LUX-MEDICUS OÜ PRIVAATSUSPOLIITIKA
I Isikuandmete töötleja ja isikuandmete töötlemise eesmärk
- Isikuandmete vastutav töötleja on LUX-MEDICUS OÜ, registrikood 12355240, asukoht Jõe tn 2b, 10151 Tallinn (edaspidi LUX-MEDICUS).
- Klientidele teenuste osutamiseks ja ilu- ja tervisetoodete müügiks peab LUX-MEDICUS töötlema isikuandmeid.
- Isikuandmete kaitse on meile oluline.
- Soovime teavitada, milliseid isikuandmeid ja milleks me kogume ning millised on meie klientide ja teiste andmesubjektide (edaspidi koos kliendid) õigused seoses isikuandmete töötlemisega.
II Milliseid isikuandmeid me töötleme
- LUX-MEDICUS töötleb tavalisi ja eriliigilisi isikuandmeid.
- Tavalised isikuandmed on patsiendi ees- ja perekonnanimi, isikukood, sünniaeg, sugu, elukoht, kontaktaadress, telefon, e-posti aadress, kliendile osutatud iluteenuste andmed, arve, maksekaardi ja pangakonto andmed seoses teenuste eest tasumisega.
- Eriliigilised isikuandmed on terviseandmed, mis on vajalikud esteetilise meditsiini teenuste (edaspidi meditsiiniteenused) osutamiseks: osutatud ilu- ja meditsiiniteenuste andmed, vastunäidustuste andmed, teenuse osutamist välistavate diagnooside andmed (mida kliendid on nimetanud), kasutatud toodete, vahendite ja seadmete andmed, protseduuride andmed, võimalike
tüsistuste andmed, muud ilu- ja meditsiiniteenustega seotud andmed ja muud sellega seotud andmed.
3. Mille alusel me isikuandmeid töötleme
- LUX-MEDICUS töötleb isikuandmeid kliendilepingu ja kliendi nõusoleku alusel.
- Ilma kliendilepinguta töötleb LUX-MEDICUS isikuandmeid õigustatud huvi alusel selleks, et vastata klientide päringutele teenuste ja toodete kohta, esitada klientidele pakkumisi teenuste osutamiseks ja tutvustada oma tooteid ja teenuseid. Õigustatud huvi alusel töötleb LUX-MEDICUS ainult tavalisi isikuandmeid.
6. Kuidas me isikuandmeid töötleme
- Isikuandmete töötlemise toimingud LUX-MEDICUSes on proportsionaalsed nende eesmärkide suhtes. Toimingud on vältimatult vajalikud, et osutada andmesubjektidele teenuseid vastavalt kliendilepingule ning ilu- ja esteetilise meditsiiniteenuste osutamist reguleerivatele õigusaktidele.
- LUX-MEDICUS ei töötle isikuandmeid väljaspool kontrollitud ja andmekaitsenõuetele vastavaid infosüsteeme ja muid andmekandjaid.
- Kogutud andmete säilitamisel lähtutakse õigusaktides toodud tähtaegadest.
- LUX-MEDICUS kasutab oma salongides valvekaameraid isikute- ja vara turvalisuse tagamiseks sel viisil, et isikud on kaamerate vaateväljas minimaalses ulatuses, salvestised kustutakse 75 tunni möödumisel ning neid ei edastata kellelegi.
7. Millised on isiku õigused seoses isikuandmete töötlemisega
Isikul on õigus:
- tutvuda andmetega, mida on tema kohta kogutud;
- taotleda ebaõigete isikuandmete parandamist või täiendamist, kui andmed
on valed või ebapiisavad; - nõuda isikuandmete, mille kasutamiseks puudub seaduslik alus, kustutamist,
taotleda isikuandmete töötlemise piiramist;
esitada vastuväiteid isikuandmete töötlemise suhtes. Õiguste realiseerimiseks peab klient esitama LUX-MEDICUSele kirjaliku allkirjastatud taotluse ning LUX-MEDICUS vastava taotlusele 1 kuu jooksul.
8. Kuhu ja kellele LUX-MEDICUS isikuandmeid edastab
LUX-MEDICUS ei edasta kellelegi.
9. Kontakt seoses isikuandmete töötlemisega
- Isikuandmete töötlemisega seonduvates küsimustes on õigus pöörduda registratuuri või saates e-kirja aadressil, mille leiate veebilehelt www.lux-medicus.ee.
- Isikuandmete töötlemisel nõuete rikkumisel on isikul õigus pöörduda
Andmekaitse Inspektsiooni poole (e-posti aadress info@aki.ee)
LUX-MEDICUS OÜ
Klientide isikuandmete töötlemise eeskirjad
1. Sissejuhatus
1.1 Klientide isikuandmete kaitse eeskirjad (edaspidi eeskirjad) määravad kindlaks, kuidas LUX-MEDICUS OÜ rakendab õigusaktidest tulenevaid organisatsioonilisi ja korralduslikke isikuandmete kaitse ja töötlemise põhimõtteid.
