HeBA isikuandmete töötlemine ja privaatsussätted
Kinnitatud ja kehtib alates 23.11.2021.a
Käesolev dokument (edaspidi “Privaatsussätted”) kirjeldab Tervise teejuht OÜ ja tema tütar- ning sidusettevõtete (edaspidi “HeBA”) isikuandmete töötlemise põhimõtteid üksikisikutele (edaspidi “Klient”) osutatavate teenuste korral.
1. Üldpõhimõtted
1.1. Klient on käesolevate Privaatsussätete tähenduses inimene, kellele HeBA osutab teenust (näiteks tööandja poolt valitud töötervishoiu partnerina) või kes on ise avaldanud soovi, et HeBA talle teenust osutaks.
1.2. HeBA tegutseb Euroopa Liidu Andmekaitse Üldmääruse (edaspidi GDPR) tähenduses Kliendi isikuandmete vastutava töötlejana ning töötleb andmeid kooskõlas GDPR-i ja Eesti vastavat tegevust reguleerivate õigusaktidega, sealhulgas isikuandmete kaitse seadus, tervishoiuteenuste korraldamise seadus, töötervishoiu ja tööohutuse seadus, nakkushaiguste ennetamise ja tõrje seadus ning võlaõigusseadus.
1.2.1. Kõigi HeBA töötajate lepingud sisaldavad eraldi sätteid isikuandmete töötlemise ja säilitamise nõuete täitmise kohta.
1.2.2. Kõik GDPR tähenduses HeBA-ga lepingu sõlminud volitatud töötlejad (peamiselt infotehnoloogia-alaseid ja andmemajutuse teenuseid pakkuvad ettevõtted) lähtuvad andmetöötluses kehtivatest õigusaktidest ja käesolevatest Privaatsussätetest.
1.3. HeBA töötleb Kliendi isikuandmeid muuhulgas lähtuvalt õigusaktides sätestatud korrale, mis võtab arvesse, et lähtuvalt tervishoiuteenuste korraldamise seadusest võib teenus (edaspidi ühiselt “HeBA teenused”) olla kas:
1.3.1. tervishoiuteenus, mis on tervishoiutöötaja tegevus haiguse ennetamiseks, diagnoosimiseks ja raviks, mille eesmärk on hoida patsiendi head tervist ja parandada tema elukvaliteeti, või
1.3.2. terviseteenus, mille eesmärk on samuti hoida Kliendi head tervist ja parandada tema elukvaliteeti, kuid mis ei ole kehtivate õigusaktide kohaselt tervishoiuteenus (sealhulgas näiteks füsioterapeudi ja psühholoogi teenus, kui seda ei osutata tervishoiuteenuse osutaja poolt tervishoiuteenusena).
2. Isikuandmete töötlemise alused
2.1 HeBA töötleb isikuandmeid eesmärgiga toetada Klienti tema terviseotsuste tegemisel ja hea tööelu kvaliteedi saavutamisel (ehk tervise juhtimisel), hallata Kliendi terviseriske mitmekülgse haiguste ennetuse, diagnoosimise ja ravi käigus ning töötervishoiuteenuse osutamisel vähendada ka tervikuna Ettevõtte töötajaskonna terviseriske. Sellega seoses töötleb HeBA Kliendi isikuandmeid:
2.1.1. HeBA teenuste osutamiseks (sealhulgas isikuandmed ja terviseandmed);
2.1.2. broneerimisteenuse osutamiseks (sealhulgas isikutuvastamise ja kontaktandmed, broneeringu andmed, makseandmed);
2.1.3. juriidiliste kohustuste täitmiseks (sealhulgas kohustuslikesse riiklikesse andmebaasidesse ja registritesse edastamiseks, ning Klientidelt kogutud tagasiside andmed teenuse kvaliteedi tagamiseks);
2.1.4. Kliendi nõusolekul (sealhulgas erinevad andmed lähtuvalt konkreetsest juhust, millele Klient on nõusoleku andnud);
2.1.5. lähtuvalt õigustatud huvist (sealhulgas iseteeninduskeskkonna kasutusandmed, et mõista selle toimimist kasutajatele soovitud teenuse kvaliteedi tagamiseks).
