1. Üldsätted
1.1. JSC “Grindeks” (edaspidi – Ettevõte) kinnitab, et ettevõtte käsutusse jõudvate isikuandmete osas järgitakse kõrgeimaid turvanõudeid ning andmesubjektide privaatsus on maksimaalselt kaitstud. Ettevõte investeerib ressursse ja hoolitseb isikuandmete eest oma igapäevatoimingutes.
1.2. Käesoleva Privaatsuspoliitika (edaspidi – Poliitika) eesmärk on anda teavet selle kohta, kuidas Ettevõte töötleb tuvastatava füüsilise isiku – Andmesubjekti (edaspidi – Andmesubjekt) isikuandmeid, mis tehakse Ettevõttele kättesaadavaks juhtudel, kui Andmesubjekt suhtleb Ettevõttega, kasutades olemasolevaid suhtluskanaleid (telefon, e-post, post) või külastades Ettevõtte kodulehte või külastades Ettevõtte ruume ja territooriumi, samuti Ettevõtte tegevusega seotud avalikke üritusi.
1.3. Poliitika annab teavet selle kohta, kuidas Ettevõte saab isikuandmeid andmemahtude ja töötlemisaegade, andmekaitse kohta ning teavitab Andmesubjekti tema õigustest ja kohustustest.
1.4. Isikuandmete töötlemisel järgib Ettevõte Läti Vabariigis kehtivaid seadusi ja määrusi, Euroopa Liidu õigusakte ning muid eraelu puutumatuse ja andmetöötluse valdkonnas kehtivaid seadusi ja määrusi, sealhulgas määrust (EL) 2016/679, sealhulgas Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrust füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta ning millega tunnistatakse kehtetuks direktiiv 95/46/EÜ (andmekaitse üldmäärus) (edaspidi GDPR).
1.5. Käesolevat Poliitikat kohaldatakse kõikidele Andmesubjektidele, kelle isikuandmeid Ettevõte töötleb ja kelle isikuandmeid töödeldakse, olenemata sellest, kuidas andmed on Ettevõttele kättesaadavaks tehtud. Töösuhteid puudutavate küsimuste kohta anname lisainfot eraldi.
1.6. See Poliitika on loodud selleks, et muuta meie ettevõttes isikuandmete kaitsega seotud küsimuste esitamine võimalikult lihtsaks, kuid mõningaid mõisteid kasutatakse vastavalt sellele, kuidas need GDPR-is on esitatud:
1.7. Ettevõte on poliitikas kirjeldanud meetmeid, mida on rakendatud andmesubjekti huvide ja vabaduste kaitsmiseks, tagades samas andmete ausa, seadusliku ja Andmesubjekti jaoks läbipaistva töötlemise.
2. Vastutav töötleja ja kontaktandmed
2.1. Isikuandmete töötlemise vastutav töötleja on JSC “Grindeks”, registreerimisnumber 40003034935, registreeritud aadress: Krustpilsi tänav 53, Riia, LV-1057, telefon +371 67083205, e-post: grindeks@grindeks.lv).
2.2. Käesolevat Poliitikat või isikuandmete töötlemist puudutavate küsimuste või ebaselguste korral saatke e-kiri aadressil grindeks@grindeks.lv või pöörduge isiklikult ettevõtte juriidilisele aadressile.
3. Klientide isikuandmete töötlemine ja säilitamine
3.1. Ettevõtte poolt töödeldavate isikuandmete liigid sõltuvad andmesubjekti poolt kasutatavatest Ettevõtte teenustest või andmesubjekti enda tegevusest.
3.2. Sagedamini saadakse töödeldavad andmed siis, kui andmesubjekt omandab või avaldab soovi saada Ettevõtte poolt pakutavaid teenuseid või osta ettevõtte tooteid. Sel juhul saaks andmeid töödelda:
Teave saadud teenuste kohta (Andmesubjekti Arvamus) jne.
3.3. Kui klient pretendeerib toote kvaliteedile, on Ettevõte kohustatud sellist kaebust käsitlema vastavalt seaduste nõuetele, mis omakorda määravad minimaalse isikuandmete hulga, mille kaebuse esitaja peab oma kaebuses märkima (nt. nimi, perekonnanimi, kontaktandmed), seega on Ettevõttel õiguslik alus selliste andmete töötlemiseks ning vastav teave fikseeritakse Ettevõtte dokumentides ja säilitatakse Ettevõtte andmetöötlussüsteemis.
4. Andmetöötluse liigid, õiguslikud alused, säilitamisperioodid ja juurdepääsuõigused
4.1. Lepingupõhine andmetöötlus. Andmesubjekti teenuste saamisel (osaledes Ettevõtte poolt korraldatavatel koolitusseminaridel) või Ettevõtte toodetud toodete ostmisel (sh tasuta tootenäidiste saamisel) loetakse, et Ettevõtte ja andmesubjekti vahel on sõlmitud leping.
4.1.1. Vastavalt GDPR-ile on selle töötlemise õiguslik alus:
4.1.2. Sellise andmetöötluse säilitamise tähtaeg määratakse vastavalt andmetöötluse eesmärgile ja regulatiivsetele nõuetele, võttes arvesse järgmisi tingimusi:
4.1.3. Ettevõtte poolt toodetud toodete puhul, mille müügiaeg on määratletud, säilitatakse sellise tootmisega seotud teave kogu selle aja.
4.1.4. Isikuandmed, kui nende töötlemiseks puudub õiguslik alus, kustutatakse jäädavalt.
4.1.5. Juurdepääsuõigused nendele andmetele on piiratud ja neid võib andmesubjekti nõusolekuta üle anda kolmandatele isikutele vastavalt seaduste nõuetele, sh. vastavalt GDPR-i sätestatud juhtudele:
Kohtule või muule järelevalveasutusele, lähtudes Ettevõtte õigustatud huvidest, isiku suhtes, kes on rikkunud Ettevõtte õigustatud huve.
4.2. Andmetöötlus videovalve raames. Ettevõte hangib isikuandmeid videovalve abil, mille eesmärk on ennetada või avastada kuritegusid seoses Ettevõtte ja kolmandate isikute õigushüvede kaitsega ahistamise korral ning kaitsta isikute elulisi huve, elu ja tervist.
4.2.1. Vastavalt GDPR-ile on selle töötlemise õiguslik alus:
4.2.2. Ettevõtte videosalvestussüsteem sisestab andmesubjekti füüsilise isiku andmed (pikkus, näokujutis, füüsilised tegurid), mille järgi on võimalik tuvastada konkreetne füüsiline isik ja aeg, mil isik viibis Ettevõtte territooriumil/ruumides.
4.2.3. Andmed võivad ettevõtte käsutusse jõuda hetkest, mil isik siseneb videokaamera võttealasse, mille eest hoiatatakse isikut eelnevalt hoiatussildiga ning teatatakse, et Ettevõtte territooriumil ja lähialal tehakse videovalvet.
4.2.4. Kui videovalve käigus ei jäädvustatud videot, millelt oleks võimalik andmesubjekti tuvastada (nt madala eraldusvõimega), siis käesolevas poliitikas füüsiliste isikute isikuandmete kaitsega seotud sätteid ei kohaldata.
4.2.5. Videovalvet ei teostata piirkondades, kus andmesubjektid eeldavad suuremat privaatsust (puhkealadel, riietusruumides jne). Videovalve salvestusala alused on keskendunud koridoridele, sisse-/väljapääsualadele, hoonete ja territooriumi perimeetrile ning muudele kõrge riskiga aladele.
4.2.6. Videosalvestisi säilitatakse 30 (kolmkümmend) päeva, välja arvatud juhul, kui videomaterjal ei kajasta õigusvastast käitumist või teavet, mis võib aidata Ettevõttel või kolmandatel isikutel kaitsta nende õiguslikke huve. Sel juhul säilitatakse vastavat videosalvestist kuni õigusliku huvi realiseerumiseni.
4.2.7. Videovalve salvestise andmed liigitatakse piiratud juurdepääsuga teabeks ning juurdepääs videosalvestistes sisalduvatele isikuandmetele on piiratud Ettevõtte juhtkonna või määratud töötajaga, kes otsustab andmesubjekti juurdepääsutaotluste rahuldamise ja kolmandatele isikutele vastavalt Ettevõtte videovalve reeglitele.
4.2.8. Videovalveandmete vastuvõtjateks võivad olla Ettevõtte volitatud töötajad, välised andmetöötlejad, korrakaitsjad, muud õiguste omajad, kui nende juurdepääsuõigus on sätestatud õigusaktides.
4.3. Ettevõtte korraldatud üritustelt saadud andmete töötlemine. Ettevõtte poolt korraldatavate ürituste tutvustamiseks meedias ja Internetis – isikuandmeid – kasutatakse ettevõtte veebilehel video- ja fotopilte eesmärgiga populariseerida ja propageerida kaubamärki „Grindeks“ valdkonna spetsialistide seas kui ka laiemale avalikkusele. Ettevõtte ja koostööpartnerite korraldatud ürituste käigus saadud isikuandmeid võidakse paigutada Ettevõtte veebilehel, infomaterjalides, aga ka ajakirjanduses.
4.3.1. Vastavalt GDPR-ile on selle töötlemise õiguslik alus:
GDPR-i artikli 6 lõike 1 punkt f – töötlemine on vajalik vastutava töötleja või kolmanda isiku õigustatud huvide saavutamiseks, välja arvatud juhul, kui andmete huvid või põhiõigused ja -vabadused kaaluvad selliseid huve üles. isikuandmete kaitset nõudvad isikud, eriti kui andmesubjekt on laps. Ettevõttel on õigustatud huvi kajastada üritusi, mida ta korraldab või üritusi, millel ta osalejana osaleb, et edendada ja tagada kaubamärgi „Grindeks“ mainet.
4.3.2. Ettevõttel on õigustatud huvi tõmmata avalikkuse tähelepanu edukale äriarendusele ning olla äratuntav kaubamärk ravimiturul tegutsevate ravimifirmade seas.
4.3.3. Isikuandmeid sisaldava teabe avaldamisel järgitakse kõrgeid eetilisi standardeid, mille eesmärk on tagada, et andmeid kasutatakse viisil, mis ei riku andmesubjekti õigusi ja vabadusi.
4.3.4. Juhul, kui Andmesubjektil on kaebus tema isikuandmete töötlemise kohta Ettevõttele teadmata faktide ja asjaolude alusel, on tal kõik võimalused võtta Ettevõttega ühendust ja esitada vastuväiteid vastavate andmete töötlemisele.
4.3.5. Ettevõte plaanib seda andmekategooriat püsivalt säilitada arhiivi osana, mis annab tunnistust vastavast perioodist ja on tulevastele põlvedele ajaloolise teabena selle kohta, kuidas ettevõte on aja jooksul arenenud ning kuidas on suurenenud teenuste ja toodete valik toodetud.
4.3.6. Ettevõtte poolt üritustel avaldatava teabe saajad võivad olla kolmandad isikud, mistõttu võib see olla edaspidi kättesaadav piiramatule hulgale huvilistele.
4.3.7. Selles jaotises olevatele andmetele on juurdepääs kõigil, kes soovivad külastada ettevõtte veebisaiti, või kui need on avaldatud ajakirjanduses, siis igal lugejal.
4.4. Isikuandmed, mis on saadud sissetuleva ja väljamineva suhtluse käigus. Ettevõtte äritegevuse raames toimub pidev suhtlus erinevate füüsiliste ja juriidiliste isikutega, mis sisaldab ka infot isikuandmete kohta. Juhtudel, kui andmesubjekt on esitanud kaebuse või taotluse, on Ettevõte kohustatud andma vastuse seadustes sätestatud korras, seega loob see asjaolud, mil samaaegselt töödeldakse ka andmesubjekti isikuandmeid, sellise töötlemise aluseks on Ettevõtte juriidilise kohustuse täitmine.
4.4.1. Vastavalt GDPR-ile on selle töötlemise õiguslik alus:
4.4.2. Ettevõte säilitab asjakohast teavet mitte kauem kui kaks aastat, välja arvatud juhul, kui vastav teave on vajalik Ettevõtte õigustatud huvide kaitse tagamiseks pikema aja jooksul, näiteks kohtumenetluses või olukorras, kus ettevõtte käitumist hinnatakse teise riikliku järelevalveasutuse poolt. Sellisel juhul võidakse andmesubjekti isikuandmeid säilitada kuni õigustatud huvi täitmiseni.
4.4.3. Selliste isikuandmete vastuvõtjateks võivad olla Ettevõtte volitatud töötajad, isikuandmete vastutavad töötlejad, õiguskaitse- ja järelevalveasutused, muud õiguste omajad õigusaktides sätestatud korras.
5. Andmesubjekti õigused ja kohustused
5.1. Andmesubjektil on õigus saada õigusaktides nimetatud teavet oma andmete töötlemise või andmesubjekti enda kohta töötlemise piiramise kohta või õigus esitada vastuväiteid töötlemisele (sealhulgas isikuandmete töötlemisele, mis põhineb andmete töötlemisel andmesubjektil Ettevõtte õigustatud huvid). Seda õigust kasutatakse niivõrd, kuivõrd töötlemine ei tulene Ettevõtte kohustustest, mis tulenevad kehtivatest seadustest ja määrustest ning mis on tehtud avalikes huvides. Andmesubjektil on õigus:
5.2. Kui Andmesubjekt leiab, et Ettevõtte valduses olev teave on aegunud, ebatäpne või ebaõige, on andmesubjektil õigus nõuda oma isikuandmete parandamist.
5.3. Andmesubjekt võib esitada kirjaliku taotluse oma õiguste teostamiseks:
5.4. Ettevõte saadab andmesubjektile vastuse tähitud kirjaga tema poolt tähitud kirjas märgitud kontaktaadressile. Kui andmesubjekt on taotluses märkinud, et soovib saada vastust elektroonilisel kujul, edastatakse vastus elektrooniliselt taotluses märgitud e-posti aadressile.
5.5. Andmesubjekti õiguste teostamise taotluse töötlemisel kontrollib Ettevõte andmesubjekti isikusamasust, hindab taotlust ja täidab selle kooskõlas õigusaktidega.
5.6. Andmesubjektide esitatud taotlusi seoses ülaltoodud õigustega töötleb Ettevõte tasuta. Avalduse läbivaatamise võib jätta rahuldamata või kohaldada halduskuludest lähtuvalt mõistlikku tasu, kui see on esitatud ilmselgelt alusetult või ülemääraselt, samuti muudel seaduses sätestatud juhtudel.
5.7. Andmesubjekt võib anda nõusoleku isikuandmete töötlemiseks, mille õiguslikuks aluseks GDPR-i sätete kohaselt on andmesubjekti nõusolek, kui see on olemas, ettevõtte registrijärgses asukohas. Kõigil muudel juhtudel, kui Ettevõte kasutab oma seaduslikke õigusi väliste seaduste järgimise tagamiseks, ei ole andmesubjektilt isikuandmete töötlemiseks nõusolek vajalik.
5.8. Andmesubjektil on igal ajal õigus tagasi võtta andmete töötlemiseks antud nõusolek samal viisil, nagu see anti, st isiklikult Ettevõtte asukohas, sel juhul konkreetsel eesmärgil antud eelneval nõusolekul põhinevat andmete edasist töötlemist enam ei teostata.
5.9. Nõusoleku tagasivõtmine ei mõjuta andmete töötlemist ajal, mil andmesubjekti nõusolek kehtis (nõusoleku tagasivõtmine ei ole tagasiulatuv). Nõusoleku tagasivõtmine ei pruugi põhjustada muudel õiguslikel alustel toimuva andmetöötluse katkemist.
5.10. Andmesubjektil on õigus nõuda oma isikuandmete kustutamist või esitada vastuväiteid nende töötlemisele, kui ta leiab, et isikuandmeid on töödeldud ebaseaduslikult või kui need ei ole enam vajalikud eesmärkidel, milleks neid koguti ja/või töödeldi (kasutades andmetöötluse põhimõtet GDPR-i kohaselt „unustatud”).
5.11. Andmesubjekti isikuandmeid ei saa kustutada, kui isikuandmete töötlemine on vajalik järgmistel eesmärkidel:
5.12. Andmesubjektil on õigus nõuda ettevõttelt andmesubjekti isikuandmete töötlemise piiramist, kui esineb vähemalt üks järgmistest asjaoludest:
5.12.1. andmesubjekt vaidlustab isikuandmete täpsuse ajavahemikuks, mis võimaldab vastutaval töötlejal isikuandmete õigsust kontrollida;
5.13. Kui andmesubjekti isikuandmete töötlemine on käesoleva poliitika punkti 5.12 kohaselt piiratud, töödeldakse selliseid isikuandmeid (ei kohaldata säilitamisel) ainult andmesubjekti nõusolekul või õigustatud nõuete või teise füüsilise või juriidilise isiku õiguste või oluliste huvide kaitsmiseks.
5.14. Ettevõte teavitab andmesubjekti enne andmesubjekti isikuandmete töötlemise piirangu tühistamist.
6. Isikuandmete kaitse
6.1. Ettevõte pakub ja täiustab pidevalt andmekaitsemeetmeid, et kaitsta andmesubjektide isikuandmeid volitamata juurdepääsu, juhusliku kaotsimineku, avalikustamise või hävimise eest. Ettevõte on võtnud arvesse andmete töötlemise spetsiifilisi riske, eelkõige edastatud, salvestatud või muul viisil töödeldavate isikuandmete hävimise, kaotsimineku, muutmise, loata avaldamise või neile juurdepääsuga seotud riske.
6.2. Ettevõte kasutab vastavaid tehnilisi ja organisatsioonilisi nõudeid, sealhulgas tulemüüri, sissetungimise taastamise, analüüsi ja andmete krüptimise tarkvara.
6.3. Ettevõte kontrollib põhjalikult kõiki koostööpartnereid, kes Ettevõtte volitusel tema nimel füüsiliste isikute andmeid töötlevad, samuti hindab, kas koostööpartnerid (isikuandmete vastutavad töötlejad) suudavad tagada piisavad turvameetmed füüsiliste isikute andmete töötlemiseks vastavalt Ettevõtte volitustele ja siduvatele õigusaktidele.
6.4. Ettevõte rakendab meetmeid tagamaks, et ükski Ettevõtte alluvuses tegutsev isik, kellel on juurdepääs isikuandmetele, ei töötleks neid ilma Ettevõtte juhisteta, välja arvatud juhul, kui seda nõuab seadus.
6.5. Ettevõte tagab andmete töötlemise ja kaitse nõuete täitmise vastavalt seadustele. Isikuandmete kaitse rikkumise korral, mis võib kujutada endast suurt ohtu andmesubjekti õigustele ja vabadustele, ning GDPR artikli 34 lõikest 3 tulenevate erandite puudumisel teavitab Ettevõte sellest viivitamata andmesubjekti isikuandmetega seotud rikkumisest.
6.6. Andmesubjekti pretensiooni korral astub Ettevõte kõik vajalikud sammud nõude lahendamiseks vastastikuste läbirääkimiste teel, kuid ebaõnnestumise korral on andmesubjektil alati õigus pöörduda järelevalveasutuse – Andmekaitse Inspektsiooni – poole.
7. Company website and use of cookies
7.1. Ettevõtte veebisaidid võivad küpsiste tehnoloogiat kasutada järgmistel eesmärkidel:
7.2. Küpsised tuvastavad ainult andmesubjekti seadmeid, kuid ei avalda andmesubjekti identiteeti ühelgi kujul.
7.3. Ettevõtte veebileht võib sisaldada linke teiste teenusepakkujate (kolmandate isikute) veebisaitidele, millel on oma kasutus- ja isikuandmete kaitse reeglid, mille eest Ettevõte ei vastuta.
7.4. Andmesubjektil on igal ajal õigus keelduda oma andmete edasisest töötlemisest, välja arvatud juhul, kui andmete töötlemiseks on muu õiguslik alus või seaduses ei ole sätestatud teisiti.
8. Suhtlemine andmesubjektiga
8.1. Ettevõte suhtleb andmesubjektiga andmesubjektide poolt antud kontaktandmetel (telefoninumber, e-posti aadress või postiaadress).
8.2. Ettevõte suhtleb lepinguliste kohustuste osas sõlmitud lepingu alusel ja vastavalt lepingus märgitud kontaktandmetele.
8.3. Muudel juhtudel suhtleb Ettevõte andmesubjektiga andmesubjekti esitatud taotluse alusel, järgides andmesubjekti määratud suhtlusviisi ja/või regulatiivseid nõudeid..
9. Lõppsätted
9.1. Ettevõttel on õigus Poliitikat muuta.
9.2. Kui käesolevat Poliitikat uuendatakse, jõustuvad muudatused uuendatud Poliitikas märgitud kuupäeval.
9.3. Läbipaistva ja ausa andmetöötluse tagamiseks on veebilehel alati postitatud Poliitika uusim versioon.
9.4. Andmesubjekt on kohustatud tutvuma käesoleva poliitikaga, samuti tutvustama sellega kõiki isikuid, kes on selle andmesubjektiga seotud ja kelle huve võivad selle isiku andmetöötlusprotsessid seega mõjutada. Ettevõte eeldab, et esitatud isikuandmed ei kahjusta teiste isikute huve.
9.5. Kui käesolev Poliitika tõlgitakse teistesse keeltesse, on vastuolude korral ülimuslik läti keel.
9.6. See Poliitika kehtib alates 2019. aastast.
TÄHELEPANU! TEGEMIST ON RAVIMIGA. ENNE TARVITAMIST LUGEGE TÄHELEPANELIKULT PAKENDIS OLEVAT INFOLEHTE. KAEBUSTE PÜSIMISE KORRAL VÕI RAVIMI KÕRVALTOIMETE TEKKIMISEL PIDAGE NÕU ARSTI VÕI APTEEKRIGA.