1.2 Eeskiri lähtub Euroopa Liidu andmekaitse üldmäärusest (Euroopa Parlamendi ja nõukogu määruses nr 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (andmekaitse üldmäärus), isikuandmete kaitse seadusest ja muudest Eesti Vabariigi õigusaktidest.
1.3 Eeskiri määrab kindlaks, kuidas rakendavad andmekaitse töötlemise nõudeid LUX-MEDICUS OÜ töötajad ja juhtorganite liikmed.
1.4 Eeskirjad on täitmiseks kohustuslikud kõigile eeskirja punktis 1.3 nimetatud isikutele.
2. Mõisted
LUX-MEDICUS on LUX-MEDICUS OÜ (registrikood 12355240), mis osutab ilu- ja esteetilise meditsiiniteenuseid ja sellega seotud teenuseid.
Töötaja on füüsiline isik, kellega LUX-MEDICUS on sõlminud töölepingu või töövõtulepingu või juhtorgani liikme lepingu.
Andmesubjekt on LUX-MEDICUS klient või muu füüsiline isik, kes pöördub LUX-MEDICUS poole teenuste kasutamiseks või muul eesmärgil.
Teenused on LUX-MEDICUS ilu- ja esteetilise meditsiini teenused ja muud sellega seotud teenused.
Isikuandmed on tavalised isikuandmed ja eriliigilised isikuandmed. Isikuandmetena käsitletakse kõiki andmeid, mille kaudu saab otseselt või kaudselt konkreetset füüsilist isikut tuvastada.
Tavalised isikuandmed on informatsioon füüsilise isiku kohta: eesnimi, perekonnanimi, isikukood, sünniaeg, elukoht, telefoninumber, e-posti aadress, pangakaardi ja pangakonto andmed jms.
Isikuandmete all mõeldakse ka kõiki dokumente, mis sisaldavad isikuandmeid (näiteks päringud, pakkumised, pakkumiste ülevaated, avaldused, lepingud, tõendid, arved, maksekorraldused jms). Kui on tegemist juriidilise isiku dokumentidega, siis isikuandmetena käsitletakse nendel olevaid füüsilise isiku andmeid (näiteks andmed juhatuse liikme või volitatud esindaja kohta).
Eriliigilised isikuandmed on andmed, mis kirjeldavad füüsilise isiku usulisi, poliitilisi ja maailmavaatelisi veendumusi, etnilist ja rassilist kuuluvust, terviseseisundit (füüsiline või vaimne tervis), puuet, pärilikkust, ametiühingu liikmelisust ja seksuaalelu. Eriliigilised isikuandmed on ka biomeetrilised andmed (eelkõige sõrmejälje-, peopesajälje- ja silmaiirisekujutis, näotuvastuseks kasutatav näokujutis ning geeniandmed) ning talle tehtud ilu- ja meditsiinilisi protseduure. Nende töötlemise puhul on andmetöötleja kohustatud järgima seaduses sätestatud rangemaid nõudeid.
Isikuandmete töötlemine on isikuandmete või nende kogumitega tehtav automatiseeritud või automatiseerimata toiming või toimingute kogum, nagu kogumine, dokumenteerimine, korrastamine, struktureerimine, säilitamine, kohandamine ja muutmine, päringute tegemine, lugemine, kasutamine, edastamise, levitamise või muul moel kättesaadavaks tegemise teel
avalikustamine, ühitamine või ühendamine, piiramine, kustutamine või hävitamine.
Isiku nõusolek on vabatahtlik, konkreetne, teadlik ja ühemõtteline tahteavaldus, millega isik, kas avalduse vormis või selge nõusolekut väljendava tegevusega, nõustub tema kohta käivate isikuandmete töötlemisega.
Isikuandmetega seotud rikkumine on turvanõuete rikkumine, mis põhjustab edastatavate, salvestatud või muul viisil töödeldavate isikuandmete juhusliku või ebaseadusliku hävitamise, kaotsimineku, muutmise või loata avalikustamise või neile juurdepääsu.
Infosüsteem on andmete kogumise, säilitamise, töötlemise (informatsiooniks teisendamise) ja edastamise vahendite, metoodikate ja eeskirjade kompleks (struktuurne kogum).
Infoturve tegeleb andmete ja infosüsteemide kaitsmisega. Infoturbe abil luuakse reeglid andmete ja infosüsteemide kasutamiseks, juurdepääsuks ja modifitseerimiseks.
3. Isikuandmete töötlemise eesmärk
LUX-MEDICUS töötleb isikuandmeid ilu- ja esteetilise meditsiiniteenuste ja nendega seotud teenuste osutamiseks.
4. Isikuandmete töötlemise õiguslik alus
4.1 LUX-MEDICUS töötleb isikuandmeid kliendiga ilu- ja esteetilise meditsiini teenuste osutamiseks sõlmitud kliendilepingu alusel.