2.2. Töötervishoiuteenuse osutamiseks sõlmitakse juriidilise isikuga (edaspidi “Ettevõte”) leping, milles on muuhulgas sätestatud Isikuandmete töötlemise põhimõtted HeBA seadusest ja lepingust tulenevate kohustuste täitmiseks Ettevõtte ees (vt Lisa. HeBA isikuandmete töötlemise kokkulepe töötervishoiuteenuse kliendiga), sealhulgas selleks, et:
2.2.1. hinnata ja diagnoosida Kliendi tervise seisundit ning hinnata töökeskkonna riskitegurite mõju Kliendi tervisele;
2.2.2. analüüsida ja leida seoseid Kliendi tervise- ja töökeskkonna andmete vahel, sealhulgas hinnata füüsilist ja vaimset tervist, tervisekäitumise mustreid;
2.2.3. anda Kliendile personaalset üld- ja töötervise parandamist motiveerivat tervisenõu ja -soovitusi;
2.2.4. koostada Kliendile isiklik terviseplaan ja vajadusel korraldada tervise- ning tervishoiuteenuseid Kliendi terviseriskide ohjamiseks, tervise säilitamiseks ja parandamiseks ning haiguste ennetamiseks;
2.2.5. koostada Ettevõttele ülevaade tema töökeskkonna terviseriskide asjaoludest ning isikustamata kujul töötajaskonna tervise olukorrast, et Ettevõte saaks planeerida oma töötajaskonnale tervist toetavaid ja riske maandavaid tegevusi
2.3. HeBA teenuste osutamisel töödeldakse isikuandmeid Kliendi soovitud eesmärgi saavutamiseks alates teenuse osutamise lepingu sõlmimisest, mida arvestatakse hetkest, mil Klient avaldab soovi HeBA teenuse kasutamiseks telefoni või e-kirja teel, HeBA broneerimissüsteemi või HeBA iseteeninduskeskkonna kaudu või HeBA teenuseosutamise kohas suuliselt.
2.4. Tervishoiuteenuste korraldamise seadusest ja võlaõigusseadusest tulenevalt on HeBA-l õigus ja kohustus töödelda tervishoiuteenuse osutamiseks vajalikke Kliendi andmeid piisava hoolega, mille käigus võib olla vajalik, et HeBA tervishoiutöötaja tutvuks Kliendi terviseandmetega Tervise infosüsteemis või mistahes vormis andmekandjal juba enne Kliendi füüsilist või virtuaalset visiiti.
3. Kogutavad ja töödeldavad isikuandmed
3.1. HeBA töötleb Kliendi kohta isikuandmeid, mida ta saab otse Kliendilt, välja arvatud Kliendi esitatud andmete kontrollimiseks muudes meditsiinilistes infosüsteemides või punktis 2.2. Nimetatud töötervishoiuteenuse lepingu alusel Ettevõttelt saadud isikuandmed töötervishoiu teenuse osutamiseks vajalikus ulatuses.
3.2. HeBA teenuste osutamise eesmärgil töödeldakse üldjuhul:
3.2.1. isiku tuvastamist võimaldavaid andmeid nagu nimi ja isikukood;
3.2.2. isiku tuvastamise, kontakt- ja makseandmeid osutatud teenusega arveldamise eesmärgil ja enne ning pärast visiiti korraldusliku informatsiooni edastamiseks.
3.3. Isikuandmete koosseis, mida igal konkreetse HeBA teenuse osutamisega seoses töödeldakse, sõltub konkreetse teenuse sisust ja piirdub rangelt osutatava teenuse jaoks minimaalselt vajaliku isikuandmete koosseisuga. Võimalikud töödeldavad andmed on:
3.3.1. üldandmed nagu nimi, perekonnanimi, isikukood, sünniaeg;
3.3.2. isikutuvastuse andmed nagu dokumendi number ja -koopia;
3.3.3. kontaktandmed nagu telefoninumber, meiliaadress ja aadress;
3.3.4. makseandmed nagu pangakonto number ja makse teostamiseks vajalikud rekvisiidid;
3.3.5. tööga seotud andmed nagu töökoht, amet, üksus, töökoormus, tööstaaž, individuaalsed töökeskkonna otsused;
3.3.6. terviseandmed ja tervisekäitumise andmed;
3.3.7. erinevad juriidiliste kohustuste täitmiseks (sealhulgas kohustuslikesse riiklikesse andmebaasidesse ja registritesse edastamiseks, tööandjale tervisekontrolli otsuste edastamiseks ning
3.3.8. Klientidelt vabatahtlikult kogutud tagasiside andmed teenuse kvaliteedi tagamiseks;
3.4. Kliendiga ühenduse võtmiseks töödeldakse Kliendi kontaktandmeid punktides 2.1.1. kuni 2.1.4. alustel toimuva andmetöötluse käigus täiendava teabe, juhiste ja instruktsioonide edastamiseks.
