuttaa suostumus milloin tahansa tämän vaikuttamatta suostumuksen perusteella ennen sen peruuttamista suoritetun käsittelyn lainmukaisuuteen (GDPR 7 art.)

c. oikeus vaatia, että rekisterinpitäjä oikaisee ilman aiheetonta viivytystä rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot sekä oikeus saada puutteelliset henkilötiedot täydennettyä, muun muassa toimittamalla lisäselvitys ottaen huomioon tarkoitukset, joihin tietoja käsiteltiin (GDPR 16 art.)

d. oikeus saada rekisterinpitäjä poistamaan rekisteröityä koskevat henkilötiedot ilman aiheetonta viivytystä, edellyttäen, että (I) henkilötietoja ei enää tarvita niihin tarkoituksiin, joita varten ne kerättiin tai joita varten niitä muutoin käsiteltiin; (II) rekisteröity peruuttaa suostumuksen, johon käsittely on perustunut, eikä käsittelyyn ole muuta laillista perustetta; (III) rekisteröity vastustaa käsittelyä henkilökohtaiseen erityiseen tilanteeseensa liittyvällä perusteella eikä käsittelyyn ole olemassa perusteltua syytä tai rekisteröity vastustaa käsittelyä suoramarkkinointitarkoituksia varten; (IV) henkilötietoja on käsitelty lainvastaisesti; tai (V) henkilötiedot on poistettava unionin oikeuteen tai kansallisen lainsäädäntöön perustuvan rekisterinpitäjään sovellettavan lakisääteisen velvoitteen noudattamiseksi (GDPR 17 art.

e. oikeus siihen, että rekisterinpitäjä rajoittaa käsittelyä, jos (I) rekisteröity kiistää henkilötietojen paikkansapitävyyden, jolloin käsittelyä rajoitetaan ajaksi, jonka kuluessa rekisterinpitäjä voi varmistaa niiden paikkansapitävyyden; (II) käsittely on lainvastaista ja rekisteröity vastustaa henkilötietojen poistamista ja vaatii sen sijaan niiden käytön rajoittamista; (III) rekisterinpitäjä ei enää tarvitse kyseisiä henkilötietoja käsittelyn tarkoituksiin, mutta rekisteröity tarvitsee niitä oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi; tai (IV) rekisteröity on vastustanut henkilötietojen käsittelyä henkilökohtaiseen erityiseen tilanteeseensa liittyvällä perusteella odotettaessa sen todentamista, syrjäyttävätkö rekisterinpitäjän oikeutetut perusteet rekisteröidyn perusteet (GDPR 18 art.)

f. oikeus saada itseään koskevat henkilötiedot, jotka rekisteröity on toimittanut rekisterinpitäjälle, jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa, ja oikeus siirtää kyseiset tiedot toiselle rekisterinpitäjälle sen rekisterinpitäjän estämättä, jolle henkilötiedot on toimitettu, jos käsittely perustuu asetuksen tarkoittamaan suostumukseen ja käsittely suoritetaan automaattisesti (GDPR 20 art.

g. oikeus tehdä valitus valvontaviranomaiselle jos rekisteröity katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan EU:n yleistä tietosuoja-asetusta (GDPR 77 art.).

Rekisteröidyn oikeuksien toteuttamista koskevat pyynnöt osoitetaan kohdassa 1 mainitulle rekisterinpitäjän yhteyshenkilölle

Tietojen päivittäminen

Asiakas voi päivittää nimi- ja osoitetietojaan uuden tilauksen yhteydessä. Muita tietoja voidaan päivittää ottamalla yhteys verkkokaupan ylläpitäjään.