TURUNDUSE PRIVAATSUSTEADE –
Open Olphai ja meetmete kohta

Üldteave

1. Käesolevate isikuandmete kaitset käsitlevate tingimuste (edaspidi: tingimused) eesmärk on kooskõlas isikuandmete kaitse üldmääruse (edaspidi: GDPR) artiklitega 12 ja 13 anda tervishoiutöötajale teavet aktsiaseltsi Olphai poolt (registrikood 40003007246, edaspidi: ühing) teostatud isikuandmete töötlemise kohta järgmiste protsesside raames:
   – tervishoiutöötajale portaali Open Olpha (edaspidi: portaal) toimimise tagamine;
   – tervishoiutöötajale ürituste, näiteks seminari, veebiseminari, konverentsi (edaspidi: üritused) toimumise tagamine;
   – ühingu suhtlus tervishoiutöötajaga ühingu ja selle kontserni ettevõtete turustatud toodete ja korraldatud ürituste kohta.
2. Ühing hindab isikuandmete kaitse nõudeid kõrgelt ja annab käesolevate tingimuste näol teavet, et tagada võimalus tervishoiutöötajal mõista, mida ja miks tervishoiutöötaja isikuandmetega tehakse ning kuidas toimitakse tema esitatud isikuandmetega.
3. Tingimustes kasutatud termineid „vastutav töötleja”, „volitatud töötleja”, „isikuandmed”, „töötlemine” ja „andmesubjekt” kasutatakse GDPRi artiklis 4 määratletud tähenduses.

Vastutav töötleja

4. Vastutav töötleja: aktsiaselts Olpha. Vastutava töötleja kontaktandmed isikuandmete kaitse küsimustes:
   – juriidiline aadress: Rūpnīcu iela 5, Olaine, Olaine piirkond, LV-2114;
   – e-post:dataprotection@olainfarm.com
   – telefoninumber +371 28327856

Isikuandmete kogumise allikas

5. Ühing kogub isikuandmeid andmesubjektilt (tervishoiutöötajalt) endalt, näiteks siis, kui tervishoiutöötaja taotleb ühingult teavet, loob portaalis konto, registreerib end ja saabub üritusele ning suhtleb ühinguga. Tervishoiutöötaja isikuandmed loetakse kogutuks andmesubjektilt (tervishoiutöötajalt) ka juhul, kui tervishoiutöötaja taotluse alusel teeb toiminguid tervishoiutöötaja nimel teine isik, kes näiteks suhtleb ühinguga, loob portaalis konto ja teeb registreeringu üritusele. See isik on täielikult vastutav ja tagab, et tal on õigus esitada GDPRi kohaselt tervishoiutöötaja isikuandmeid ühingule kooskõlas tingimustega, ning tal on kohustus esitada tervishoiutöötajale tingimustes sisalduvat teavet.

Töödeldud isikuandmete liik

6. Töödeldud isikuandmete maht võib erineda olenevalt töötlemise eesmärgist. Ühing võib töödelda järgmiseid tervishoiutöötaja isikuandmeid:
   – ees- ja perekonnanimi;
   – e-posti aadress, telefoninumber;
   – kasutajanimi ja salasõna juurdepääsuks portaalile;
   – teave eriala kohta;
   – teave töökoha kohta;
   – teave ürituste kohta, kus tervishoiutöötaja osaleb, on osalenud või kavatseb osaleda (on registreerunud), ja üritustel osalemise tulemusel tervishoiutöötaja saadud täiendõppepunktid;
   – teave, mis sisaldub tervishoiutöötaja ja ühingu vahelises suhtluses, mis esitatakse portaalis, ürituste ajal või mis saadakse e-posti või telefoni teel;
   – ühingu salvestatud ürituste, sealhulgas veebiürituste video- ja audiosalvestis, mis tehakse teistele tervishoiutöötajatele hariduslikel eesmärkidel kättesaadavaks. Seega võidakse töödelda teavet tervishoiutöötaja üritustel osalemise, ürituste ajal tervishoiutöötaja esitatud küsimuste ja muu tegevuse kohta;
   – teave tervishoiutöötaja toimingute kohta portaalis (näiteks teave selle kohta, millal on konto loodud, millal toimus kontole sisse- ja väljalogimine, milliselt IP-aadressilt kontot kasutati, kui pikka aega on portaalis veedetud).

