Kohaldatav alates 13. juunist 2022.
Meie oleme Certific OÜ, Eesti seaduste alusel asutatud osaühing registrikood 16050394, registrijärgse aadressiga Tööstuse tn 47d-69, Tallinn 10416, Eesti, ning Eesti tervishoiuteenuse osutamise litsentsiga nr L05410 (“Certific”, “meie” või “me”).
Certific haldab veebilehte http://www.certific.co/ ja selle alamdomeene (“Veebileht”), rakendusi (“Rakendus” või “Rakendused”) ning tarkvara, andmebaase, liideseid, seotud meediat, dokumentatsiooni, värskendusi, uusi väljaandeid ja muud neile lisatud või nendega integreeritud komponente või materjale (üheskoos "Platvorm").
Certific on pühendunud teie privaatsuse austamisele ja kaitsmisele meie teenuste kasutamisel. See privaatsuspoliitika („Privaatsuspoliitika”) kirjeldab meie privaatsuspõhimõtteid ja seda, kuidas me töötleme isikuandmeid seoses meie poolt teenuste osutamisega.
Lugege järgnev hoolikalt läbi, et mõista meie lähenemist seoses teie isikuandmete töötlemisega ning sellega, kuidas me teie isikuandmeid kogume, kasutame ja avaldame. Kui teil on küsimusi selle kohta, kuidas me teie isikuandmeid täpsemalt töötleme või kui soovite esitada taotlust oma isikuandmete töötlemisega seotud õiguste teostamiseks, võtke meiega ühendust allolevas punktis "Kontaktid" toodud kontaktandmete kaudu.
1. MÕISTED
|
„Rakendus” või „Rakendused” |
preambulis määratletud; |
|
„Certific” |
preambulis määratletud; |
|
„Sertifikaat” |
tähendab digitaalset dokumenti, mis väljendab meditsiiniliselt sertifitseeritud Testi tulemust Testi kontrollimisel pärast seda, kui Klient on kasutanud Certificu poolt heaks kiidetud Testimiskomplekti. Tavaliselt on see PDF-vormingus, mille on välja andnud Tervishoiuteenuse Osutaja nimel Certific või meie ise tegutsedes Tervishoiuteenuse Osutajana, ja see on Tervishoiuteenuse Osutaja poolt allkirjastatud; |
|
„Klient”, „andmesubjekt” või „teie” |
tähendab füüsilist isikut, kes kasutab Certificu Teenuseid ja on seeläbi meiega sõlminud lepingu Certificu Tingimuste kohaselt ning kelle isikuandmeid Certific töötleb; |
|
„vastutav töötleja” |
tähendab füüsilist või juriidilist isikut, ametiasutust, asutust või muud organit, kes üksi või koos teistega määrab kindlaks isikuandmete töötlemise eesmärgid ja vahendid. Selle Privaatsuspoliitika kontekstis tähendab vastutav andmetöötleja Certificut, kui pole selgesõnaliselt öeldud teisiti; |
|
„volitatud töötleja” |
tähendab füüsilist või juriidilist isikut, ametiasutust, asutust või muud organit, kes töötleb isikuandmeid vastutava töötleja nimel; |
|
„GDPR” |
tähendab Euroopa Parlamendi ja Nõukogu 27. aprilli 2016. aasta määrust (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta ning millega tunnistatakse kehtetuks direktiiv 95/46/EÜ (isikuandmete kaitse üldmäärus); |
|
"Tervishoiuteenuse Osutaja" |
tähendab litsentseeritud tervishoiuteenuse osutajat või meditsiinilaborit, kes osutab testimisteenuseid (nagu on määratletud Tingimustes), mida Klient võib tellida Testimislepingu alusel (nagu on määratletud Tingimustes) ja kelle nimel ja kelle arstliku järelevalve ja regulatiivsete litsentside alusel väljastab Certific Kliendile Sertifikaadi või muud tüüpi dokumentatsiooni, mis kinnitab Testi tulemusi, nagu on Platvormil iga konkreetse Teenuse kohta täpsemalt märgitud. Tervishoiuteenuse Osutaja on toodud Platvormil ja Tellimuse kinnitusel. Olenevalt jurisdiktsioonist ja Teenusest võib Certific ise toimida Tervishoiuteenuse Osutajana; |
|
„Platvorm” |
tähendab mis tahes Certificu kanalit, mille kaudu Klient saab Tervishoiuteenuse Osutajalt Teenuseid tellida, kusjuures peamised kanalid on Rakendus(ed) ja Veebisait; |
|
„Teenus” või „Teenused” |
tähendavad tervishoiuteenuseid, mida Klient võib tellida Certificult otse või Certificult kolmandast osapoolest Tervishoiuteenuse Osutaja nimel Platvormi kaudu (nt COVID-19 testimisteenused ja testimis-raviteenused). Lisateavet Teenuse kohta leiate Platvormilt Teenuste ostmisel; |
|
„kaasvastutav töötleja” |
tähendab vastutavat töötlejat, kes määrab ühiselt koos teise vastutava töötlejaga kindlaks andmetöötluse eesmärgid ja vahendid; |
|
„isikuandmed” |
