Принципы обработки персональных данных

В действии с 6 ноября 2019 года

Введение

Аптеки, действующие под товарным знаком Pharma Holding OÜ и Südameapteek, в том числе э-аптека (далее вместе - «Südameapteek» или «мы») очень высоко ценят приватность своих клиентов. Цель Südameapteek – прозрачно и понятно разъяснить Вам, как и на основании каких принципов мы обрабатываем данные наших клиентов. Настоящие принципы обработки персональных данных (далее - «Принципы обработки персональных данных») описывают принципы обработки данных со стороны Südameapteek, а также то, как именно мы обрабатываем персональные данные. Пожалуйста, внимательно ознакомьтесь с Принципами обработки персональных данных, чтобы Вы понимали, как мы можем обрабатывать Ваши данные.

1.    Понятия

 

„GDPR“

Регламент Европейского парламента и Совета (ЕС) 2016/679 от 27 апреля 2016 года, о защите физических лиц в отношении обработки персональных данных и о свободном движении таких данных, а также об отмене Директивы 95/46/ЕС (Общий регламент по защите данных).

 

„э-аптека“

Предприятие Veerenni Apteek OÜ (регистрационный код 114767320), которое получило от Департамента лекарственных средств разрешение на управление э-аптекой, и которое предлагает услуги данной э-аптеки посредством Сайта.

„Персональные Данные“

Любая информация относительно физического лица, личность которого была установлена или может быть установлена («субъект данных»); физическим лицом, личность которого может быть установлена, является лицо, личность которого может быть прямо или косвенно установлена, прежде всего, на основании такого идентификационного признака, как имя, личный код, информация о месте расположения, сетевой идентификатор, или на основании одного или нескольких физических, физиологических, генетических, психических, экономических, культурных или социальных признаков такого физического лица.

 

„Действующее Законодательство“

Все правовые акты, действующие в Европейском союзе, и все правовые акты, действующие в Эстонской Республике, включая, кроме прочего, внутригосударственные акты по имплементации GDPR, которые действуют во время действия заключенного с Клиентом договора или начинают действовать после заключения соответствующего договора; рекомендации и инструкции надзорных учреждений, включая, кроме прочего, рекомендации и инструкции Инспекции по защите данных Эстонии, Европейского совета по защите данных, а также Рабочей группы по защите данных, созданной на основании статьи 29 Директивы 95/46/ЕС.

„Клиент“ или „субъект данных“

 

Физическое лицо, которое использует, использовало или выразило желание использовать услуги Pharma, и Персональные Данные которого Pharma обрабатывает.

„Pharma“ и „Südameapteek“

Pharma Holding OÜ (регистрационный код 12009590, далее - «Pharma»), эстонские компании, входящие в данный концерн, которым принадлежат аптеки Südameapteek, а также другие операторы аптек, действующие под товарным знаком Südameapteek, в т.ч. э-аптека (независимо от правовых отношений, являющихся основанием для использования товарного знака), которые, совместно или по отдельности обрабатывают Персональные Данные в качестве Ответственного Обработчика. Список аптек, действующих под товарным знаком Südameapteek, доступен по адресу: https://www.ru.sudameapteek.ee/apteegid/.

 

„Обработка“

Автоматизированное или неавтоматизированное действие или совокупность действий, выполняемых с Персональными Данными или с их совокупностью, такие как сбор, документирование, упорядочивание, структурирование, сохранение, адаптация и изменение, представление запросов, чтение, передача, распространение или предоставление доступа иным образом, обнародование, совмещение или объединение, ограничение, удаление или уничтожение.

„Ответственный Обработчик“

Физическое или юридическое лицо, учреждение публичного сектора, департамент или другой орган, который, самостоятельно или вместе с другими лицами, устанавливает цели и средства Обработки Персональных Данных. В значении настоящих Принципов обработки персональных данных Ответственным Обработчиком Персональных Данных Клиента является Pharma, и в соответствующем случае также операторы аптек, являющиеся юридическими лицами, действующие под товарным знаком Südameapteek, в т.ч. э-аптека, которые предлагают Клиентам услуги аптеки.

„Сайт“

 

Сайт www.sydameapteek.ee и связанные с ним поддомены, а также другой сайт или сайты, которые в будущем могут использоваться Südameapteek.