Isikuandmete töötlemise eesmärgid

7. Ühing töötleb isikuandmeid selleks, et tervishoiutöötaja saaks end kirja panna üritustel osalemiseks, osaleda valitud üritustel ja saada tunnistust ja täiendõppepunkte üritustel osalemise eest (kui konkreetsete ürituste formaat näeb ette sellise tunnistuse väljastamist ja täiendõppepunktide andmist) ning et ühing saaks tõendada tervishoiutöötaja osalemist üritustel.
8. Ühing võib võtta tervishoiutöötajaga ühendust, kasutades portaalikontol kättesaadavaid suhtlusviise või tervishoiutöötaja esitatud e-posti aadressi, telefoninumbrit, aadressi, et anda tervishoiutöötajale teavet järgmise kohta:
   – konto toimimine (näiteks muudatused/parendused/tehniline probleem portaalis);
   – ürituste toimumine, millele tervishoiutöötaja on end registreerinud;
   – muud ühingu ja selle kontserni ettevõtete ajakohased üritused ning ühingu ja selle kontserni ettevõtete turustatavad tooted (sealhulgas toodete kasutamine, pakend, doos, täiendused, kirjelduste ja kasutusjuhendite muudatused) ning nende toodetega seoses võimaliku kokkusaamise kokkuleppimine.
9. Ühing võib võtta tervishoiutöötajaga ühendust, kasutades portaalikontol kättesaadavaid suhtlusviise või tervishoiutöötaja esitatud e-posti aadressi, telefoninumbrit, aadressi, kui selline suhtlus on vajalik tervishoiutöötaja algatatud taotluse ja küsimuse lahendamiseks.
10. Ühing võib säilitada ja analüüsida teavet tervishoiutöötaja eriala ja töökoha kohta, ürituste kohta, millele tervishoiutöötaja on registreerunud või mida ta on külastanud, ja ühingu poolt tervishoiutöötajale saadetud teavet, et luua tervishoiutöötaja huvidele vastav teabesisu, mida ühing kavatseb tervishoiutöötajale edastada.
11. Ühing võib säilitada ja kasutada teavet tervishoiutöötaja tegevuse kohta portaalis, et tagada portaali toimimine ja turvalisus.
12. Ühing võib tingimuste punktis 6.8 sätestatud üritusi salvestada ning tagada teisele tervishoiutöötajale ja ühingu koostööpartnerile juurdepääs sellele salvestisele tervishoiutöötaja harimise eesmärgil.
13. Ühing töötleb isikuandmeid tingimustes sätestamata eesmärgil üksnes juhul, kui selline isikuandmete töötlemine on sätestatud välises õigusaktis või kui andmesubjekt on sellise töötlemisega nõustunud või kui vastavalt GDPRile on andmete töötlemine algse eesmärgiga kooskõlas.

Isikuandmete töötlemise alus

14. Tingimuste punktides 7–12 märgitud isikuandmete töötlemine toimub ühingu õigustatud huvi alusel(GDPRi artikli 6 punkti 1 alapunkt f). Sellise isikuandmete töötlemise puhul on ühing hinnanud ja taganud proportsionaalsuse ühingu õigustatud huvi ja andmesubjekti õiguste ja vabaduste vahel. Ühingu jaoks on isikuandmete töötlemine vajalik järgnevate õigustatud huvide kaitseks:
    – ühingu äritegevus;
    – haridusvõimaluste tagamine tervishoiutöötajale;
    – ühingu äritegevuse arendamine, analüüs ja planeerimine;
    –  tervishoiutöötajale ühingu, selle kontserni ettevõtete kuvandi, toodete ja ürituste populariseerimine;
    – tervishoiutöötajalt teabe hankimine ühingu ja selle kontserni ettevõtete toodete kohta, et teha vajaduse korral parendusi ja muudatusi;
    – tervishoiutöötajaga hea koostöö ja suhtluse tagamine;
    – õiguslike ja muude riskide, näiteks infoturbe riskide haldamine;
    – muud tingimustes märgitud huvid ja eesmärgid.
15. Tingimuste punktis 8.3 märgitud isikuandmete töötlemine võib toimuda tervishoiutöötaja nõusoleku alusel (GDPRi artikli 6 lõike 1 punkt a).
16. Ühingul võib olla normatiivaktides sätestatud juhtudel kohustus esitada isikuandmeid või saada neid normatiivaktides sätestatud asutuselt, näiteks riigipolitseilt või kohtult. Sellise isikuandmete töötlemise alus ja eesmärk tuleneb GDPRi artikli 6 lõike 1 punktist c.
17. Isikuandmeid ei kasutata automatiseeritud otsuse tegemiseks GDPRi artikli 22 tähenduses.