3.5. Töötervishoiuteenuste osutamisel lähtutakse punktis 2.2. kirjeldatud töötervishoiuteenuse osutamise lepinguga kokkulepitud isikuandmete töötlemise korrast ning vastutusest Ettevõtte ja HeBA vahel järgmiste üldiste põhimõtete alusel:
3.5.1. Ettevõte edastab HeBA-le oma töötajate (Kliendid) isikuandmed nendega kontakteerumiseks ja töökeskkonna riskide hindamiseks vastavalt kehtivale seadusele kasutades selleks turvalist isiku tuvastamist võimaldavat HeBA iseteeninduskeskkonda;
3.5.2. HeBA saab Kliendi tervise- ja tervisekäitumise andmed otse Kliendilt turvalist isiku tuvastamist võimaldava HeBA iseteeninduskeskkonna kaudu ning tervishoiuteenuse osutamise käigus (sealhulgas füüsiline või virtuaalne visiit, laborianalüüsid ja uuringud);
3.5.3. HeBA pärib terviseandmed Terviseinfosüsteemist tervishoiuteenuse osutamise eesmärgil alates tervishoiuteenuse osutamise lepingu sõlmimisest;
3.6. Muude tervishoiuteenuste osutamisel töödeldakse lisaks punktis 3.2 nimetatud andmetele:
3.6.1. Kliendi tervise- ja tervisekäitumise andmeid, mille on HeBA-le edastanud Klient tervishoiuteenuse osutamise käigus alates punktis 2.3 kirjeldatud teenuse osutamise lepingu sõlmimisest;
3.6.2. Tervise infosüsteemist päritud terviseandmeid tervishoiuteenuse osutamise eesmärgil kogu tervishoiuteenuse osutamise käigus alates punktis 2.3 kirjeldatud teenuse osutamise lepingu sõlmimisest.
3.7. Muude terviseteenuste osutamisel töödeldakse lisaks punktis 3.2 nimetatud andmetele:
3.7.1. Kliendi tervise- ja tervisekäitumise andmeid, mille on HeBA-le edastanud Klient terviseteenuse osutamise käigus alates punktis 2.3 kirjeldatud teenuse osutamise lepingu sõlmimisest;
3.7.2. Kliendi nõusolekul Tervise infosüsteemist päritud terviseandmeid tervishoiuteenuse osutamise eesmärgil kogu tervishoiuteenuse osutamise käigus alates punktis 2.3 kirjeldatud teenuse osutamise lepingu sõlmimisest.
3.8. Kliendi nõusolekul muul otstarbel töödeldakse isikuandmeid, mille on HeBA-le edastanud Klient GDPR-i nõuete kohaselt vormistatud nõusoleku alusel ja otstarbel HeBA iseteeninduskeskkonna või muu Klienti tuvastava digitaalse keskkonna kaudu või paberkandjal. Sellisel viisil võib HeBA:
3.8.1. kasutada Kliendi e-posti aadressi, telefoninumbrit, elukoha aadressi või isikukoodi broneerimisteenuse pakkumiseks.