4.2 Enne kliendilepingu sõlmimist töötleb LUX-MEDICUS isikuandmeid oma õigustatud huvi alusel. Sellisel juhul töötleb LUX-MEDICUS isikuandmeid oma teenuste tutvustamiseks, pakkumiste tegemiseks, päringutele vastamiseks ja muul sarnasel eesmärgil.
4.3 LUX-MEDICUS töötleb isikuandmeid ka juriidilise kohustuse täitmiseks, milleks on raamatupidamise kohustus, mis kohustab säilitama teenuse arveid ja maksedokumente.
4.4 Õigusaktidest tulenevad klientide isikuandmete töötlemise nõuded. Ilu- ja esteetilise meditsiiniteenustele kohalduvad võlaõigusseadusest (VÕS) tulenevad töövõtulepingu sätted (VÕS § 635).
5. Isikuandmete töötlemise põhimõtted
5.1 Isikuandmete töötlemisel on LUX-MEDICUSe töötajad kohustatud lähtuma järgnevatest isikuandmete töötlemise põhimõtetest:
5.1.1 Seaduslikkuse põhimõte – igasuguseks iskuandmete töötlemiseks on alus ja isikuandmeid kogutakse ausal ja seaduslikul teel;
5.1.2 Eesmärgipärasuse põhimõte – isikuandmeid kogutakse üksnes määratletud ja õiguspäraste eesmärkide saavutamiseks ning isikuandmeid ei töödelda viisil, mis ei ole andmetöötluse eesmärkidega kooskõlas;
5.1.3 Minimaalsuse põhimõte – isikuandmeid kogutakse vaid ulatuses, mis on vajalik määratletud eesmärkide saavutamiseks.
5.1.4 Andmete kvaliteedi põhimõte – isikuandmed on ajakohased, täielikud ning vajalikud antud andmetöötluse eesmärgi saavutamiseks.
5.1.5 Säilitamise tähtaja põhimõte – isikuandmete säilitamise tähtaeg tuleneb andmetöötluse eesmärgist ja isikuandmeid ei säilitata kauem kui on vajalik või õigusaktides nõutud.
5.1.6. Turvalisuse põhimõte – isikuandmete kaitseks rakendatakse turvameetmeid nende tahtmatu või volitamata töötlemise, avalikuks tuleku või hävimise eest.
5.1.7 Läbipaistvuse põhimõte – isikuandmete töötlemine on andmesubjekti jaoks läbipaistev, LUX-MEDICUS võimaldab andmesubjektil saada teavet tema isikuandmete töötlemise kohta, tutvuda tema kohta kogutud andmetega ja esitada nõudeid tema isikuandmete töötlemisega seoses.
5.1.8 Vastutuse põhimõte – LUX-MEDICUSe töötajad vastutavad isikuandmete töötlemise põhimõtete järgmise eest.
6. Isikuandmete töötlemise turvanõuded
6.1 LUX-MEDICUS rakendab nii infotehnoloogilisi kui ka korralduslikke turvameetmeid, et kaitsta isikuandmeid mitte eesmärgipärase, ebaseadusliku, lubamatu ja volitamata töötlemise, avalikuks tuleku või hävimise eest. Turvameetmete rakendamise tagab ettevõtte juhatus ning seda kontrollib andmekaitse nõukogu.
6.2 Korralduslikud turvameetmed:
6.2.1 Andmesubjekti isikuandmed on LUX-MEDICUS töötajatele nähtavad ja kättesaadavad ainult selles ulatuses, mis tulenevad töötaja tööülesannetest.
6.2.2 Teenuse eest arve koostamisel on töötajal juurdepääs liikme tavalistele isikuandmetele, kuid juurdepääsu ei ole eriliigilistele isikuandmetele.
6.2.3 LUX-MEDICUSe juhatus tagab isikuandmete volitatud töötlemise lepingute sõlmimise kõigi isikuandmete volitatud töötlejatega, eesmärgiga panna neile isikuandmete töötlemise konfidentsiaalsuse, minimaalsuse ja turvanõuete tagamise kohustus.
6.2.4 Microsoft Office rakendustes, pilves, Terviseportaalis ja muudes LUX-MEDICUS kasutuses olevates rakendustes on lubatud anda juurdepääsud ainult neile töötajatele, kellele on see tööülesannete täitmiseks vajalik.
6.2.5 Raamatupidamisettevõtete töötleb isikuandmeid lepinguga kindlaks määratud ulatuses üksnes raamatupidamise korraldamiseks.
6.3 Infortehnoloogilised turvameetmed:
6.3.1 Terviseporta turvalisuse tagamine ning vastavus andmekaitse üldmääruse nõuetele;
6.3.2 LUX-MEDICUSes kasutusel olevale kliendiprogrammile ja muudele programmidele ning seadmetele on töötajatel juurdepääsud ainult vajaduspõhised ja personaalse sisenemisõigusega.
7. Isikuandmete säilitamine
7.1 Isikuandmete säilitamisel on LUX-MEDICUS töötajad kohustatud järgima seadusest tulenevaid tähtaegu:
7.1.1 Kliendi ravikaarti tuleb säilitada vähemalt 110 aasta möödumiseni patsiendi sünnist (Tervishoiuteenuse osutamise dokumenteerimise ning nende dokumentide säilitamise tingimused ja kord § 6).
7.1.2 Raamatupidamise dokumente (näiteks patsendi raviarved) tuleb säilitada 7 aastat (Raamatupidamise seadus § 12).
7.2 Isikuandmete säilitamine on lubatud 3 aastat alates teenuse osutamise või lepingu lõppemisest (mis on harilik nõuete aegumistähtaeg). Juhul, kui pikem tähtaeg ei tulene seadusest ning kui eesmärgid, milleks isikuandmed koguti, on täidetud, tuleb isikuandmete töötlemine lõpetada ja andmed kustutada või viia isikustamata kujule (pseudonümiseerida).
7.3 Isikuandmete säilitamise andmekandjad ja asukohad:
7.3.1 LUX-MEDICUS töötajad on kohustatud säilitama isikuandmeid turvalistel kandjatel ja infosüsteemides alljärgnevalt:
7.3.1.1 tagama isikuandmete ja neid sisaldavaid dokumentide hoidmise ja säilitamise turvalises elektroonilises rakenduses (infosüsteem) või muul viisil krüpteeritult ning hoidma paberdokumente lukustatud seifis;
7.3.1.2 säilitama isikuandmeid kuni kliendi- või muu lepingu lõppemiseni ning pärast seda mitte kauem, kui sellele järgneva 3 (kolme) aasta möödumiseni. Pärast seda võib isikuandmeid säilitada ainult kliendi selgesõnalisel nõusolekul ja seaduse alusel (eeskirja punktid 7.1.1 ja 7.1.2);
7.3.1.3 hoidma ja säilitama isikuandmeid sisaldavaid paberdokumente turvaliselt lukustatud kapis või seifis;
7.3.1.4 säilitama isikuandmeid, mida ei kasutata kehtiva kliendilepingu täitmiseks krüpteeritult või anonümiseeritult;
7.3.1.5 vältima ja hoidma ära isikuandmete sattumise kolmandate isikute valdusesse, kes ei ole õigustatud isikuandmeid töötlema;
7.3.1.6 tagama isikuandmete kustutamise kõigist rakendustest pärast isikuandmete säilitamise tähtaja möödumist või andmesubjekti nõudmisel. Isikuandmete kustutamine andmesubjekti nõudmisel toimub andmekaitse nõukogu otsuse alusel pärast andmesubjektilt vastava tahteavalduse laekumist. Nimetatud juhul peab andmekaitse nõukogu otsustama,
kas andmesubjektile teenuste osutamine ilma isikuandmete töötlemiseta on võimalik.
8. Isikuandmete õigsuse tagamine, andmesubjekti teavitamine ja tema nõudmisel andmete väljastamine
8.1 LUX-MEDICUS juhatus on kohustatud tagama isikuandmete õigsuse, terviklikkuse, säilimise, andmete parandamise, andmesubjektile isikuandmete töötlemise kohta teabe väljastamise.
8.2 Töötaja on kohustatud:
8.2.1 parandama kliendi isikuandmed kliendi nõudmisel;
8.2.2 teavitama andmesubjekti tema isikuandmete töötlemisest. Andmesubjekti ei pea teavitama, kui tema andmeid töödeldakse otseselt seaduse alusel või kui isik on ise andmete töötlemiseks nõusoleku andnud;
8.2.3 andma andmesubjektile tema nõudmisel ja avalduse alusel, tema isikuandmete töötlemise logide alusel LUX-MEDICUS infosüsteemides ja rakendustes, 1 (ühe) kuu jooksul alates kliendi taotlusest, andmesubjektile täpse kirjaliku ülevaate, milliseid andmeid LUX-MEDICUS tema kohta töötleb ning milliseid isikuandmete töötlemise toiminguid LUX-MEDICUS on tema isikuandmetega teinud, esitades andmesubjektile
a) isiku kohta käivad isikuandmed ja isikuandmete liigid;
b) isikuandmete päritolu käsitleva olemasoleva teabe;
c)) isikuandmete töötlemise eesmärgi ja õigusliku aluse;
d) vastuvõtjad või nende kategooriad, kellele andmesubjekti isikuandmeid on avalikustatud;
e) kavandatava isikuandmete säilitamise tähtaja või säilitamise tähtaja määramise alused;
f) õiguse taotleda vastutavalt töötlejalt andmesubjekti isikuandmete parandamist, kustutamist või nende töötlemise piiramist;
g) õiguse esitada Andmekaitse Inspektsioonile kaebus ning Andmekaitse Inspektsiooni kontaktandmed.
h) tema andmetega tehtud toimingud.
8.3 Andmesubjektil (kliendil või isikul, kelle isikuandmeid LUX-MEDICUS töötleb) on õigus:
8.3.1 küsida, milliseid isikuandmeid ja mis eesmärgil LUX-MEDICUS tema kohta töötleb ning kellele neid on edastatud. Kliendi taotlus peab olema kirjalik ja allkirjastatud.
8.3.2 tutvuda tema kohta kogutud isikuandmetega.
8.4 Isikuandmete väljastamise taotluse saamisel teavitab LUX-MEDICUS andmesubjekti tähtajast, mille jooksul esitatakse kliendile nimekiri tema isikuandmetest, mida LUX-MEDICUS töötleb et kõik tema kohta LUX-MEDICUS poolt kogutud andmed kuvatakse liikmele terviseportaalis pärast sisse logimist.
8.5 Kõik andmesubjektile isikuandmete töötlemise kohta saadetud e-kirjad koos andmesubjekti kinnitusega kättesaamise kohta arhiveeritakse terviseportaalis või Andmesubjektide teavituste kaustas, kasutades Microsoft Office tarkvara ja pilves.
9. LUX-MEDICUS kohustused isikuandmete töötlejana
9.1 Rakendada vastutava töötlejana asjakohaseid tehnilisi ja korralduslikke meetmeid, et tagada ja tõendada isikuandmete töötlemist, arvestades töötlemise laadi, ulatust, konteksti, eesmärke, samuti füüsiliste isikute õigusi ja vabadusi ähvardavaid erineva tõenäosuse ja suurusega ohte.
9.2 Rakendada asjakohaseid tehnilisi ja korralduslikke meetmeid, millega tagatakse, et vaikimisi töödeldakse ainult neid isikuandmeid, mis on vajalikud töötlemise konkreetse eesmärgi saavutamiseks. See kehtib kogutud isikuandmete hulga, nende töötlemise ulatuse, nende säilitamise aja ja nende kättesaadavuse suhtes. Nende meetmetega tagatakse eelkõige
see, et isikuandmeid ei tehta vaikimisi ilma asjaomase isiku sekkumiseta kättesaadavaks määramata isikute ringile.
9.3 Rakendada nii töötlemisvahendite kindlaksmääramisel kui ka isikuandmete töötlemise ajal asjakohaseid tehnilisi ja korralduslikke meetmeid, nagu pseudonümiseerimine, mis on vajalikud andmekaitsepõhimõtete (võimalikult väheste andmete kogumine) tõhusaks rakendamiseks ja vajalike kaitsemeetmete lõimimiseks isikuandmete töötlemisse, et täita
isikuandmete kaitse üldmääruse nõudeid ja kaitsta klientide õigusi.
9.4 Lubada isikuandmeid töödelda ainult sellistel volitatud töötlejatel, kes annavad piisava tagatise, et nad rakendavad asjakohaseid tehnilisi ja korralduslikke meetmeid selliselt, et töötlemine vastaks isikuandmete kaitse üldmääruse nõuetele.
9.5 Registreerida vastutava töötlejana isikuandmete töötlemise toimingud ehk pidama isikuandmete töötlemise registrit (ülevaadet).
9.6 Tagada töötajatele isikuandmete kaitsega seotud informatsiooni kättesaadavuse, andmekaitsealase koolituse ning juhendamise küsimuste või probleemide korral.
9.7 Töötada välja juhised ja hoida neid ajakohasena, mida töötaja rakendab isikuandmetega seotud hädaolukorras, st andmelekke või intsidendi puhul.
9.8 Juhul, kui tegemist on andmelekkega LUX-MEDICUS-le mitte kuuluvast, kuid LUX-MEDICUS kasutuses olevast infosüsteemist, teavitada viivitamatult infosüsteemi omaniku andmelekkest või selle ohust.
9.9 Menetleda ja lahendada turvanõuete rikkumisi, mis on toime pandud töötajate poolt ning võtta tarvitusele meetmed rikkumiste kordumise ärahoidmiseks.
9.10 Tagada, et kasutatavad infosüsteemid on töökorras, turvalised ja sisaldavad ajakohaseid turvamehhanisme, sh viirusetõrje tarkvara, tulemüüre ja regulaarseid versiooniuuendusi.
9.11 Tagada andmete varundamise ja logide säilitamise õigusaktides nõutud viisil, et oleks võimalik vajadusel andmeid taastada või teha kindlaks, kes ja millal on saanud andmesubjekti isikuandmetele juurdepääsu.
9.2 LUX-MEDICUS kohustused isikuandmete volitatud töötlejana
9.3 LUX-MEDICUS kui isikuandmete töötleja kohustuste täitmise eest on vastutav ettevõtte juhtkond, kellel on õigus panna vastavate isikuandmete töötlemise ja kaitsega seotud kohustuste täitmine ettevõtte töötajatele. Ettevõtte töötajad on kohustatud täitma isikuandmete töötlemise ja kaitse nõudeid, kui see on ettenähtud käesolevate eeskirjade või ettevõtte muu dokumentatsiooniga.
10. LUX-MEDICUS töötajate kohustused
10.1 Hoida klientude ja muude andmesubjektide isikuandmete saladust, tagades talle tööülesannete täitmisel teatavaks saanud isikuandmete täieliku konfidentsiaalsuse. Konfidentsiaalsuskohustus kehtib tähtajatult, olenemata töösuhte kehtivusest.
10.2 Mitte avaldada isikuandmeid ilma otseste töökohustustuseta kolmandatele isikutele, samuti võtta tarvitusele meetmed, et isikuandmed ei sattuks kolmandate isikute valdusesse.
10.3 Kasutada kõiki talle tööandja poolt võimalikuks tehtud vahendeid ja meetmeid, et vältida isikuandmete sattumist kolmandate isikute valdusesse või nende avalikuks saamist
10.4 Teavitada isikuandmete sattumisest kolmandate isikute valdusesse või selle ohust viivitamatult oma otsest juhti;
10.5 Võtta isikuandmete kolmandate isikute valdusesse sattumise või vastava ohu tekkimise korral viivitamatult kasutusele meetmed andmelekke peatamiseks ja seda võimaldavate vigade parandamiseks;
10.6 Juhul, kui tegemist on andmelekkega infosüsteemist, teavitada viivitamatult otsest juhti ja infosüsteemi omaniku andmelekkest või selle ohust, juhinduda LUX-MEDICUS poolt väljatöötatud juhistest ja teavitada juhises märgitud isikuid.
10.7 Teavitada otsest juhti või tema poolt määratud isikut viivitamata iga kahtlase olukorra kohta, mis võib ohustada isikuandmete turvalisust.
10.8 Mitte anda ega avaldada oma ID-kaarti, muid audentimisvahendeid, nende andmeid, salasõnu, koode ja paroole teistele isikutele ja kaastöötajatele.
10.9 Töökohalt lahkudes lukustada oma arvuti paroolikaitsega, et välistada kolmandate isikute, sh kaastöötajate juurdepääs isikuandmetele.
10.10 Mitte saada ega proovida saada juurdepääsu andmesubjektide isikuandmetele, kui neid andmeid ei ole vajata tööülesannete täitmiseks, sh terviseportaalis. Teavitama viivitamatult otsest juhti, kui selline juurdepääsuõigus on ekslikult tekkinud või töötajale on teada olukord, kui mõni teine töötaja rikub isikuandmetele juurdepääsuõigusi, sh töötleb isikuandmeid, kui see ei ole tööülesannete täitmiseks vajalik.
10.11 Töödelda isikuandmeid minimaalselt, mis tähendab ainult selliste isikuandmete küsimist kliendilt, mis on talle teenuse osutamiseks või toote müümiseks vajalik. Kustutama kõik mittevajalikud andmed vastavalt ettevõttes kehtivale korrale.
10.12 Mitte töödelda isikuandmeid ilma piisava vajaduseta. Töötlemine tähendab LUXMEDICUS valduses olevate isikuandmete lugemist, muutmist, parandamist, edastamist ja kustutamist ning muul viisil töötlemist ainult juhul, kui see on otseselt teenuse osutamiseks, teenuse müügiks või juriidilise kohustuse täitmiseks vajalik, nt isikuandmete edastamiseks vastavalt õigusaktidele riigiasutusele (nt Maksuametile deklareerimise eesmärgil jms) või
riiklikele andmekogudele.
10.13 Korraldada kliendi isikusamasuse tuvastamise või audentimise kliendisuhte loomisel ning seda tõendama (välja arvatud, kui see on korraldatud tehniliste lahendustega).
10.14 Tagada isikuandmete tervilikkuse, mis tähendab isikuandmete hoidmist täielikuna.
10.15 Tagada isikuandmete käideldavuse, mis tähendab isikuandmete salvestamist ja hoidmist sellises formaadis, milles isikuandmeid oleks võimalik vajadusel lihtsalt töödelda.
10.16 Tagada isikuandmete õigsuse, mis tähendab nende parandamist, kui isikuandmete muutmine saab töötajale teatavaks ning nende muutmine on tema tööülesandeks.
10.17 Mitte edastada isikuandmeid ebaturvalisi lahendusi kasutades või krüpteerimata. Isikuandmete edastamine e-kirjaga krüpteerimata kujul ei ole lubatud.
10.18 Edastada isikuandmeid kolmandatesse riikidesse või nendes paiknevatele rahvusvahelistele organisatsioonidele ainult tööandja eraldi loal, välja arvatud, kui see on püsivalt töötaja otseseks tööülesandeks.
10.19 Edastada isikuandmeid ainult andmetöötluse lepinguga kindlaks määratud viisil vastutavatele ja volitatud töötlejatele, kellega on LUX-MEDICUS sõlminud vastava lepingu. Edastada isikuandmeid ja neid töödelda ainult vastavalt andmetöötluse lepingule, nõudes vajadusel, et talle võimaldadakse lepinguga tutvumist.
10.20 Mitte salvestama telefonikõnesid klientidega, kui klienti ei ole sellest teavitatud.
10.21 Mitte kasutada ja avaldada andmesubjektide fotosid, videosid ja muudel andmekandjatel salvestatud isikute kujutisi, isikute terviseandmeid ja muid eriliigilisi andmeid ilma nende isikute nõusolekuta.
10.22 Kui see on töötaja tööülesandeks ja ei ole lahendatud LUX-MEDICUS üldise privaatsustingimuste, tehniliste lahenduste ja tüüptegevustega, tagada klientidelt nõusolekute küsimise isikuandmete töötlemiseks, sh eriliigiliste isikuandmete töötlemiseks ja nõusolekud säilitada. Mitte töödelda isiku andmeid isiku nõusolekuta, lepinguta ja ilma
tööandja kindlaks tehtud õigustatud huvita.
10.23 Mitte töödelda klientide eriliigilisi isikuandmeid, välja arvatud, kui selleks on olemas kliendi õigusaktide nõuetele vastav nõusolek.
10.24 Mitte kasutada ilma kliendi nõusolekuta õigusaktidega mittelubatud turundusvõtteid (profiilianalüüs, automatiseeritud otsuste tegemine, otseturundus jms), kui töötaja tööülesandeks on turundustegevus või see on tehtud talle võimalikuks.
10.25 Teavitada LUX-MEDICUS-t viivitamatult, kuid hiljemalt sama tööpäeva jooksul kõigist klientide kaebustest, taotlustest ja nõudmistest seoses isikuandmete töötlemisega, edastades vastava isiku pöördumiskirja oma otsesele juhile.
10.26 Austada teiste töötajate privaatsust, mitte kasutades nende arvutiparoole, e-posti aadresse ja muid elektrooniliste rakenduste sisselogimise võimalusi, uksekaarte ja muid sisse- või läbipääsu koode ning võtmeid, mitte lugeda nende e-kirju, mitte pealt kuulata nende telefonikõnesid ja siseneda nende mistahes kontodele.
10.27 Järgida käesolevate eeskirjadega kehtestatud isikuandmete töötlemise nõudeid ja kohustusi ulatuses, mis vastab tema tööalasele isikuandmete töötlemise mahule ning isikuandmete töötlemisega seotud tegevuste ulatusele. Järgida andmesubjektide isikuandmete töötlemisel LUX-MEDICUS eeskirju, turvapoliitikaid, turvanõudeid ning LUX-MEDICUS juhtorganite, andmekaitse nõukogu ja andmekaitse spetsialisti juhiseid.
10.28 Järgida viivitamatult kõiki LUX-MEDICUS, andmekaitse nõukogu ja andmekaitse spetsialisti isikuandmete töötlemisega seotud juhiseid.
Töötajal on õigus:
10.29 Küsida LUX-MEDICUS-lt nõu ja teha LUX-MEDICUS-le ettepanekuid seoses isikuandmete töötlemisega.
10.30 Nõuda LUX-MEDICUS-lt isikuandmete töötlemiseks turvaliste elektrooniliste lahenduste tagamist.
11. Tegutsemine isikuandmetega seotud intsidendi korral
11.1 Olukorras, kus toimub andmesubjekti isikuandmetega seotud intsident, on töötaja kohustatud teavitama sellest viivitamatult suuliselt ja e-kirjaga otsest juhti või andmekaitse nõukogu ning andma edasi intsidendi kirjelduse.
11.2 LUX-MEDICUS juhataja teavitab olukorrast andmekaitse spetsialisti ning otsustab pärast viimasega konsulteerimist, kas Andmekaitse Inspektsiooni teavitamine on vajalik.
11.3 Andmekaitsealase rikkumise, infosüsteemi olulise lekke, andmete blokeerimise, kopeerimise, lukustamise või muu sellise olukorra või selle ohu puhul, sh sellega kaasneva lunaraha nõude esitamise korral teavitab LUX-MEDICUS juhataja või viimase ettepanekul andmekaitse spetsialist, sõltuvalt riikumisest ja vastavalt vajadusele ning õigusaktidele Andmekaitse Inspektsiooni, politseid, Riigi Infosüsteemi Ametit ja infosüsteemi omanikku.
11.4 Andmeakaitsealane rikkumine on oluline, kui see kujutab endast tõenäoliselt ohtu andmesubjektide õigustele ja vabadustele.
12. Andmekaitse Inspektsiooni teavitamine isikuandmetega seotud rikkumisest
12.1 LUX-MEDICUS on kohustatud tagama Andmekaitse Inspektsiooni teavitamise isikuandmetega seotud olulistest rikkumisest (nt isikuandmete lekkest või selle ohust) 72 tunni jooksul. Kui teavitamine hilineb, tuleb seda põhjendada. Teavitama ei pea juhul, kui rikkumine ei kujuta endast tõenäoliselt ohtu andmesubjektide õigustele ja vabadustele ehk ei
ole oluline.
12.2 Andmekaitse rikkumise korral tuleb edastama Andmekaitse Inspektsioonile järgmine teave:
a) rikkumise sisu, sealhulgas isikuandmetega seotud rikkumise laad;
b) andmesubjektide kategooriad, nende arv, isikuandmete liigid ja nende arv;
c) andmekaitsespetsialisti nimi ja kontaktandmed;
d) rikkumise võimalike tagajärgede kirjeldus;
e) meetmed rikkumiste lahendamiseks ja tagajärgede kahjuliku mõju leevendamiseks;
f) põhjendus, kui ei teavitata 72 tunni jooksul.
12.3 Dokumenteerida tuleb rikkumise asjaolud ja meetmed, mis on võetud tarvitusele rikkumise lõpetamiseks ja kahju korvamiseks.
12.4 Andmekaitse üldmääruses sätestatud juhul on LUX-MEDICUS kohustatud teavitama ohust nende isikuandmetele kliente ja teisi andmesubjekte.
13. Andmete õigsuse tagamine
Töötajad on kohustatud:
13.1 kontrollima üle ja parandama ebaõiged isikuandmed kliendilt saadud info põhjal (kui klient vastava info edastab);
13.2 tagama isikuandmete õigsuse ja terviklikkuse.
14. Logide säilitamine
LUX-MEDICUS juhatus on kohustatud:
14.1 tagama logide säilitamise kõigis ettevõttele kuuluvates või ettevõtte kasutuses olevates tehnilistes rakendustes, esitades vastava nõudmise vastavale tehnilise rakenduse teenuse pakkujale seoses isikuandmetega.
14.2 tagama järgmiste isikuandmete toimingute logide säilitamise infosüsteemis: kogumine, muutmine, lugemine, avalikustamine, edastamine, ühendamine, kustutamine.
14.3 Juhul, kui LUX-MEDICUS ostab IT teenust sisse, on ettevõtte juhatus kohustatud panema vastavad kohustused IT teenusepakkujale.
14.4 Logide säilitamise LUX-MEDICUS-le mitte kuuluvates rakendustes tagab rakenduse omanik ning see sätestatakse LUX-MEDICUS ja rakenduse omaniku vahelises lepingus.
15. Isikuandmete ülekandmise õiguse teostamine
LUX-MEDICUS juhatus kohustub:
15.1 tagama isiku õiguse saada teda puudutavaid isikuandmeid, mida ta on ettevõttele esitanud, struktureeritud, üldkasutatavas vormingus ning masinloetaval kujul koos õigusega õigus edastada need andmed teisele vastutavale töötlejale, ilma et vastutav töötleja, kellele kõnealused isikuandmed on esitatud, seda takistaks.
16. Telefonikõnede salvestamine
16.1 LUX-MEDICUSle suunatud telefonikõnesid ei salvestata.
17. Isikuandmete edastamine
Töötaja on kohustatud:
17.1 tagama isikuandmete edastamise ainult volitatud töötlejatega sõlmitud lepingute alusel, millega on volitatud töötlejale (nt teenusepakkujale) pandud kohustused isikuandmete kaitse ja töötlemise põhimõtete järgmiseks vastavalt ettevõte poolt kehtestatud juhistele;
17.2 tagama isikuandmete edastamine ainult turvalisi lahendusi kasutades turvatud infosüsteemi kaudu või e-postiga krüpteeritult.
17.3 mitte edastama isikuandmeid kolmandatele riikidele, kui isikuandmekaitse õigusaktide nõuded ei ole täidetud. LUX-MEDICUS ei edasta eeskirja kehtestamise ajal isikuandmeid kolmandatele riikidele.
18. Turunduspakkumiste saatmine
LUX-MEDICUS juhatus ja meedia haldur – on kohustatud:
18.1 tagama, et turunduspakkumisi ei saadetaks isikutele, kes ei ole andnud selleks nõusolekut;
18.2 mitte saatma turunduspakkumisi klientidele, kes on nõusoleku turunduspakkumiste saamiseks tagasi võtnud.
18.3 Juhul, kui LUX-MEDICUS ostab turundusteenust sisse, on ettevõtte juhatus kohustatud panema vastavad kohustused teenusepakkujale.
19. Eeskirjade kehtivus
19.1 Eeskirjad kehtivad alates 20.12.2023.
19.2 Eeskirjad tehakse töötajatele teatavaks edastamisega e-posti aadressile või allkirja vastu