Isikuandmete vastuvõtja

18. Ühing võib edastada isikuandmeid oma volitatud töötlejale – see ei ole kolmas isik, vaid on ettevõtja või üksikisik, kes töötleb isikuandmeid ühingu nimel ja ülesandel, tuginedes ühingu konkreetsele korraldusele. Volitatud töötlejal on kohustus tagada isikuandmete turvalisus ja tal on lubatud kasutada isikuandmeid üksnes ühingu määratud tegevuse ja eesmärgi saavutamiseks. Näiteks võib ühing kasutada volitatud töötlejat, et tagada isikuandmete säilitamine ja ühingu määratud teabe edastamine ühingu määratud saajale. Ühing võib edastada isikuandmeid väljaspool Euroopa Liitu ja Euroopa Majanduspiirkonda, kasutades selleks volitatud töötleja teenuseid, mis puudutavad isikuandmete säilitamist. Sellises olukorras tagatakse isikuandmete edastamine ja kaitse, sõlmides volitatud töötlejaga (isikuandmete vastuvõtjaga) leping, mis on kooskõlas Euroopa Komisjoni poolt vastu võetud standardse andmekaitseklausliga.
19. Ühingul võib tekkida kohustus edastada isikuandmeid normatiivaktidega sätestatud juhtudel riigi- ja/või kohaliku omavalitsuse asutusele, kes teeb järelevalvet ühingu või tervishoiutöötaja tegevuse üle või kes vajab oma kohustuste täitmiseks ühingu valduses olevat teavet.
20. Oma õigustatud huvile tuginedes võib ühing isikuandmeid edastada või kättesaadavaks teha oma kutsetegevuse konsultandile.
21. Tervishoiutöötaja osalemine ja tegevus üritustel võib anda teavet tervishoiutöötaja osalemise kohta üritustel teisele üritustel osalejale ja teisele tervishoiutöötajatele, kellele ühing võib tagada juurdepääsu tingimuste punktis 6.8 märgitud ürituste salvestisele. Tingimuste punktis 6.8 märgitud ürituste salvestist tervishoiutöötaja harimise eesmärgil võib avaldada ühingu veebisaidil või ühingu koostööpartneri (sealhulgas muu vastutava töötleja) veebisaidil.

Isikuandmete töötlemise kestus

22. Ühing säilitab isikuandmeid vastavalt GDPRile seni, kuni need on vajalikud seadusliku eesmärgi saavutamiseks. Pärast seadusliku eesmärgi saavutamist isikuandmed kustutatakse, muudetakse anonüümseks või hävitatakse.
23. Ühing lõpetab ürituste ning ühingu ja selle kontserni ettevõtete turustatud toodete kohta tervishoiutöötajale teabe saatmise tingimuste punktis 8.3 määratud juhul, kui tervishoiutöötaja seda palub. Ühing kustutab isikuandmed tervishoiutöötaja kontolt portaalis, sulgeb juurdepääsu kontole ja lõpetab nende isikuandmete kasutamise, kui tervishoiutöötaja seda palub või kui tervishoiutöötaja ei kasuta kontot üle viie aasta.
24. Tingimuste punktis 6.8 sätestatud ühingu poolt tehtud ürituste salvestist võib säilitada ja selle kättesaadavust tervishoiutöötajale tagada seni, kuni ürituse raames antud hariv teave ei ole enam ajakohane. Ühing hindab regulaarselt ürituste salvestuse ajakohasust.
25.  Kui isikuandmeid töödeldakse andmesubjekti nõusoleku alusel, säilitatakse isikuandmeid kuni nõusoleku tagasivõtmiseni, kui konkreetse nõusoleku puhul ei ole ette nähtud lühemat tähtaega või kui töötlemise jätkamiseks pärast nõusoleku tagasivõtmist ei ole muud õiguslikku alust. Näiteks kui tervishoiutöötaja võtab tagasi oma nõusoleku saada ühingult teavet ühingu ja selle kontserni kuuluva ettevõtte turustatud toodete ja ürituste kohta, võib ühing, tuginedes oma õigustatud huvile, säilitada tervishoiutöötaja isikuandmeid kuni viis aastat pärast nõusoleku tagasivõtmist, tagamaks, et tervishoiutöötajalt ei paluta enam selleks nõusolekut.
26. Isikuandmeid, mida ühing vajab oma kohustuste täitmise tõendamiseks, võib ühing, tuginedes oma õigustatud huvile, säilitada pärast seda, kui tervishoiutöötaja on taotlenud oma isikuandmete töötlemise lõpetamist, kuid järgides nõude üldist aegumistähtaega, mis on kümme aastat Läti Vabariigi asjaomase seaduse (Civillikums) kohaselt või kolm aastat Läti äriseadustiku (Komerclikums) kohaselt, või muu tähtaeg, võttes arvesse ka tsiviilkohtumenetluse seaduses (Civilprocesa likums) sätestatud hagi/taotluse esitamise tähtaega. Kui ühingu kohustuste täitmise suhtes tekib vaidlus või alustatakse kontrolli, võib isikuandmeid säilitada kuni vaidluse täieliku lahendamiseni või kontrolli lõpuleviimiseni.