tähendab igasugust teavet tuvastatud või tuvastatava füüsilise isiku (andmesubjekti) kohta; tuvastatav füüsiline isik on isik, keda on võimalik otseselt või kaudselt tuvastada eelkõige sellise teabe alusel nagu nimi, isikukood, asukohateave või võrgutunnus, või ühe või mitme füüsilise isiku alusel, füsioloogiline, geneetiline, vaimne, majanduslik, kultuuriline või sotsiaalne identiteet; |
|
„töötlemine” |
tähendab mis tahes toimingut või toimingute kogumit, mida tehakse isikuandmete või isikuandmete kogumitega, kas automatiseeritud vahenditega või mitte, näiteks kogumine, salvestamine, organiseerimine, struktureerimine, salvestamine, kohandamine või muutmine, otsimine, konsulteerimine, kasutamine, avalikustamine edastamise, levitamise või muul viisil kättesaadavaks tegemise teel, joondamine või kombineerimine, piiramine, kustutamine või hävitamine; |
|
„Privaatsuspoliitika” |
preambulis määratletud; |
|
„eriliigilised andmed” |
tähendavad isikuandmeid, mis näitavad rassilist või etnilist päritolu, poliitilisi vaateid, usulisi või filosoofilisi veendumusi või ametiühingusse kuulumist, ning geneetiliste andmete, biomeetriliste andmete töötlemine füüsilise isiku unikaalse identifitseerimise eesmärgil, terviseandmed või andmed füüsilise isiku seksuaalelu või seksuaalse sättumuse kohta. Käesoleva Privaatsuspoliitika kontekstis viitavad eriliigilised andmed enamasti terviseandmetele; |
|
„Tingimused” |
Certificu Teenuste kasutamise tingimused, saadaval aadressil https://www.certific.co/ee/terms-and-conditions/ |
|
"Test" või "Testid" |
tähendab Certificu poolt heaks kiidetud ja Platvormil täpsemalt kirjeldatud Testi tüüpi, mille Klient sooritab Teenuste kasutamise ajal enda valitud asukohas; |
|
“Testimiskomplekt” |
tähendab spetsiaalset testimisseadet, mis on vajalik Kliendi poolt tellitud Testi ise läbiviimiseks; |
|
"Meie" või "me" |
preambulis määratletud; |
|
„Veebileht” |
preambulis määratletud. |
2. MILLISEID ISIKUANDMEID VÕIME TÖÖDELDA?
2.1 Kui olete valinud Certificu Teenuste kasutamise, siis on Certificul vaja ka töödelda teie isikuandmeid, et võimaldada Teenuseid Platvormi kaudu.
2.2 Isikuandmed, mida Certific võib töödelda, võivad olla järgnevad (mitteammendav loetelu):
2.2.1 üldised isikuandmed: nimi (eesnimi, perekonnanimi); sünniaeg, isikukood või muu asjakohane tunnus, näiteks passi või isikut tõendava dokumendi number;
2.2.2 identifitseerimisandmed: isikut tõendav dokument ja teave, mis on isikut tõendaval dokumendil (sh foto) [jäädvustatud seadme kaameraga];
2.2.3 kontaktandmed: e-posti aadress, postiaadress, telefoninumber;
2.2.4 kontoga seotud üksikasjad: sisselogimisandmed, parool;
2.2.5 enesedeklaratsioon või küsimustik: vastused, mille Klient annab Teenuste kasutamise kaudu enesedeklaratsioonile või küsimustikule, mis sisaldavad tervisealast teavet;
2.2.6 Testi tulemus: (COVID-19 või sarnane) ja muu teave Sertifikaadil või muul Testi tulemust kinnitaval dokumentatsioonil, näiteks teave Testi kohta (Testi proovimaterjali kuupäev ja kellaaeg; Testi ID; Testi nimi; Testi kehtivusaeg); Testi tulemus (positiivne / negatiivne / kehtetu / sertifitseerimatu) [jäädvustatud seadme kaameraga];
2.2.7 videosalvestus: seadme kaamera abil testimise protsessi salvestamine, mis sisaldab Testi sooritamise protseduuri;
2.2.8 makseteave: Teenuste kasutamisega seotud makseandmed, näiteks kaardiandmed ja tasutud summad;
2.2.9 kasutusteave: teave selle kohta, kuidas meie Teenuseid ja Platvormi kasutatakse, sealhulgas antud tagasiside;
2.2.10 tehniline teave: Teenuste kasutamise ajal kogutud tehniline teave (küpsiste kasutamisega kogutud andmete kohta lisateabe saamiseks vaadake ka Certificu küpsiste poliitikat);
2.2.11 muu (nõusoleku teave): teie antud konkreetse vabatahtliku nõusoleku alusel (kui see on asjakohane) võime töödelda ka muid teie kohta käivaid andmeid, mis ei ole eelpool loetletud, nagu vastavas nõusolekus on märgitud; taolist nõusolekut võite, kuid ei ole kohustatud meile andma;
2.2.12 helisalvestis: Testi sooritamise protsessi helisalvestis (seadme mikrofoni abil), mis sisaldab Testi sooritamise protseduuri või videokonsultatsiooni pidamist Certificu tervishoiutöötajaga.