3.8.2. kasutada Kliendi e-posti aadressi või telefoninumbrit üldise tervisealase informatsiooni ja teabe jagamiseks (sealhulgas riskide teavitus või uudiskiri)
3.8.3. kasutada Kliendi e-posti aadressi või telefoninumbrit ettepaneku tegemiseks HeBA teenuste arendamisel osalemiseks;
3.8.4. kasutada Kliendi e-posti aadressi või telefoninumbrit ettepaneku tegemiseks teadusuuringutes osalemiseks;
3.8.5. kasutada Kliendi e-posti aadressi või telefoninumbrit teavitusteks HeBA uutest teenustest ja sooduspakkumistest;
3.8.6. Kasutada Kliendi isikuandmeid muudel õigusaktides lubatud eesmärkidel, milleks Klient on andnud nõusoleku.
3.9. Isikuandmete avaldamine HeBA-le on vabatahtlik, kuid HeBA-l on õigus piirata osade teenuste kasutamist (sealhulgas, kuid mitte ainult broneerimisteenus), juhul kui Klient otsustab andmeid mitte avaldada.
3.10. Õigustatud huvist lähtudes võib HeBA töödelda HeBA iseteeninduskeskkonna kasutusandmed, et mõista selle toimimist kasutajatele soovitud teenuse kvaliteedi tagamiseks.
3.11. HeBA veebilehekülgedel (heba.ee, koroonatestimine.eu, heba.one) kasutatakse GDPR-is ning teistes õigusaktides sätestatut järgides “küpsiseid” – tekstifaile, mis sisaldavad Kliendi arvutisse talletatavat informatsiooni ning mida kasutatakse Kliendi tuvastamiseks veebilehe külastamisel (edaspidi “küpsis”).
3.11.1. HeBA veebilehekülgedel kasutatakse Google Analytics veebianalüütika küpsiseid veebilehekülgede kasutusstatistika kohta, mis aitab HeBA-l analüüsida, kuidas külastajad meie veebilehekülgi kasutavad. Seejuures ei edastata veebilehekülje külastajate isikuandmeid Google’ile.
3.11.2. Google Analytics küpsised registreerivad unikaalse ID ja koguvad statistilisi andmeid selle kohta, kuidas külastaja veebisaiti kasutab. Google Analytics küpsiseid säilitatakse kuni 2 aasta jooksul. Täpsema teabe saamiseks Google Analytics küpsiste kohta külastage palun veebilehte https://developers.google.com/analytics/devguides/collection/analyticsjs/cookie-usage.
3.11.3. Samuti on igal HeBA veebilehe külastajal õigus oma veebilehitseja sätteid muutes küpsiste kasutamine igal ajal keelata.
3.12. Teenuse kvaliteedi mõõtmiseks ja parendamiseks ning hariduslikel ja teaduslikel eesmärkidel töötleb HeBA teenuste osutamise käigus kogutud isikuandmeid isikustamata kujul, s.o. andmesubjekti isiku tuvastamist mittevõimaldaval kujul arvestades GDPR-i ja muid isikuandmete töötlemisega seotud õigusakte.
3.13. HeBA võib kasutada andmete automatiseeritud töötlemist, sealhulgas profileerimist ja andmete modelleerimist ning automatiseeritud otsuseid, et parandada HeBA teenuste kvaliteeti, pakkuda Kliendi eelistustele vastavaid teenuseid, määrata teenuste hindu, tuvastada pettusi ja pettuste ohtu või täita turunduslikke eesmärke. Kliendil on õigus esitada HeBA-le oma arvamus ning vaidlustada temaga seotud automaatsed otsused, saates vastava teate käesoleva Privaatsuspoliitika punktis 8. viidatud kontaktandmetele.
4. Isikuandmete edastamine
4.1. HeBA hoiab saladuses teenuse osutamisel teatavaks saanud andmed Kliendi isiku, terviseseisundi ja eraelu kohta. Sellisest saladuse hoidmise kohustusest võib HeBA mõistlikus ulatuses kõrvale kalduda üksnes õigusaktides sätestatud juhtudel.
4.2. HeBA ei väljasta Terviseandmeid kolmandatele isikutele, välja arvatud seadusest tulenevatel juhtudel. Kliendil on õigus otsustada, kellele tohib HeBA tema terviseseisundi kohta teavet anda.
4.3. HeBA võib edastada Kliendi terviseandmeid Kliendile tervishoiuteenuse osutamise eesmärgil teisele tervishoiuasutusele ning laborisse analüüside ja uuringute tegemiseks. HeBA tervishoiutöötajal on õigus ja kohustus Kliendi tervise huvides ning parima võimaliku tervishoiuteenuse osutamise eesmärgil konsulteerida teise tervishoiutöötajaga vastavalt õigusaktides sätestatud juhtudele.
4.4. Tervishoiuteenuse osutamisel edastab HeBA terviseandmed kehtiva õiguse alusel e-tervise patsiendiportaali infosüsteemi, mis asub veebilehel https://id.digilugu.ee/ ja mille vastutav töötleja on Tervise ja Heaolu Infosüsteemide Keskus (registrikood 70009770, aadress Uus-Tatari tn 25, 10134 Tallinn). Patsiendiportaaliga seotud küsimuste korral võib ühendust võtta Tervise ja Heaolu Infosüsteemide Keskuse kasutajatoega telefonil +372 794 3943 või e-posti aadressil abi@tehik.ee.
4.5. Tervishoiuteenuse osutamisel võib HeBA vastavalt vajadusele edastada ja/või võtta vastu terviseandmeid kehtiva õiguse alusel retseptikeskuse kaudu, mille vastutav töötleja on Tervise ja Heaolu Infosüsteemide Keskus (registrikood 70009770, aadress Uus-Tatari tn 25, 10134 Tallinn), kui see on vajalik tervishoiuteenuse osutamiseks. Retseptikeskusega seotud küsimuste korral võib ühendust võtta Tervise ja Heaolu Infosüsteemide Keskuse kasutajatoega telefonil +372 794 3943 või e-posti aadressil abi@tehik.ee.
4.6. Tervishoiuteenuse osutamisel võib HeBA vastavalt vajadusele edastada ja/või võtta vastu terviseandmeid kehtiva õiguse alusel pildipanga kaudu, mille vastutav töötleja on Sihtasutus Eesti Tervishoiu Pildipank (registrikood 90007945, aadress Puusepa 8, 51014 Tartu Eesti), kui see on vajalik tervishoiuteenuse osutamiseks. Pildipangaga seotud küsimuste korral võib ühendust võtta Tervise ja Heaolu Infosüsteemide Keskuse kasutajatoega telefonil +372 5331 8888 või e-posti aadressi abi@pildipank.ee.
4.7. ervishoiuteenuse osutamisel seoses mootorsõiduki juhi tervisetõendi väljastamisega võib HeBA terviseandmeid (tervisetõendi) edastada Maanteeameti digitaalsesse keskkonda, mille vastutav töötleja on Maanteeamet (registrikood 70001490, aadress Teelise 4, 10916 Tallinn). Maanteeameti poolt andmete töötlemisega seotud küsimustega palume pöörduda Maanteeameti poole telefonil +372 620 1200 või e-posti aadressil info@mnt.ee.
4.8. Isikuandmed, välja arvatud individuaalsed terviseandmed ja tervisekäitumise andmed, edastatakse Ettevõttele punktis 2.2. Kirjeldatud töötervishoiuteenuse osutamise lepingu alusel tema töötajate kohta kehtiva õiguse alusel, sealhulgas tervisekontrolli otsus töötervishoiu ja tööohutuse seaduse alusel.
4.9. Isiku tuvastamist võimaldavaid terviseandmeid kolmandatele isikutele ei edastata, välja arvatud Kliendi kirjalikus vormis taasesitataval kujul antud nõusoleku korral.
4.10. Töötervishoiuteenuse osutaja muutumisel on uuel teenuseosutajal võimalik Klientide andmeid (sealhulgas terviseandmed) kasutada Terviseinfo süsteemi kaudu – neid HeBA isikustatud kujul ei edasta..
4.11. HeBA-l on õigus kasutada Isikuandmete töötlemisel Volitatud Töötlejaid, kelleks võivad olla tugiteenuste osutajad, näiteks tarkvaraarendajad. Volitatud Töötlejad võivad Isikuandmetega kokku puutuda vaid piiratud juhtudel. Kasutame Volitatud Töötlejatena vaid selliseid partnereid, kes töötlevad Isikuandmeid kooskõlas kehtiva õigusega ja käesolevate Privaatsussätetega.