 

„Уполномоченный Обработчик“

Физическое или юридическое лицо, учреждение публичного сектора, департамент или другой орган, который обрабатывает Персональные Данные от имени Ответственного Обработчика. Если оператор аптеки, действующий под товарным знаком Pharma или под другим товарным знаком Südameapteek, обрабатывает Персональные Данные от имени оператора аптеки, действующего под товарным знаком Pharma или Südameapteek, оператор аптеки, действующий под товарным знаком Pharma или Südameapteek, в отношении таких Персональных данных может также является Уполномоченным Обработчиком.

 2.      Общие положения

 

2.1.     Принципы обработки персональных данных применяются в случае, когда Клиент использует, использовал или выразил желание использовать услуги Südameapteek. В числе прочего Принципы обработки персональных данных применяются в случае, когда Клиент оформил для себя клиентскую карту Südameapteek, когда Клиент совершает покупки в Südameapteek, в том числе в э-аптеке, когда Клиент использует Сайты или использует другие услуги Südameapteek.

2.2.     Принципы обработки персональных данных описывают общие принципы Обработки Персональных Данных со стороны Südameapteek. Дополнительные условия Обработки Персональных Данных Клиента могут также описываться в заключенном с Клиентом договоре или договорах, например, в общих условиях клиентской карты Südameapteek, или они могут быть приведены в предоставленном Клиентом согласии на Обработку Персональных Данных.

2.3.     Südameapteek обеспечивает Обработку Персональных Данных Клиентов в соответствии с Действующим Законодательством. Самым важным правовым актом, из которого Südameapteek исходит при Обработке Персональных Данных Клиента, является GDPR.

2.4.     Südameapteek имеет право время от времени и в соответствии с необходимостью обновлять Принципы обработки персональных данных. Актуальные и действующие Принципы обработки персональных данных доступны на Сайте.

 

3.      Цели и правовые основания Обработки Персональных Данных

 

3.1.     Südameapteek Обрабатывает Персональные Данные Клиента исключительно при наличии правового основания, следующего из Действующего Законодательства.

3.2.     В соответствующем случае Südameapteek может Обрабатывать Персональные Данные Клиента, например:

3.2.1.     для заключения договора с Клиентом и его исполнения, или для предоставления Клиенту услуги, например, при регистрации клиентской карты и осуществлении покупок посредством клиентской карты, или при использовании Сайтов (например, для доставки лекарственных средств и нелекарственных продуктов);

3.2.2.     для исполнения юридического обязательства Südameapteek, например, в связи с исполнением со стороны Südameapteek обязательства по ведению бухгалтерского учета, или для исполнения правовых актов, регулирующих оборот лекарственных средств;

3.2.3.     в случае обоснованного интереса Südameapteek, при условии, что обоснованный интерес Südameapteek не приводит к необоснованному ущемлению прав и свобод субъекта данных, например, в связи с использованием камер внутреннего наблюдения для защиты лиц и имущества, а также для представления персональных предложений (при условии, что Клиент прямо не запретил это), для повышения удобства использования услуг, в т.ч. услуг э-аптеки, для сбора статистических данных, для осуществления профильного анализа Клиентов с целью определить профили Клиентов и их предпочтения;

3.2.4.     на основании предоставленного Клиентом согласия, например, для отправки предложений прямого маркетинга. Для отправки персональных предложений Клиенту Südameapteek осуществляет в отношении Персональных Данных Клиента маркетинговый анализ с целью выяснить предпочтения Клиента в отношении получения маркетингового контента.

 4.     Сбор Персональных Данных

 

4.1.     Типы Персональных Данных и состав Персональных Данных, которые Südameapteek обрабатывает относительно Клиента, зависят от конкретной услуги, которую Südameapteek в соответствующем случае оказывает Клиенту. Более точные условия сбора Персональных Данных могут быть описаны в договоре, заключенном между Südameapteek и Клиентом.

4.2.     Персональные Данные, которые обрабатывает Südameapteek, прежде всего включают следующие данные относительно Клиента: имя, фамилия, личный код или дата рождения, пол, язык общения, номер телефона или почтовый адрес, данные покупок, совершенных посредством клиентской карты, данные о здоровье (рецептурные данные и данные о выданных лекарствах, данные о состоянии здоровья, содержание консультаций, предоставленных в аптеке на месте или в э-аптеке), данные о месте жительства (в случае доставки товаров, купленных в э-аптеке).

4.3.     Südameapteek собирает Персональные Данные прежде всего в следующих случаях:

4.3.1     При заключении договора с Клиентом, при заказе услуги со стороны Клиента, при регистрации Клиента, при заказе новостной рассылки, при отправке запроса со стороны Клиента и т.д.;

 4.3.2.   когда Südameapteek получает от Клиента Персональные Данные в связи с использованием какой-либо из предлагаемых Südameapteek услуг (например, данные о покупках, свершенных посредством клиентской карты и/или в э-аптеке), и это необходимо для исполнения или обеспечения исполнения заключенного с Клиентом договора;

4.3.3.    когда Südameapteek получает Персональные Данные от Клиента на основании предоставленного Клиентом согласия;

4.3.4.    в определенных случаях Südameapteek обрабатывает Персональные Данные относительно Клиента, полученные от третьих сторон, например, когда Клиент покупает рецептурные лекарственные средства, используя цифровой рецепт, Südameapteek проверяет данные о действительности рецепта на основании данных, полученных из центра рецептов;

4.3.5.    при осуществлении платежей с банковского счета или банковской картой;

4.3.6.    при общении с Клиентом в аптеке, э-аптеке, по телефону или в веб-среде, а также при оказании дополнительных услуг, например, при измерении кровяного давления, при измерении сахара в крови;

4.3.7. при продаже рецептурных лекарственных средств;

4.3.8.  при исполнении требований по безопасности (система видеонаблюдения, пароли и другие защитные механизмы в э-аптеке;

4.3.9. При обмене Персональными Данными между Pharma и/или другими операторами аптек, действующими под товарным знаком Südameapteek.  

4.4.     Südameapteek обрабатывает только такие Персональные Данные, которые Клиент сам разгласил Südameapteek (напрямую, или посредством Pharma, или посредством другой аптеки, действующей под товарным знаком Südameapteek).  Südameapteek не собирает Персональные Данные относительно Клиента независимо из третьих источников, кроме случаев, когда такое обязательство следует из законодательства в связи с предоставляемыми услугами аптеки, например, при проверке данных в центре рецептов.

 

5.      Передача и Обработка Персональных Данных со стороны Уполномоченных Обработчиков

 

5.1.     Südameapteek на основании Действующего Законодательства имеет право использовать при Обработке Персональных Данных Уполномоченных Обработчиков. Уполномоченными Обработчиками Südameapteek, которые могут обрабатывать Персональные Данные Клиента, являются, среди прочего, поставщики ИТ-услуг (например, поставщики услуги по серверу, разработчики программного обеспечения), поставщики платежных услуг (например, поставщики услуг по приему и осуществлению банковских платежей и платежей картой), маркетинговые партнеры (например, при отправке писем новостной рассылки, опросов и других маркетинговых сообщений клиентам), поставщики услуги по доставке (например, поставщики курьерских и почтовых услуг, партнерские аптеки).

5.2. Südameapteek использует в качестве Уполномоченного Обработчика исключительно партнеров, которые приняли на себя обязательство Обрабатывать Персональные Данные в соответствии с настоящими Принципами обработки персональных данных и с Действующим Законодательством.

5.3. Кроме этого операторы аптек, действующие под товарным знаком Pharma и Südameapteek, могут передавать Персональные Данные друг другу с целью предложения друг другу услуг для улучшения услуг, предлагаемых под товарным знаком Südameapteek (например, предложение со стороны Pharma Сайта для управления э-аптекой), для администрирования общей клиентской базы и общей клиентской карты (например, предоставление со стороны Pharma услуги по администрированию клиентской базы данных и клиентской карты для операторов аптек, действующих под товарным знаком Südameapteek), для предоставления маркетинговых и других услуг. В зависимости от конкретной цели обработки Персональных Данных, в таком случае операторы аптек, действующие под товарным знаком Pharma и Südameapteek, могут находиться в отношениях Ответственный - Уполномоченный Обработчик или Ответственный - Ответственный Обработчик. Операторы аптек, действующие под товарным знаком Pharma и Südameapteek, договариваются посредством взаимных договоров более точно о принципах Обработки Персональных Данных и об ответственности, возникающей в случае их нарушения.

5.4.     Ответственный Обработчик Персональных Данных Клиента, т.е. оператор аптеки, действующий под товарным знаком Pharma или Südameapteek, который обрабатывает конкретные Персональные Данные в связи с услугами Südameapteek, остается в полной мере ответственным перед Клиентом за Обработку Уполномоченными Обработчиками Персональных Данных Клиента в соответствии с Действующим Законодательством. Среди прочего Ответственный Обработчик обеспечивает, что Уполномоченные Обработчики обрабатывают Персональные Данные согласно указаниям Ответственного Обработчика, исполняют требования по соблюдению конфиденциальности и применяют соответствующие меры защиты.

 

6.        Сохранение Персональных Данных

 

6.1.     Мы не сохраняем Персональные Данные дольше, чем это необходимо исходя из целей обработки Персональных Данных или на основании действующего права;

6.2.     Как правило, Südameapteek сохраняет связанные с Клиентом Персональные Данные до трех лет с момента совершения последнего действия с данными Клиента, однако конкретный период сохранения Персональных Данных может быть иным и зависеть от заключенного с Клиентом договора, от обоснованного интереса Südameapteek или от Действующего Законодательства, например, от правовых актов, касающихся обязательства по ведению бухгалтерии или оборота лечебных средств.

6.3.     Для получения более конкретной информации относительно сроков сохранения связанных с Вами Персональных Данных, пожалуйста, свяжитесь с нами посредством контактных данных, приведенных ниже в разделе «Контактные данные и вопросы».

 

7.        Использование куки

7.1.     Pharma как собственник и администратор Сайта использует на Сайте куки.  Куки представляют собой маленькие файлы, содержащие информацию, сохраняемую на компьютере Клиента, и используемые для слежения и идентификации личности Клиента.

7.2.     Pharma использует на Сайте следующие куки:

7.2.1.   Куки, необходимые для работы Сайта: wp_woocommerce_session_*, wp-settings-*, wordpress_test_cookie. Кроме этого, в случае зарегистрированного пользователя используются куки wordpress_logged_in_*, wordpress_sec_*, wfwaf-authcookie-*.

Данные куки используются для распознавания различных клиентов, выбранных ими предпочтений, а также для сохранения состояния пользователей при их нахождении в системе. Обрабатываемой информацией является идентификатор пользователя гостя.
Куки для входа в систему удаляются при закрытии веб-браузера; wp_woocommerce_session_* удаляется в течение 2 чесов; wp-settings-* удаляется в течение года. Данные куки не используются для передачи информации третьим сторонам.

7.2.2.   Google Analytics использует ряд куки, возможными названиями которых могут быть: _ga, _gat_UA-36875714-1, _gid. Целью данных куки является сбор статистических данных относительно того, как пользователь использует сайты. Дополнительная информация: https://developers.google.com/analytics/devguides/collection/analyticsjs/cookie-usage?hl=et#analyticsjs
Обрабатываемой информацией является уникальный идентификатор пользователя, однако собираемые данные остаются анонимными. Срок сохранения данных куки варьируется от пары дней до пары лет. Данные куки используются для передачи данных для Google;

7.2.3.    AddThis использует ряд куки, возможными названиями которых могут быть: _atuvc, _atuvs, na_id, na_tc, mus, loc, cw_id, ouid, uid, uvc. Целью данных куки является анализ поведения пользователей на сайте и сохранение информации относительно их IP-адреса, веб-браузера и языка. AddThis позволяет пользователям публиковать контент сайта в социальных сетях. Дополнительная информация: http://www.addthis.com/privacy/privacy-policy
Обрабатываемой информацией является идентификатор пользователя и отправляемые веб-браузером признаки.
Данные куки сохраняются 13 месяцев. Данные куки используются для передачи данных в среду AddThis;

7.2.4.    Facebook использует ряд куки, возможными названиями которых могут быть: fr, datr, locale, sb, wd
Целью использования данных куки является аутентификация пользователя посредством Facebook, а также запоминание информации о предпочтениях, устройстве и веб-браузере пользователя. Дополнительная информация: https://www.facebook.com/policies/cookies/
Обрабатываемой информацией являются данные относительно учетной записи в Facebook, посредством которой Вы вошли в систему сайта, а также данные относительно языка и размеров окна вашего веб-браузера.
Срок сохранения данных куки варьируется от трех до тринадцати месяцев.
Доступом к содержащейся в данных куки информации обладает Facebook.

7.3.     Клиент имеет право в любой момент запретить использование куки посредством изменения настроек своего браузера. Клиент должен учитывать, что в таком случае все функции Сайта могут не работать корректно. Использование куки можно запретить, следуя инструкциям функции «help» («помощь»). Дополнительную информацию относительно того, как работают куки или как можно запретить использование куки, Вы можете найти также на сайте www.allaboutcookies.org.

7.4.     Для получения более конкретной информации относительно используемых Pharma куки, пожалуйста, свяжитесь с нами посредством контактных данных, приведенных ниже в разделе «Контактные данные и вопросы».

 

8.      Использование камер видеонаблюдения

 

8.1.     На основании Действующего Законодательства Südameapteek имеет право использовать камеры видеонаблюдения для защиты лиц и имущества. Правовым основанием для использования камер видеонаблюдения является обоснованный интерес Südameapteek в значении статьи 6(1)(f) GDPR.

8.2.     Südameapteek использует камеры видеонаблюдения в торговых залах определенных аптек. В случае использования камер видеонаблюдения, в зоне слежения всегда устанавливается вывеска, предупреждающая об использовании камеры видеонаблюдения. В случае отсутствия соответствующей вывески камеры видеонаблюдения не используются.

8.3.     Südameapteek не передает записи камер видеонаблюдения третьим лицам, кроме как на основании Действующего Законодательства, например, если это необходимо для расследования совершенных правонарушений или других инцидентов со стороны уполномоченных на основании Действующего Законодательства лиц, например, со стороны Департамента полиции и погранохраны.

8.4.     Доступ к записям камер видеонаблюдения ограничивается определенным кругом лиц, доступ которым необходим строго в связи с исполнением их трудовых обязанностей. Например, доступ к записям камер видеонаблюдения запрещен провизорам (которые не являются руководителем аптеки) и работникам по обслуживанию клиентов.

8.5.     Südameapteek применяет при сохранении записей камер видеонаблюдения разумные организационные и технические меры безопасности для защиты Персональных Данных от неумышленной или неавторизованной Обработки или разглашения.

8.6.     Südameapteek сохраняет записи камер видеонаблюдения вплоть до 2 месяцев с момента произведения записи, кроме случаев, когда в течение данного периода было возбуждено производство с целью расследования совершенного в течение данного периода правонарушения или другого инцидента, в связи с которым запись необходимо сохранять в течение более продолжительного срока сохранения.

8.7.     Клиент имеет право требовать от Südameapteek предоставления копии записи камеры видеонаблюдения, которая содержит изображение Клиента. Для получения копии, пожалуйста, свяжитесь с нами посредством контактных данных, приведенных ниже в разделе «Контактные данные и вопросы».

8.8.     Клиент понимает, что Südameapteek не может выдать Клиенту копию записи камеры видеонаблюдения, если на момент представления соответствующего ходатайства Клиента она была удалена, или если копия записи нарушает права лиц, следующие из Действующего Законодательства. Клиент понимает, что при запросе копии записи камеры видеонаблюдения Südameapteek, как правило, может выдать Клиенту запись камеры видеонаблюдения исключительно в обработанном виде, таким образом, чтобы третьи лица на записи были изменены до неузнаваемости.

 

9.      Права Клиента

 

9.1.     Клиент обладает в отношении Обработки его Персональных Данных всеми правами, следующими из Действующего Законодательства.

9.2.     Среди прочего Клиент обладает в отношении Обработки его Персональных Данных следующими правами:

9.2.1.     право на доступ: Клиент имеет право в любой момент спросить, обладает ли Südameapteek Персональными Данными в его отношении или нет, и получить информацию о том, какие Персональные Данные Südameapteek обрабатывает относительно Клиента;

9.2.2.     право на исправление Персональных Данных: Клиент имеет право ходатайствовать у Südameapteek об уточнении или исправлении своих Персональных Данных, если они являются недостаточными, неполными или неверными;

9.2.3.     право на представление возражений: Клиент имеет право представлять Südameapteek возражения относительно Обработки его Персональных Данных, например, в случае, когда использование Персональных Данных основано на обоснованном интересе Südameapteek, в том числе при выполнении профильного анализа с целью прямого маркетинга;

9.2.4.     право требовать удаления Персональных Данных: Клиент имеет право ходатайствовать об удалении своих Персональных Данных, если Персональные Данные Обрабатываются с согласия Клиента, и если Клиент отозвал свое согласие;

9.2.5.     право на ограничение Обработки: Клиент имеет право требовать, чтобы Südameapteek ограничила Обработку Персональных Данных Клиента на основании Действующего Законодательства, например, если Персональные Данные Клиента больше не требуются Südameapteek для достижения целей Обработки, или если Клиент представил в отношении Обработки Персональных Данных возражение;

9.2.6.     право отозвать согласие, предоставленное для Обработки Персональных Данных: Если Обработка Персональных Данных Клиента основана на предоставленном Клиентом согласии, Клиент имеет право в любой момент отозвать свое согласие, предоставленное для Südameapteek;

9.2.7.     право на перевод данных: Клиент имеет право сам получать от Südameapteek Персональные Данные, которые Клиент сам представил Südameapteek, и которые Обрабатываются на основании согласия Клиента или для исполнения заключенного с Клиентом договора, в письменной или общеиспользуемой электронной форме, и, если это технически возможно, требовать, чтобы Südameapteek передала такие данные третьему поставщику услуг;

9.2.8.     право на подачу жалобы:  Если Клиент считает, что при Обработке его Персональных Данных были нарушены его права, предусмотренные действующим Законодательством, Клиент имеет право обратиться с требованием к Инспекции по защите данных или в суд.

9.3.     Перечисленные в настоящем разделе права Клиента, связанные с Обработкой Персональных Данных Клиента, не являются абсолютными правами. В определенных случаях могут существовать права других субъектов данных или юридические обязательства Südameapteek по ограничению прав Клиента.  

9.4.     Для реализации прав Клиента, связанных с Обработкой Персональных Данных, или для представления ходатайств, связанных с Обработкой Персональных Данных, пожалуйста, свяжитесь с нами посредством контактных данных, приведенных ниже в разделе «Контактные данные и вопросы».

9.10.   Для обеспечения ясности мы отмечаем что полномочиями для реализации вышеперечисленных прав Клиента обладает оператор аптеки, действующий под торговым знаком Pharma или Südameapteek, который в данном конкретном случае обрабатывает Персональные Данные как самостоятельный Ответственный Обработчик.

 

10.    Обеспечение безопасности Персональных Данных

 

10.1.  Südameapteek обязуется обеспечивать безопасность Персональных Данных с целью защиты Персональных Данных от неумышленной или неавторизованной обработки, разглашения или уничтожения.

10.2.  Учитывая развитие науки и технологии за последние годы и расходы на их применение, а также способ, предел, контекст и цели Обработки Персональных Данных, а также следующие из Обработки опасности различной степени вероятности и масштаба в отношении прав и свобод физических лиц, Südameapteek при Обработке Персональных Данных применяет соответствующие технические и организационные меры для обеспечения безопасности Персональных Данных.

 

11.      Контактные данные и вопросы

 

11.1.  В случае возникновения вопросов, связанных с Обработкой Персональных Данных, или для представления ходатайств, связанных с Обработкой Персональных Данных, пожалуйста, свяжитесь с Pharma или со специалистом по защите данных Pharma по телефону, электронной почте или обычной почте. В таком случае Pharma оставляет за собой право ответить на вопрос самостоятельно или передать вопрос конкретному оператору аптеки, действующему под товарным знаком Südameapteek, который обрабатывает являющиеся предметом вопроса Персональные Данные в качестве Ответственного Обработчика.

Контактные данн Pharma:

Фирменное наименование: Pharma Holding OÜ;

Адрес: Веэренни 53a, Таллинн

Телефон: 6051780;

Эл.почта: info@sydameapteek.ee

Контактные данные специалиста по защите данных Pharma:

Телефон: 6051760

Эл. почта: andmekaitse@sydameapteek.ee