2.3 Üksikasjalikum ülevaade isikuandmete töötlemisest Certificu poolt on toodud allpool punktis 5.
3. MILLISTELE ÕIGUSLIKELE ALUSTELE TUGINEME ISIKUANDMETE TÖÖTLEMISEL?
3.1 Certific võib töödelda Kliendi isikuandmeid eesmärgiga pakkuda Teenuseid vastavalt Certificu Tingimustele. Sellise andmetöötluse õiguslik alus on GDPR artikkel 6(1)(b), st töötlemine on vajalik lepingu täitmiseks, mille osaliseks on andmesubjekt, või selleks, et astuda samme Kliendi taotlusel enne lepingusse astumist. Certific võib teie isikuandmete edastamisel kolmandatele isikutele tugineda õigusliku alusena lepingu täitmisele. Näiteks võib Certific teha koostööd kliinikutega, kellel võib olla vaja teada Kliendi terviseteavet, et osutada Kliendile Teenusega seotud või selle tulemusel täiendavaid teenuseid ning vastavalt nende kolmandate osapoolte poolt lisateenustele kehtestatud tingimustele.
3.2 Certific võib töödelda isikuandmeid Kliendi antud nõusoleku alusel. Sellise andmetöötluse õiguslik alus on GDPR artikkel 6(1)(a). Sellistes olukordades töötleme isikuandmeid tingimustel, mis on sätestatud iga Kliendi poolt meile antud nõusolekus ja GDPR artikli 9(2)(a) sätestatud selgesõnalise nõusoleku tingimusel. Näiteks võib Certific tugineda sõnaselgele nõusolekule eriliigiliste andmete (tervisega seotud andmete, näiteks Testi tulemuste) töötlemisel õigusliku alusena. Teatud konkreetsetel juhtudel võib Certific tugineda nõusolekule kui õiguslikule alusele ka teie isikuandmete edastamisel kolmandatele isikutele. Näiteks võib Certific teha koostööd teadlastega, aga ka näiteks ürituste korraldajatega, kes võivad vajada teie konkreetset vabatahtlikku nõusolekut teie kohta asjakohaste isikuandmete saamiseks (näiteks COVID-19 uurimiseks või selleks, et võimaldada teil siseneda sündmusele, millel soovite osaleda). Sellistes olukordades esitatakse konkreetses nõusolekus, mida teilt võidakse küsida, meie edastatavate isikuandmete liigid ja kategooriad, isikuandmete konkreetne(d) adressaadid ja muu asjakohane ja vajalik teave.
3.3 Certific võib töödelda isikuandmeid, kui töötlemine on vajalik Certificu suhtes kehtiva õigusliku kohustuse täitmiseks. Sellise andmetöötluse õiguslik alus on GDPR artikkel 6(1)(c). Näiteks võib Certificul olla vaja isikuandmeid töödelda, kui pädevad asutused nõuavad, et Certific esitaks teatud isikuandmed vastavalt kohaldatavale õigusele, näiteks kehtiva kohtumääruse või õiguskaitseorgani kehtiva taotluse alusel või muul alusel kehtiva õiguse kohaselt. Pange tähele, et erinevates jurisdiktsioonides kehtivad tervishoiualased õigusaktid võivad nõuda, et Certific esitaks Testi tulemuste (nt COVID-19 või muu sarnane) kohta teavet vastutavatele valitsusasutustele, näiteks Eestis Terviseametile või Ühendkuningriigis Public Health Englandile. Certificul võib tekkida vajadus töödelda isikuandmeid, et järgida kehtivaid raamatupidamiskohustusi vastavalt kohalduvale õigusele.