Andmesubjekti – tervishoiutöötaja – õigused ning teave tingimuste muudatuste kohta

27. Andmesubjektil on järgmised õigused:
    – paluda tingimuste koopiat, täiendavat teavet ja selgitusi tingimustes sisalduva teabe ja ühingu töödeldud isikuandmete kohta;
    – paluda ühingult kinnitust selle kohta, kas andmesubjekti suhtes isikuandmeid töödeldakse või mitte;
    – paluda ühingult juurdepääsu oma isikuandmetele;
    – paluda ühingul lõpetada tervishoiutöötajale ürituste ning ühingu ja selle kontserni ettevõtete turustatud toodete kohta teabe saatmine;
    – paluda ühingul kustutada isikuandmed tervishoiutöötaja kontolt ja sulgeda see konto;
    – esitada vastuväiteid isikuandmete töötlemise kohta, mille on teostanud ühing (näiteks esitada vastuväide töötlemise kohta, mis toimub ühingu õigustatud huvi alusel, kui andmesubjekt leiab, et töötlemine ei ole proportsionaalne), paluda ühingult isikuandmete parandamist, kustutamist, töötlemise piiramist;
    – kui isikuandmete töötlemine toimub andmesubjekti nõusoleku alusel, on andmesubjektil õigus nõusolek igal ajal tagasi võtta;
    – paluda oma isikuandmete ülekandmist GDPRi artiklis 20 sätestatud korras, kui isikuandmete töötlemine toimub andmesubjekti nõusoleku alusel.

28. Nimetatud andmesubjekti õigused on täpsemalt reguleeritud GDPRi artiklites 12–21. Need õigused ei ole absoluutsed ja nende täitmist võib piirata – näiteks on ühingul õigus keelduda isikuandmete töötlemise katkestamisest, kui ühing tõendab, et andmeid töödeldakse mõjuval õiguspärasel põhjusel, mis kaalub üles andmesubjekti huvid, õigused ja vabadused.
29. Oma õiguste teostamiseks on andmesubjektil õigus pöörduda ühingu poole taotlusega, saates selle e-posti aadressile : dataprotection@olainfarm.com dataprotection@olainfarm.com või saates kirja aadressile: Rūpnīcu iela 5, Olaine, Olaine piirkond, LV-2114, adressaat aktsiaselts Olpha.
30. Isikuandmete kaitse suhtes teostab ühingu tegevuse üle järelevalvet Läti riiklik andmekaitse inspektsioon (Datu valsts inspekcija). Mistahes erimeelsuste või küsimuste võimalikult kiireks lahendamiseks palub ühing andmesubjektil kõigepealt võtta ühendust ühinguga. Samuti on andmesubjektil õigus esitada kaebus riiklikule andmekaitse inspektsioonile (inspektsiooni kontaktandmed on kättesaadavad veebilehel: www.dvi.gov.lv).
31. Ühingul on õigus muuta tingimusi, kui muudatused on kooskõlas GDPRiga. Andmesubjektile tagatakse juurdepääs tingimuste ajakohastatud versioonile.

Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrus (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus)