Tietosuojaseloste

Tietosuojaseloste

 

1. Rekisterinpitäjä

Apteekkari: Kaisa Huttunen

Y-tunnus: Y-3295579-2

Tietosuojavastaava: Niina-Mari Inkeri

Tietosuojavastaavan yhteystieto: 044 737 6080, 044 737 6081

Apteekin nimi: Kerimäen apteekki

Apteekin katusoite: Kerimäentie 3

Apteekin postinumero ja -toimipaikka: 58200 Kerimäki

Apteekin puhelinnumero: 044 737 6080, 044 737 6081

Apteekin sähköpostiosoite: kerimaenapteekki@apteekit.net

Sivuapteekin nimi: Savonrannan sivuapteekki

Sivuapteekin katusoite: Kolmitähkäntie 2 B

Sivuapteekin postinumero ja -toimipaikka: 58300 Savonranta

Sivuapteekin puhelinnumero: 044 767 9053

Sivuapteekin sähköpostiosoite: savonrannanapteekki@apteekit.net

 

2. Asiakasrekisteri

Apteekin asiakasrekisterin henkilötietojen käsittelyn tarkoitus on apteekin palveluiden järjestäminen asiakkaalle. Asiakasrekisteriä käytetään kulloinkin voimassa olevan tietosuojalainsäädännön ja muun lainsäädännön mukaisesti. Henkilötietojen käsittely perustuu tietosuojalainsäädännön ohella apteekkitoimintaa koskevaan lainsäädäntöön.

Asiakkaat on ryhmitelty apteekin tarjoamien palveluiden mukaisesti:

Apteekkiasiakkaat (reseptiasiakkaat)

Reseptiostokset pitää lain mukaan rekisteröidä, joten kaikki apteekin reseptiasiakkaat kuuluvat tähän asiakasryhmään. Käsittely perustuu voimassa olevaan lainsäädäntöön (toimitettujen reseptien arkistointi) tai sopimukseen (Kela-korvauskäsittely), jolloin käsittelyn oikeusperuste on rekisterinpitäjän lakisääteinen velvoite. EU-lainsäädäntöön perustuvan lääkevarmennuksen osana tallennetaan kaikkien lääkevarmennuksen piirissä olevien, apteekista toimitettujen, lääkkeiden sarjanumerot ja tuotekoodit. Lääketurvallisuuden parantamiseksi (rekisterinpitäjän oikeutettuna etuna) apteekin järjestelmään tallennetaan lisäksi ostotapahtuman yksilöivä tieto, jolla voidaan jäljittää informointia varten myös asiakkaat, joille lääkettä on toimitettu (reseptitietojen lakisääteisen säilytysajan puitteissa). Tällainen tilanne voi olla esimerkiksi lääkkeiden takaisinvetotilanne.

Tiliasiakkaat

Tietojen käsittely perustuu laskutusasiakkuussopimukseen apteekin ja asiakkaan välillä sekä apteekin oikeutettuun etuun.

Annosjakeluasiakkaat

Tietojen käsittely perustuu annosjakelusopimukseen apteekin ja annosjakeluasiakkaan välillä sekä apteekin oikeutettuun etuun.

 

2.1. Asiakasrekisterin tietosisältö

Reseptiasiakkaat:

Rekisterissä voidaan käsitellä kaikista rekisteröidyistä ihmisreseptiasiakkaista seuraavia tietoja:

Ihmisreseptit:

  • Etunimi, sukunimi
  • Henkilötunnus
  • Kaikki reseptille tallennettavat tiedot
  • Toimitettujen lääkevarmennettavien lääkkeiden sarjanumerot ja tuotekoodit
  • Osto- ja maksutapahtumat
  • Sitoumustiedot, työpaikkakassatieto
  • Kela-korvaustiedot, Kelan maksuosuus
  • Puhelinnumero ja/tai sähköposti lääkehoidon tukipalveluihin hyödynnettäväksi asiakkaan itse luovuttaessa tiedot apteekille (esim. lääkkeiden saatavuustiedot)

Eläinreseptit:

  • Rekisteriin kirjataan ja rekisterissä voidaan käsitellä eläinten omistajista seuraavia tietoja
  • Omistajan etunimi ja sukunimi
  • Omistajan osoitetiedot: Lähiosoite, postinumero, postitoimipaikka

Tiliasiakkaat:

Rekisterissä voidaan käsitellä laskutussopimuksen solmineista asiakkaista kohdassa 1 lueteltujen lisäksi:

  • Suoramaksu-/e-lasku-tiedot
  • Edunvalvojan tiedot
  • Laskutusosoite (jos eri kuin postiosoite)
  • Laskun viitteet ja laskutukseen liittyvät lisätiedot
  • E-lasku/Suoramaksusanoma (pankista apteekkiin) sisältää seuraavat tiedot:
    • Nimi (etunimi ja sukunimi)
    • Henkilötunnus (asiakkaan tunnistus)
    • Virtuaalinen IBAN-tilinumero
  • Laskujen välityspalveluun lähtevät tiedot:
    • Nimi (etunimi ja sukunimi)
    • Asiakkaan edunvalvojan tiedot (jos laskulla määritelty)
    • Asiakkaan osoitetiedot
    • Asiakkaan ja apteekin e-lasku-/verkkolaskuosoite
    • Asiakkaalta laskutettavat ostokerrat tuotteineen sekä muut laskutettavat tuotteet (tuotteet on mahdollista piilottaa laskulta asiakaskohtaisesti, pelkkä lähete-rivi jää tässä tapauksessa laskulle)

Annosjakeluasiakkaat:

Rekisterissä voidaan käsitellä Annosjakelu-asiakkuuden solmineista asiakkaista kohdassa 1 lueteltujen lisäksi seuraavia tietoja:

  • Asiakasryhmän nimi, johon asiakas on määritelty
  • Annosjaeltavat lääkevalmisteet annosteluajankohtineen
  • Muu annosjakeluasiakkaan lääkitys
  • Annosjakeluun liittyvä mahdollinen lisäinformaatio

2.2. Henkilötietojen säilytysaika

Apteekkiasiakkaat:

  • Apteekkiasiakkaiden tiedot poistuvat aktiivirekisteristä 13 kuukauden jälkeen, jos asiakas ole asioinut tuona aikana apteekissa. Reseptitietoja säilytetään arkistoituna rekisterissä lain velvoittaman säilytysajan.

Tiliasiakkaat:

  • Asiakkaan tiliasiakkuuteen liittyviä henkilötietoja säilytetään apteekin asiakasrekisterissä sopimuksen voimassaoloajan/sopimuksen mukaisesti sekä vähintään lain velvoittaman ajan. Laskujen välityspalvelussa laskutusaineistoja säilytetään 3 kuukauden ajan laskutuksen jälkeen. Varmuuskopioilla tiedot säilyvät 12 kuukauden ajan.

 

Annosjakeluasiakkaat:

  • Asiakkaan annosjakeluasiakkuuteen liittyviä henkilötietoja säilytetään sopimuksen voimassaoloajan/sopimuksen mukaisesti. Reseptiostoja säilytetään lisäksi lain velvoittaman ajan, vaikka annosjakelusopimus irtisanottaisiin.

 

2.3. Liitynnät muihin järjestelmiin

Apteekkiasiakkaat:

  • Apteekkisopimusjärjestelmä
  • Vieroitushoitosopimuksen piiriin kuulumisen tarkastaminen, jos reseptiostoissa on PKV-lääkkeitä (pääasiassa keskushermostoon vaikuttavia lääkkeitä) ja/tai huumeita
  • Suomen Apteekkariliiton ylläpitämä tietojenvälityspalvelu, jossa apteekkariliitto toimii tietojen käsittelijänä
  • Tiedot sopimuksista saadaan palveluun asiakkaan hoitavalta lääkäriltä
  • Valtakunnallinen reseptikeskus
  • Kaikki reseptitiedot toimitetuista ja sähköistetyistä resepteistä
  • Kansallinen Terveysarkisto toimii itsenäisenä rekisterinpitäjänä
  • Kelan palvelut:
    • Kelan reaaliaikainen korvauskysely (asiakkaan Kela-korvaustietojen haku)
    • Kelan reaaliaikainen tilityspalvelu (asiakkaan korvattujen lääkeostojen raportointi Kelaan)
    • Sairausvakuutuslain mukaisten etuuksien maksua varten
    • Kela toimii itsenäisenä rekisterinpitäjänä
  • Työpaikkakassat (Työpaikkalaskutuksen piirissä olevien asiakkaiden ostojen raportointi)
    • Sairausvakuutuslain mukaisten etuuksien ja mahdollisten lisäetuuksien korvauskäsittely
  • Vakuutusyhtiöt (Vakuutusyhtiöiden korvaavien ostojen raportointi vakuutusyhtiölle)
    • Riippuen asiakkaan vakuutussopimuksesta voidaan vakuutusyhtiön korvaavat ostot raportoida suoraan apteekista vakuutusyhtiöön
  • Suomi.fi-valtuudet -palvelu:
    • Keskitetty valtakunnallinen sähköinen valtuutuspalvelu puolesta asiointivaltuuden antamiseen ja tarkastamiseen. Suomi.fi-valtuudet on keskitetty palvelu, jossa asiakas voi valtuuttaa toisen henkilön tai yrityksen asioimaan puolestaan Apteekkiasiointiin löytyy palvelusta oma valtuus. Apteekki tarkistaa asiointivaltuuden apteekkijärjestelmässä suoraan Valtuudet-palvelusta.

Tiliasiakkaat:

E-lasku/suoramaksusopimustilauksiin liittyvä sähköinen sanomaliikenne (vastaanottoilmoitukset):

  • Apteekki vastaanottaa asiakkaan omassa pankkipalvelussaan lähettämän e-lasku/suoramaksu sopimuspyynnön. Tiedot noudetaan suoraan järjestelmään, jotta apteekilla on oikeus lähettää asiakkaalle elaskuja/suoramaksuja. Pyyntö noudetaan pankista apteekkiin suojattua pankkien käyttämää WebService-kanavaa pitkin.
  • Apteekki välittää laskut asiakkailleen Receptum Oy:n (y 1635372-4) laskutuspalvelua hyödyntäen. Receptum Oy (ja sen alihankkija RopoCapital Oy) toimivat laskujen käsittelijöinä eikä heille muodostu omaa henkilörekisteriä. Apteekki toimittaa laskutettavat tiedot palveluun, jossa hoidetaan laskujen välittäminen edelleen apteekin asiakkaille. Laskut välitetään joko sähköisesti tai paperisena asiakkaan määrittelemän laskutustavan mukaisesti. 

Annosjakeluasiakkaat:

  • PharmaService Oy tuottaa koneellisen annosjakelupalvelun sekä kokonaislääkityksen tarkistuksen.

Annosjakeluyksikköön välitettävät henkilö-/lääkitystiedot:

  • Henkilötunnus
  • Sukunimi ja etunimi
  • Asiakasryhmän nimi, johon asiakas on määritelty
  • Annosjaeltavat lääkevalmisteet annosteluajankohtineen
  • Annosjakeluvalmisteiden kirjallinen annostusohje sekä indikaatio siinä muodossa kuin ne on valmisteen reseptille kirjattu
  • Mikäli tilaukselle tuleva valmiste on eri valmiste, esim. geneerisen vaihdon seurauksena, kuin reseptillä määrätty, välitetään myös alkuperäisen reseptillä määrätyn valmisteen tiedot
  • Muu lääkitys (jos asiakkaalle on määritetty)
  • Annosjakeluun liittyvä mahdollinen lisäinformaatio (jos asiakkaalle on määritetty)

Kotihoidon ja palvelutalojen asiakkaat:

Kotihoidon ja palvelutalojen asiakkaiden tilaukset sekä annosjakelun muutosilmoitukset välitetään apteekkiin käyttäen sähköistä, internetin kautta toimivaa tilauskanavaa, EasyMediä. Apteekki käsittelee tilaukset omassa apteekkijärjestelmässään.    

EasyMediin välitettävät henkilö-/lääkitystiedot:

  • Henkilötunnus
  • Sukunimi ja etunimi
  • Palveluyksikön nimi
  • Tilattavat valmisteet
  • Annosjakelun muutos
  • Tarvittaessa lisätiedot lääketilaukseen tai annosjakeluun liittyen
  • Asiakkaan tiedot poistuvat EasyMedistä asiakkuuden päättyessä. Kotihoidon/palvelutalon henkilökunta vastaa ajantasaisten asiakastietojen ylläpitämisestä.

Kassa-asiakkaat:

  • Korttimaksutiedot Nets Oyj:lle

Asiakkaat, jotka käyttävät Kerimäen apteekin kotisivuja:

  • Verkkosivustolla ei kerätä henkilötietoja, eikä sivustolla ole käytössä kävijäseurantaa. Käytössä ovat ainoastaan toiminnalliset evästeet, että sivujen hallinto toimii oikein.

 

3. Kameravalvontarekisteri

3.1. Henkilötietojen käsittelyn tarkoitus ja käsittelyn oikeusperuste

Kameravalvonnan tarkoituksena on omaisuuden suojaaminen sekä turvallisuutta, omaisuutta tai tuotantoprosessia vaarantaneiden tilanteiden ennaltaehkäiseminen tai selvittäminen. Tämän lisäksi valvonnan tarkoituksena on varmistaa ja lisätä henkilökunnan turvallisuutta.

Rekisterin tietoja työnantajalla on oikeus käyttää lisäksi yksityisyyden suojasta työelämässä annetun lain (759/2004) 17 §:n 2 momentin 1-3 kohdissa yksilöidyissä tilanteissa työsuhteen päättämisen perusteen toteennäyttämiseksi, naisten ja miesten välisestä tasa-arvosta annetussa laissa (609/1986) tarkoitetun häirinnän tai ahdistelun taikka työturvallisuuslaissa (738/2002) tarkoitetun häirinnän ja epäasiallisen käytöksen selvittämiseksi ja toteen näyttämiseksi sekä työtapaturman tai muun työturvallisuuslaissa tarkoitettua vaaraa tai uhkaa aiheuttaneen tilanteen selvittämiseksi.

3.2. Rekisterin tietosisältö

Apteekin kameravalvonnan piiriin kuuluvissa tiloissa, kiinteistöjen ulko-ovien edustalla ja piha-alueilla syntynyt tallentavaan valvontajärjestelmään kuuluvien kameroiden kuvaama kuva-aineisto.

3.3. Henkilötietojen säilytysaika

Rekisterin tietoja säilytetään tallentimen kapasiteetista riippuen enintään 90 vrk, tällä hetkellä säilytyskapasiteetti noin 60 vrk, ellei ole kameravalvonnan tarkoituksen toteuttamisesta johtuvaa erityistä syytä säilyttää tietoja pidempää aikaa.

3.4. Säännönmukaiset tietolähteet

Apteekin tallentavaan valvontajärjestelmään kuuluvien kameroiden välittämä kuva-aineisto.

3.5. Tietojen luovutukset ja tietojen siirto

Tietoja ei luovuteta/siirretä EU-maiden ulkopuolelle.  Rikosepäilytapauksissa tietoja voidaan luovuttaa poliisille.

3.6. Rekisterin suojauksen periaatteet

Digitaalisessa muodossa (tietokoneen tai vastaavan kovalevyllä) oleva rekisteri on suojattu salasanalla. Tiedot tuhotaan tallentamalla niiden päälle uutta tietoa. Tietojen käyttö tapahtuu selaamalla kovalevyllä olevia tietoja tietokoneella. Tiedot eivät ole tallennettuna yleisesti tunnetuissa formaateissa ja tallenteiden katsomiseen tarvitaan kameravalvonnan oma ohjelma. Tällä estetään kuvien väärinkäytöksiä. Rekisteri on apteekin hallinnassa ja valvonnassa eikä siihen ei ole ulkopuolisilla pääsyä.  Apteekin ja järjestelmää ylläpitävien teknisten yhteistyökumppaneiden välillä on laadittu EU:n tietosuoja-asetuksen (GDPR) vaatimusten mukaiset yhteistyösopimukset, joissa kaikissa on mukana vaatimukset tiedon asianmukaiseen suojaamiseen sekä salassapitovelvoitteet.

 

4. Säännönmukaiset tietolähteet

Tietoja kerätään asiakkailta osto- ja maksutapahtuman sekä tuotteiden ja palvelujen toimituksen yhteydessä.

 

5. Tietojen vastaanottajat ja siirto EU:n ulkopuolelle

Asiakasrekisteriin tallennettujen tietojen käsittely on aina luottamuksellista. Apteekki voi luovuttaa kuljetusyrityksille niiden tarvitsemat tiedot asiakkaan ostamien tuotteiden perille toimittamiseksi sekä pankeille ja muille maksunvälittäjille sekä perintäyhtiöille tiedot, jotka ne tarvitsevat asiakkaan maksutapahtumien toteuttamiseksi ja maksujen perimiseksi. Apteekki ei luovuta rekisteritietoja kolmansille osapuolille markkinointi- tai muihin tarkoituksiin.

Apteekki käyttää tämän selosteen mukaisten tehtävien hoitamiseen alihankkijoita, joita sitovat rekisterinpitäjän kanssa tehdyt sopimukset henkilötietojen käsittelystä mukaan lukien salassapitoa ja tietoturvaa koskevat ehdot. Apteekki varmistaa tietosuojan alihankkijoiden palveluissa tietosuoja-asetuksen mukaisilla kirjallisilla sopimuksilla.

Apteekki voi luovuttaa rekisterissä olevia tietoja kolmansille osapuolille, jos luovutuksen perusteena on esim. viranomaisen lakisääteinen tiedonsaantioikeus. Jos apteekki luovuttaa rekisterissä olevaa tietoa viranomaiselle, dokumentoi apteekki tietoluovutuksen.

Apteekin rekisterissä olevia tietoja ei siirretä EU-/ETA-alueen ulkopuolelle.

Säännönmukaisia luovutuksia toiselle rekisterinpitäjälle:

  • Reseptikeskukseen apteekin sähköistämien reseptien tiedot
  • Reseptikeskukseen tiedot toimitetuista resepteistä
  • Kelalle tiedot sv-korvatuista ostoista
  • Kelalle tiedot maksusitoumuksella toimitetuista ostoista
  • Työpaikkakassoille tiedot laskutettavista ostoista
  • Vakuutusyhtiöille tiedot laskutettavista ostoista

 

6. Tietojen säilytysajat

Apteekki säilyttää aina kerta-asiakkaan ostotietoja enintään 13 kuukauden ajan ostotapahtumasta.

Reseptiostojen (reseptipäiväkirja) säilytysaika on Fimean määräyksen (2/2016: Lääkkeiden toimittaminen) mukainen.

Asiakkaan tiliasiakkuuteen liittyviä henkilötietoja säilytetään apteekin asiakasrekisterissä sopimuksen voimassaoloajan/sopimuksen mukaisesti sekä kirjanpitolain velvoittaman ajan.

Asiakkaan annosjakeluasiakkuuteen liittyviä henkilötietoja säilytetään sopimuksen voimassaoloajan/sopimuksen mukaisesti. Annosjakeluasiakkaan reseptiostoja säilytetään em. Fimean määräyksen mukaisesti. Annosjakeluasiakkaan laskutukseen liittyviä tietoja säilytetään kirjanpitolain velvoittaman ajan.

Asiakastiedot poistetaan rekisteristä, kun asiakassuhde ja siihen liittyvät maksu- ja muut molemminpuoliset velvoitteet ovat päättyneet. Sen jälkeen tiedoista säilytetään varmuuskopioita normaalien säilytys- ja poistoaikataulujen mukaisesti. Tietoja säilytetään myös kirjanpitolaissa ja muissa laeissa määriteltyjen säilytysaikojen mukaisesti.

 

7. Rekisterin suojaus

Apteekissa on käytössä Receptum Oy:n toimittama MAXX-apteekkijärjestelmä. Sosiaali- ja terveydenhuollon tietojärjestelmät jaotellaan käyttötarkoitustensa ja ominaisuuksiensa perusteella luokkiin A ja B. MAXX on A-luokan järjestelmä (=Kanta-palveluihin liittyvät järjestelmät), joka on Kelan yhteistestauksessa sekä tietoturva-auditoinnissa virallisesti hyväksytty apteekkijärjestelmä.

Apteekissa tehdään omavalvontaa apteekin asiakastiedon salassapidon ja tietojen suojaamisen varmistamiseksi lain velvoittamalla tavalla (laki sähköisestä lääkemääräyksestä 61/2007).

Asiakasrekisterin tiedot on suojattu henkilökohtaisilla käyttäjätunnuksilla, salasanoilla sekä toimikorteilla ja muilla teknisillä suojauksilla. Apteekissa on huolehdittu siitä, että tallennettuja tietoja sekä palvelimien käyttöoikeuksia ja muita henkilötietojen turvallisuuden kannalta kriittisiä tietoja käsitellään luottamuksellisesti ja vain niiden työntekijöiden toimesta, joiden työnkuvaan se kuuluu.
 

Apteekin, järjestelmään liittyvien palvelutuottajien sekä järjestelmää ylläpitävien teknisten yhteistyökumppaneiden välillä on laadittu GDPR:n vaatimusten mukaiset yhteistyösopimukset, joissa kaikissa on mukana vaatimukset tiedon asianmukaiseen suojaamiseen sekä salassapitovelvoitteet.

 

8. Asiakastietoja koskevat asiakkaan oikeudet

Asiakas voi tarkastaa hänestä rekisteriin tallennetut tiedot ja vaatia rekisterissä olevan virheellisen tiedon korjaamista tai tietojen poistamista.

Asiakkaalla on oikeus kieltää tietojensa käyttö suoramarkkinointiin ja markkinointitutkimuksiin mukaan lukien niihin liittyvä profilointi. Asiakkaalla on henkilökohtaiseen erityiseen tilanteeseensa liittyvällä perusteella oikeus vastustaa Apteekin oikeutettuun etuun perustuvaa henkilötietojensa käsittelyä (esim. asiakassuhteen hoitamiseen liittyvää käsittelyä).

Asiakas voi milloin tahansa peruuttaa antamansa suostumukset henkilötietojen käsittelyyn, joille ei ole muuhun lainsäädäntöön (lääkelaki, laki sähköisestä lääkemääräyksestä, EU:n yleinen tietosuoja-asetus, tietosuojalaki, laki sähköisen viestinnän palveluista) liittyvää perustetta.

Asiakkaalla on lain vaatimissa tilanteissa oikeus siirtää tiedot toisen tahon pitämään järjestelmään.

Edellä mainitut pyynnöt, kiellot ja peruutukset asiakas voi tehdä toimittamalla ne kirjallisesti asiakkaan allekirjoittamina Kerimäen apteekin tai Savonrannan sivuapteekin toimipisteeseen (apteekkiin). Pyynnön tulee sisältää rekisteröidyn nimi, henkilötunnus ja yhteystiedot. Tietosuojan varmistamiseksi asiakkaan on todistettava henkilöllisyytensä.

Pyynnöt käsitellään aina apteekin tietosuojavastaavan/apteekkarin kautta ja tiedot toimitetaan asiakkaalle ilman aiheetonta viivytystä ja joka tapauksessa kuukauden kuluessa pyynnön vastaanottamisesta. Mikäli asiakkaan pyyntö on monimutkainen tai pyyntöjä on paljon, määräaikaa voidaan tarvittaessa jatkaa enintään kahdella kuukaudella. Tällöin apteekki ilmoittaa asiakkaalle tällaisesta mahdollisesta jatkamisesta kuukauden kuluessa pyynnön vastaanottamisesta sekä viivästymisen syyt.

Omakanta-palvelusta (http://www.kanta.fi/omakanta) asiakas voi tarkistaa omiin reseptitietoihinsa kohdistuneet tapahtumakyselyt.

Tarkastusoikeuden käyttäminen on lähtökohtaisesti maksutonta. Jatkuvasti toistuvien kyselyiden tai ilmeisen perusteettomat/kohtuuttomien kyselyiden kohdalla rekisterinpitäjänä apteekki voi periä pyynnön toteuttamisesta hallinnollisiin kustannuksiin perustuvan maksun.

Asiakas voi pyytää tietojensa käsittelyn rajoittamista lain vaatimissa tilanteissa esim. siksi ajaksi, että asiakkaan esittämät tietoihin kohdistuvat pyynnöt saadaan selvitettyä ja ratkaistua. Asiakkaalla on myös oikeus tehdä valitus henkilötietojensa käsittelystä tietosuojavaltuutetulle tietosuoja@otm.fi.