3.4 Teatud konkreetsetes olukordades võib Certific töödelda isikuandmeid ka juhul, kui isikuandmete töötlemine on vajalik Certificu või muu vastutava töötleja õigustatud huvide täitmiseks, kui see on asjakohane. Näiteks võime töödelda statistilisi ja/või koondandmeid selle kohta, kuidas meie Teenuseid, Rakendust või Platvormi kasutatakse Teenuste täiustamiseks ja edasiarendamiseks, et saaksime tulevikus paremat kasutuskogemust pakkuda. Õigustatud huvi võib kasutada ka Kliendilt tagasiside küsimiseks koos vastuväidete esitamise võimalusega. Sellise andmetöötluse õiguslik alus on GDPR artikkel 6(1)(f). Sellisel juhul tagab Certific, et töötlemine on proportsionaalne ja et oleme läbi viinud õigustatud huvi mõjuhinnangu. Näiteks võib meie õigustatud huvi eesmärgil Certific analüüsida, kuidas meie Kliendid meie Teenuseid ja Platvormi kasutavad, et saaksime pakkuda paremat Teenust.
3.5 Üksikasjalikum ülevaade õiguslikest alustest, millele Certific isikuandmete töötlemisel tugineb, on toodud allpool punktis 5.
4. KUI KAUA ISIKUANDMEID SÄILITATAKSE?
4.1 Certific ei säilita isikuandmeid kauem, kui see on vajalik isikuandmete töötlemise eesmärkideks või vastavalt kehtivale õigusele. Üldreeglina kehtivad järgnevad säilitusperioodid.
4.2 Lepingutega seotud isikuandmeid saab säilitada lepingu kehtivuse ajal ja GDPR-i artikli 6(1)(f) kohaselt tõendatud õigustatud huvi alusel kuni kehtiva seadusega ettenähtud aegumistähtaegade lõpuni. Sellest lähtuvalt säilitab Certific reeglina Teenuste osutamisega seoses kogutud Kliendiandmeid seni, kuni see on Teenuste osutamiseks vajalik Kliendi ja Certificu vahel sõlmitud lepingu kehtivusaja jooksul ning 3 aastat pärast teenuste osutamise tähtaja möödumist. Sellega seoses kustutatakse üldreeglina olukorras, kui Klient ei ole Platvormi 3 aastat kasutanud (Klient pole Platvormil oma Kontole sisse loginud 3 aasta jooksul), Kliendi Konto ja kõik sellel olevad isikuandmed, välja arvatud juhul, kui Certificul on õiguslik alus isikuandmete pikemaks säilitamiseks, näiteks õiguslike kohustuste täitmiseks.
4.3 Nõusoleku alusel kogutud isikuandmeid säilitatakse kuni nõusoleku tagasivõtmiseni, välja arvatud juhul, kui võib esineda olukordi, mis nõuavad isikuandmete säilitamist kehtivate õiguslike kohustuste täitmiseks. Kui Klient ei ole nõusolekust taganenud, kohaldab Certific nõusoleku alusel kogutud isikuandmetele üldreeglina sama säilitustähtaega kui Teenuste tagamiseks kogutud isikuandmetele. Sellega seoses on üldreeglina nii, et kui Klient ei ole Platvormi 3 aastat kasutanud (Klient ei ole 3 aasta jooksul oma Kontole Platvormil sisse loginud), siis nõusoleku alusel kogutud isikuandmed ka kustutatakse.
4.4 Isikuandmetega seotud raamatupidamise algdokumente ja muid raamatupidamise dokumente tuleb säilitada vastavalt asjakohastele raamatupidamise seadustele. Seetõttu säilitab Certific nt Eesti raamatupidamise seadusest tulenevalt raamatupidamise dokumente ja sellega seotud võimalikke isikuandmeid 7 aastat.
4.5 Säilitusperioodide täpsemad üksikasjad on toodud allpool jaotises 5.
5. MIS EESMÄRKIDEL ME TEIE ISIKUANDMEID TÖÖTLEME
Certific töötleb isikuandmeid peamiselt järgmistel eesmärkidel:
|
Töötlemise eesmärk |
Isikuandmete tüübid* |
Kuidas oleme saanud isikuandmeid |
Certificu kohaldatav säilitusperiood |
Töötlemise õiguslik alus |
|
EE ja UK**: kasutajakonto võimaldamine Platvormi kaudu (Teenuste osutamine) |
Nimi (eesnimi, perekonnanimi), telefoninumber, sünniaeg, et võimaldada Kliendil luua Platvormi kasutamiseks Konto |
Otse igalt andmesubjektilt |
Andmesubjektiga sõlmitud lepingu kehtivusaja jooksul Certificu Tingimuste alusel. Pärast Certificu Tingimuste alusel andmesubjektiga sõlmitud lepingu lõpetamist 3 aastat, lähtudes meie õigustatud huvist kuni kohaldatava õiguse alusel kehtestatud aegumistähtaegade lõpuni |
GDPR artikkel 6(1)(b); GDPR artikkel 6(1)(f) |
|
EE ja UK: Testimiskomplekti saatmine (Teenuste osutamine) |
Nimi (eesnimi, perekonnanimi), postiaadress (kui see on kohaldatav), telefoninumber Kliendile Testimiskomplekti saatmiseks või muu Testi sooritamiseks vajalikud materjalid posti või kulleriga |
Otse igalt andmesubjektilt |
3 aasta jooksul pärast Testimiskomplekti postitamist meie õigustatud huvide alusel kuni aegumistähtaegade lõpuni vastavalt kohaldatavale õigusele |
GDPR artikkel 6(1)(b); GDPR artikkel 6(1)(f) |
|
EE ja UK: vastused enesedeklaratsioonile või küsimustikule (Teenuste osutamine) |
Vastused, mida Klient annab Platvormi kaudu tervisega seotud küsimustele (vajadusel) |
Otse igalt andmesubjektilt |
3 kuud pärast Kliendi antud vastuseid |
GDPR artikkel 6(1)(b) ja GDPR artikkel 6(1)(a) ja 9(2)(a) seoses eriliigiliste andmetega |
|
EE ja UK: Testi kinnitav video (Teenuste osutamine) |
Kliendi poolt Platvormil salvestatud video testimise protsessi kontrollimiseks koos isikuandmetega, mis sisestatakse kinnitamisprotsessi käigus |
Otse igalt andmesubjektilt (video jäädvustamine seadme kaameraga) |
3 kuud pärast video salvestamist Platvormil |
GDPR artikkel 6(1)(b) ja GDPR artikkel 6(1)(a) ja 9(2)(a) seoses eriliigiliste andmetega |
|
EE ja UK: Testi kinnitav heli (Teenuste osutamine) |
Heli, mis salvestatakse testimise protsessi ajal (nt videokonsultatsioon arsti või operaatoriga), koos protsessi kontrollimise käigus edastatud isikuandmetega |
Otse igalt andmesubjektilt (helisalvestus seadme mikrofoni abil) |
3 kuud pärast heli salvestamist Platvormil |
GDPR artikkel 6(1)(b) ja GDPR artikkel 6(1)(a) ja 9(2)(a) seoses eriliigiliste andmetega |
|
EE ja UK: Kliendi maksete töötlemine (Teenuste osutamine) |
Kliendi esitatud makseteave, näiteks kaardi number või pangakonto number |
Otse igalt andmesubjektilt või meie kolmandatest isikutest teenusepakkujatelt kelle kaudu Klient Teenused tellis, näiteks Shopify ja Maksekeskus. Vaadake ka selliste teenusepakkujate privaatsuspoliitikat |
Andmesubjektiga sõlmitud lepingu kehtivuse ajal Certificu Tingimuste alusel. Pärast Certificu Tingimuste alusel andmesubjektiga sõlmitud lepingu lõpetamist 3 aastat, lähtudes meie õigustatud huvist, kuni kehtiva seaduse kohase aegumistähtaegade lõpuni. Pange tähele, et kui Klient on ostnud Teenused kolmandate isikute teenusepakkujate kaudu (näiteks Shopify ja Maksekeskus), võivad lisaks kehtida ka selliste teenusepakkujate poolt vastu võetud tingimused ja privaatsuspoliitikad, mis võivad sätestada nende teenusepakkujate poolt kohaldatavad erinevad säilitusperioodid |
GDPR artikkel 6(1)(b); GDPR artikkel 6(1)(f) |
|
EE ja UK: Kliendil Testi tulemuste jagamise võimaldamine (Teenuste osutamine) |
Kliendile Testi tulemuste jagamise võimaldamine kolmandate osapooltega vastavalt Teenustele |
Otse igalt andmesubjektilt |
3 kuud |
GDPR artikkel 6(1)(a) |
|
EE ja UK: raamatupidamisega seotud teabe säilitamine (õigusliku kohustuse täitmine) |
Õiguslik kohustus |
Otse igalt andmesubjektilt |
7 aastat |
GDPR artikkel 6(1)(c) |
|
EE ja UK: jagamine valitsusasutustega või nagu nõutud kohalduva õiguse alusel – vt ka allpool punkti 6 |
Õiguslik kohustus |
Otse igalt andmesubjektilt |
3 kuud Certificu poolt, kui õiguslikus kohustuses ei ole sätestatud teisiti; Lisaks võivad kehtida säilitusperioodid, mida kohaldavad asjaomased pädevad valitsusasutused andmete töötlemisel eraldi vastutava töötlejana – täpsema teabe saamiseks peab Klient võtma ühendust vastava riigiasutusega |
GDPR artikkel (6)(1)(c) |
|
EE ja UK: Ürituste korraldajate teavitamine piletite triipkoodidest, millele ei ole väljastatud nõutavat Testi tulemust, mis annab sissepääsu vastavale üritusele (peamiselt COVID-19-ga seotud Teenuste osutamiseks) |
Lepingu täitmine ürituse partneritega, et nad saaksid täita teiega lepingut ja täita oma õigustatud huve ohutu ürituse korraldamiseks |
Otse igalt andmesubjektilt või meie teenuste ja platvormi rakendusest |
3 kuud |
GDPR artikkel 6(1)(b) |
|
EE ja UK: Andmesubjekti päringutele vastamine |
Taotlused, mida Klient võib meile vastavalt saata |
Otse igalt andmesubjektilt |
3 aastat |
GDPR artikkel 6(1)(b) |
|
EE ja UK: teave selle kohta, kuidas meie Teenuseid ja Platvormi kasutatakse, sh tagasiside, mida Klient võib anda |
Teenuste ja Platvormi täiustamine ja arendamine |
Otse igalt andmesubjektilt või automaatselt Teenuste ja Platvormi kasutamise ajal |
1 aasta |
GDPR artikkel 6(1)(f) |
|
EE ja UK: Turundus ja müügiga seotud tegevused |
Nimi (eesnimi, perekonnanimi), e-posti aadress, telefoninumber [eesmärgi saavutamiseks vajalik minimaalne isikuandmete hulk] |
Otse igalt andmesubjektilt või automaatselt Teenuste ja Platvormi kasutamise ajal |
3 kuud; juhime tähelepanu, et kolmandad isikud võivad säilitada isikuandmeid Certificuga võrreldes erineva aja jooksul |
GDPR artikkel 6(1)(f) |
|
EE: Tervishoiuteenuse osutaja infosüsteemide logide säilitamine |
Töötlemistoimingu sisu, andmed vastutava töötleja ja volitatud töötleja kohta , töötlemistoimingu kuupäev ja kellaaeg |
Otse igalt andmesubjektilt või automaatselt Teenuste ja Platvormi kasutamise ajal |
5 aastat |
GDPR artikkel 6(1)(c) |
|
EE: andmed patsiendile pakutavate tervishoiuteenuste osutamise kohta (epikriis/saatekirja vastus) |
„Tervise infosüsteemi edastatavate dokumentide andmete koosseis ja nende esitamise tingimused ja kord“ (Eesti määrus) lisas 4 nõutud andmekategooriad |
Otse igalt andmesubjektilt või automaatselt Teenuste ja Platvormi kasutamise ajal |
5 aastat |
GDPR artikkel 6(1)(c) |
|
EE ja UK: küpsiste kaudu kogutavad tehnilised andmed |
Palun vaadake küpsiste poliitikat |
|||
* isikuandmete kategooriate loend ei pruugi olla ammendav oleneb Teenusest. Juhul, kui Certificu pakutavate konkreetsete Teenuste käigus töödeldakse täiendavaid isikuandmeid, selgitab Teenuse voog, milliseid täiendavaid kategooriaid konkreetsel eesmärgil töödeldakse.
** EE tähistab esmast rakendatavust Eestis ja UK märgib Ühendkuningriiki. Rahvusvaheline teenus on seotud Eesti standarditega. Täiendavaid jurisdiktsioone võib lisanduda.
6. MILLAL ME TEIE ISIKUANDMEID JAGAME?
6.1 Certific võib jagada Kliendi isikuandmeid teatud kolmandatest isikutest teenusepakkujatega, nt IT-tarnijad, logistikateenuste pakkujad, teised teenusepakkujad või koostööpartnerid.
6.2 Certific võib jagada Kliendi isikuandmeid ka kolmandate osapooltega, kui Certific on seadusega kohustatud seda tegema, näiteks kui isikuandmeid nõuab meilt mõni asutus, kes on pädev selliseid andmeid küsima, näiteks kui andmeid küsib meilt kohus või õiguskaitseasutus või pädevad valitsusasutused ja järelevalveasutused vastavalt seadusele.
6.3 Certific võib teie isikuandmeid jagada ka kolmandate osapooltega, kui olete andnud selleks nõusoleku konkreetseks edastamiseks või muul asjakohasel õiguslikul alusel (näiteks lepingu täitmine või õigustatud huvi). Näiteks võib Certific teha koostööd teadlastega, kes võivad vajada teie vabatahtlikku nõusolekut teie kohta asjakohaste isikuandmete saamiseks (näiteks COVID-19 uurimiseks või sündmusele, millel soovite osaleda, lubamiseks). Sellistes olukordades esitatakse konkreetses nõusolekus, mida teilt võidakse küsida, sh meie edastatavate isikuandmete liigid ja kategooriad, isikuandmete konkreetne(d) adressaadid ja muu asjakohane ja asjakohane teave. Certific võib taoliste spetsiaalsete Teenuste osas teha koostööd ka ürituste korraldajatega, millisel juhul võime jagada piiratud hulgal isikuandmeid asjaomaste ürituste korraldajatega, nagu see on lubatud meie Tingimuste, Privaatsuspoliitika ja vastavate ürituste korraldajate asjakohaste tingimuste kohaselt.
6.4 Certific võib edastada Kliendi isikuandmeid kolmandatesse riikidesse, st riikidesse väljaspool EL/EMP piirkonda, käesolevas Privaatsuspoliitikas selgitatud eesmärkidel. Kliendi isikuandmete edastamisel kolmandatesse riikidesse tagab Certific, et edastamise suhtes kehtivad GDPR-is toodud kohased kaitsemeetmed ja et Kliendi õigused on kaitstud, nagu näiteks Euroopa Komisjoni lepingute standardsätted isikuandmete edastamiseks kolmandatesse riikidesse (st lepingu tüüptingimused). Klient võib taotleda informatsiooni meie poolt isikuandmete edastamiseks kehtestatud kaitsemeetmetest, võttes ühendust Certificuga allolevate kontaktandmete kaudu.
6.5 Seoses Teenuste ja Platvormi kasutamisega võidakse Kliendi isikuandmeid avaldada järgmistele vastuvõtjatele:
|
Vastuvõtja tüüp |
Avalikustamise eesmärk |
Vastuvõtja asukoht |
Rakendatud kaitsemeetmed |
Vastuvõtja roll |
|
IT-teenuste ja serverite pakkujad |
IT-lahenduste pakkumine ja muud seotud teenused (sealhulgas serverid), mis on vajalikud Certificu igapäevaste ärifunktsioonide jaoks |
EL/EMP/UK |
Andmetöötluslepingud |
Certificu volitatud töötleja |
|
Certificule teenuste pakkujad |
Pakkudes teenuseid, mis on Certificu jaoks vajalikud Platvormi ja Teenuste võimaldamiseks, näiteks, kuid mitte ainult , teenusepakkujad testimisprotseduuri ja Testi tulemuste hindamiseks või teenusepakkujad, kes korraldavad Testimiskomplektide logistikat |
EL/EEA/UK/USA |
Andmetöötluslepingud |
Certificu volitatud töötleja |
|
Tervishoiuteenuse Osutajad |
Teenuste osutamine vastavalt Tingimustele ja korraldatud selliselt, et Tervishoiuteenuse Osutaja saaks täita oma õiguslikke kohustusi (näiteks dokumentide esitamise kohustus vastavalt kohalikele tervishoiualastele õigusaktidele) |
EL/EMP/UK |
Andmetöötluslepingud |
Kaasvastutav töötleja Certificuga või eraldi vastutav töötleja, olenevalt Teenuse ülesehitusest |
|
Tervishoiuteenuse Osutaja teenusepakkujad |
Pakkudes teenuseid nagu, kuid mitte ainult, IT-lahendused ja/või muud seotud teenused vastavalt Tervishoiuteenuse Osutaja ärifunktsioonide täitmise vajadustele |
EL/EMP/UK |
Andmetöötluslepingud |
Volitatud töötleja Tervishoiuteenuse Osutajale |
|
Platvormiga integreeritud videosalvestusplatvormiga seotud IT-teenuste osutaja |
Certificu Teenuste funktsioonide jaoks vajaliku IT-lahenduse pakkumine |
USA |
Andmetöötluslepingud, mis põhinevad lepingu tüüptingimustel |
Certificu volitatud töötleja |
|
Turunduse ja müügiga seotud teenusepakkujad |
Turunduse ja müügiga seotud tegevused, mis parandavad turundusanalüütikat, sealhulgas klientideni jõudmine turunduse ja sotsiaalmeedia platvormide kaudu |
EL/EEA/UK/USA |
Andmetöötluslepingud |
Certificu volitatud töötleja |
|
Riiklikud valitsusasutused, näiteks Eesti Terviseamet või Ühendkuningriigi Public Health England, kellele teavitatakse Tervishoiuteenuse Osutaja kaudu |
Kohustus teavitada ja edastada informatsiooni Testi tulemustest (nt positiivsed COVID-19 või sarnased testitulemused) vastavalt kehtivale õigusele |
EL/EMP/UK |
N/A |
Eraldi vastutav töötleja |
|
Ürituste korraldajad (kui olete meie Platvormi kasutanud seoses sündmuspassi saamisega) |
Certific võib sündmuste korraldajatega jagada piiratud teavet, kui olete kasutanud meie Platvormi seoses sündmuspassiga, et siseneda vastava ürituse korraldaja korraldatud üritusele. Certific võib jagada teavet, mis võimaldab ürituse korraldajal kontrollida, kas Kliendil on lubatud üritusele sisenemine, peamiselt raha tagastamise eesmärgil, kui pilet on väljastatud koossündmuspassiga, mis võimaldanuks üritusele siseneda |
EL/EMP/UK |
Vastutav töötleja - vastutav töötleja andmetöötlusleping |
Eraldi vastutav töötleja |
6.6 Certific võib jagada ka anonüümseid andmeid ja/või statistilisi andmeid kolmandate osapooltega, näiteks teadustegevuse eesmärgil. Juhime tähelepanu, et juhtudel, kui jagame anonüümseid andmeid ja/või statistilisi andmeid, tagame, et isikuandmeid ei jagata (mis tähendab, et ükski Klient ei ole tuvastatav) ning seetõttu ei kehti sellistele tegevustele isikuandmete töötlemise regulatsioon ja GDPR (kuna isikuandmeid ei jagata).
7. KUIDAS CERTIFIC KAITSEB TEIE ISIKUANDMEID?
7.1 Kliendi isikuandmete kaitsmiseks volitamata juurdepääsu, ebaseadusliku töötlemise või avalikustamise, juhusliku kaotsimineku, muutmise või hävimise eest kasutab Certific asjakohaseid tehnilisi ja organisatsioonilisi meetmeid, mis vastavad kehtivatele seadustele. Need meetmed hõlmavad asjakohaseid infoturbesüsteemide rakendamist, paber- ja elektrooniliste failide kaitsmist tehniliste ja loogiliste vahenditega, dokumentidele ja hoonetele juurdepääsu kontrollimist ja piiramist.
8. KLIENDI ÕIGUSED
8.1 Certific on pühendatud sellele, et kõik kehtivast õigusest tulenevad andmesubjekti õigused oleksid Kliendile alati tagatud. Eelkõige on igal andmesubjektist Kliendil:
8.1.1 õigus saada ligipääs tema kohta töödeldavatele isikuandmetele;
8.1.2 õigus nõuda enda kohta käivate ebatäpsete isikuandmete parandamist;
8.1.3 õigus nõuda isikuandmete kustutamist ja/või isikuandmete töötlemise piiramist, kui isikuandmeid töödeldakse töötlemiseks kehtiva õigusliku aluseta. “Õiguse olla unustatud” nõude teostamisel juhendab Klienti meie klienditeenindusmeeskond ja annab protsessi kohta vajalikku teavet;
8.1.4 õigus saada töödeldavaid isikuandmeid struktureeritud, üldkasutatavas ja masinloetavas vormingus ning õigus edastada isikuandmeid teisele vastutavale töötlejale (kohaldatavate õigusaktide tingimuste kohaselt);
8.1.5 õigus esitada vastuväiteid isikuandmete töötlemisele.
8.2 Kui Klient leiab, et tema õigusi on rikutud, võib Klient pöörduda ja esitada kaebuse tema jurisdiktsioonis olevale järelevalveasutusele (nt Andmekaitse Inspektsioon Eestis aadress Tatari 39, Tallinn 10134, info@aki.ee või Information Commissioner’s Office, aadress Wycliffe House, Water Lane, Wilmslow, Cheshire SK9 5AF; telefoni number: 0303 123 1113. Lisateavet leiate aadressilt: https://ico.org.uk/global/contact-us) või muust pädevast asutusest Kliendi jurisdiktsioonis. ELi riiklike andmekaitseasutuste loend on saadaval aadressil https://edpb.europa.eu/about-edpb/board/members_en).
9. KOHALDATAVAD SEADUSED JA JURISDIKTSIOON
Käesolevale Privaatsuspoliitikale kohaldatakse Eesti Vabariigi seadusi. Kõik käesolevast Privaatsuspoliitikast tulenevad vaidlused lahendatakse Eesti Vabariigis Harju Maakohtus, välja arvatud juhul, kui Kliendil on seadusest tulenevalt õigus pöörduda oma elukohajärgsesse kohtusse.
10. KONTAKTID
Kui teil on selle Privaatsuspoliitika kohta küsimusi või kui teil on küsimusi selle kohta, kuidas me teie isikuandmeid kasutame, või kui soovite oma ülalkirjeldatud õigusi kasutada, võtke ühendust Certificuga e-posti teel või kirjalikult, kasutades järgmist kontaktteavet:
ärinimi: Certific OÜ
registrikood: 16050394
aadress: Tööstuse tn 47d-69, Tallinn 10416, Eesti
e-post: dpo@certific.co
veebileht: https://certific.co/