4.11.1. HeBA volitatud töötlejad tervishoiuteenuste osutamise käigus on Connected OÜ (Eesti) HeBA patsiendiinfosüsteemi (haiguslugu, tervisekaart, uuringute- ja analüüside telimused, digiretsept, liidestus Tervise infosüsteemiga) ja broneerimise teenuse pakkujana, Devbreak OÜ (Eesti) HeBA iseteeninduskeskkonna arendajana, Google Inc (USA) e-posti teenuse pakkujana, Dermtest ja MinuDoc telemeditsiini teenuste pakkujana..
4.11.2. Lisaks võib HeBA kasutada erinevaid volitatud töötlejad muude teenuste osutamisel Kliendi nõusolekul küsitluste, kliendi tagasiside, turundusteenuste ja veebimajutuse teenuste pakkujana.
5. Isikuandmete säilitamine
5.1. HeBA dokumenteerib ja säilitab teenuste osutamise käigus kogutud isiku- ja terviseandmeid kehtivate õigusaktide nõuete kohaselt kogu töötlemise eesmärgi saavutamise kestel ja nii kaua nagu kehtivad õigusaktid nõuavad.
5.2. Tervishoiuteenuste korraldamise seaduse alusel ja sotsiaalministri määruse „Tervishoiuteenuse osutamise dokumenteerimise ning nende dokumentide säilitamise tingimused ja kord“ alusel säilitab HeBA järgmiseid dokumente, mis sisaldavad Isikuandmeid:
5.2.1. Patsiendi tervisekaarte 30 aasta möödumiseni andmete kinnitamisest;
5.2.2. Uuringute tellimisel uuringute vastused koos patsiendi tervisekaardiga 30 aastat.
5.2.3. HeBA tervisekontrolli kaarte ja töötervishoiu teenuse osutamise teostatud terviseuuringute tulemusi 30 aastat tervisekontrolli otsuse tegemisest arvates.
5.3. Raamatupidamisseaduse alusel säilitatakse raamatupidamislikke dokumente 7 aastat.
5.4. Teenuseosutamise lepingu täitmiseks kogutud andmeid, mille pikem säilitamistähtaeg ei tulene kehtivast õigusest, säilitame isikustatud kujul üldreegli kohaselt seni, kuni neid on vaja lepingu täitmisega seoses lepingu kehtivuse jooksul või kuni 3 aasta jooksul pärast lepingu lõppemist.
5.5. Kliendi rahulolu hindamiseks kogutud tagasisidet säilitatakse 5 aastat alates tagasiside saamisest.
6. Isikuandmete kaitse
6.1. Isikuandmeid säilitatakse eriti tundlike andmete töötlemise turbenõuetele vastavas turvalises GDPR-i andmeturbenõuetele vastavas privaatpilves (Amazon Web Services, Frankfurt) krüpteeritud kujul, koos vastavate turvaseadistuste ja monitooringuga..
6.2. Kõikide kasutajate tuvastamine ja autentimine toimub reeglina 2-faktorilise autentimisteenuse (ID-kaart, mobiil-ID, smart-ID), abil kasutades ISO/IEC 27001 standardile vastava teenusepakkuja Dokobit (https://www.dokobit.com/compliance) teenust.
6.3. Klient pääseb oma isiklikele andmetele ligi läbi mitmeastmelise autentimise, Kliendi nõusolekul on tal võimalik ennast iseteeninduskeskkondas tuvastada ka kiiresti aeguva e-posti autentimislahenduse teel. Kliendi selgelt ja kirjalikku taasesitamist võimaldavas vormis väljendatud soovi korral on võimalik Kliendi andmete edastamine talle krüpteerimata kujul (emaili teel, paberkandjal).
6.4. Õigustamata juurdepääsu või Isikuandmete avalikustamise vältimiseks on HeBA-s kasutusel tehnilised ja organisatsioonilised kõrge turvaklassi nõuetele vastavad meetmed, mis on kooskõlas Riigi Infosüsteemide Ameti koostatud Infosüsteemide kolmeastmelise etalonturbe süsteemi nõuetega.
6.5. Kõigi HeBA töötajate ja koostööpartnerite lepingutes sisaldub konfidentsiaalsuskohustus.
6.6. Ligipääsuõigused Isikuandmetele on piiratud vastavalt teenuse osutamise vajadusele. Isikuandmete töötlemiseks peavad HeBA töötajad end identifitseerima. Kõik Isikuandmete kasutamise logid säilitatakse.
7. Kliendi õigused seoses Isikuandmetega
7.1. Kliendil on Isikuandmete töötlemisel kõik andmesubjektile kehtivast õigusest tulenevad õigused.
7.2. Kliendil on Isikuandmete töötlemisel muuhulgas järgmised õigused:
7.2.1. Juurdepääsuõigus: õigus igal ajal küsida, kas HeBA-l on Kliendi kohta Isikuandmeid või mitte ning saada teavet selle kohta, milliseid Isikuandmeid HeBA Kliendi kohta töötleb;
7.2.2. Õigus Isikuandmete parandamisele: õigus taotleda HeBA-lt oma Isikuandmete täpsustamist või parandamist, kui need on ebapiisavad, puudulikud või valed;
7.2.3. Õigus vastuväidete esitamisele: õigus esitada HeBA-le vastuväiteid oma Isikuandmete töötlemise suhtes;
7.2.4. Õigus nõuda Isikuandmete kustutamist: õigus taotleda Isikuandmete kustutamist, näiteks siis, kui Isikuandmeid töödeldakse Kliendi nõusolekul ja kui Klient on nõusoleku tagasi võtnud;
7.2.5. Õigus piirata töötlemist: õigus nõuda, et HeBA piiraks Kliendi Isikuandmete töötlemist kehtiva õiguse alusel, näiteks kui HeBA ei vaja Kliendi Isikuandmeid enam töötlemise eesmärkidel või kui Klient on esitanud Isikuandmete töötlemise suhtes vastuväite;
7.2.6. Õigus võtta Isikuandmete töötlemiseks antud nõusolek tagasi: kui Isikuandmete töötlemine põhineb Kliendi antud nõusolekul, on Kliendil igal ajal õigus HeBA-le antud nõusolek tagasi võtta;
7.2.7. Õigus andmete ülekantavusele: Kliendil on õigus ise saada HeBA-lt Isikuandmeid, mida Klient on ise HeBA-le esitanud ning mida töödeldakse Kliendi nõusoleku alusel või Kliendiga sõlmitud lepingu täitmiseks;
7.2.8. Õigus esitada kaebus: kui Klient leiab, et tema Isikuandmete töötlemisel on rikutud tema õigusi, on tal õigus pöörduda nõude või kaebusega Andmekaitse Inspektsiooni või kohtu poole.
7.3. Teatud juhtudel võivad teiste andmesubjektide õigused või HeBA juriidilised kohustused piirata andmesubjekti õigusi.
7.4. Olenemata kustutamise nõude õigusliku aluse olemasolust, keeldub HeBA andmete kustutamisest, kui see on vajalik:
7.4.1. Euroopa Liidu või liikmesriigi õigusest HeBA-le tuleneva kohustuse või avalikes huvides oleva ülesande täitmiseks, eelkõige tervishoiuteenuse osutamisega kaasneva dokumenteerimise ja dokumentide säilitamise kohustuse täitmiseks;
7.4.2. rahvatervise valdkonnas avaliku huviga seotud põhjustel;
7.4.3. avalikes huvides toimuva arhiveerimise, teadusuuringute või statistilistel eesmärkidel; või
7.4.4. õigusnõuete koostamiseks, esitamiseks või kaitsmiseks.
7.5. Isikuandmete töötlemisega kaasnevate õiguste teostamiseks või Isikuandmete töötlemisega seotud taotluste esitamiseks palume ühendust võtta punktis 8 toodud kontaktandmetel.
7.6. Isikuandmete töötlemisega seotud küsimuste korral või Isikuandmete töötlemisega seotud taotluste esitamiseks palume ühendust võtta HeBA-ga telefoni, e-posti või posti teel.
8. Kontakt
8.1. HeBA kontaktandmed andmekaitse küsimustes on: Evelyn Aaviksoo
8.2. Ärinimi: Tervise Teejuht OÜ
8.3. Aadress: Vambola 6, 10114 Tallinn
8.4. Andmekaitse spetsialist: Evelyn Aaviksoo
8.5. Telefon: +372 58 87 01 31
8.6. E-post: heba@heba.ee
Lisa
HeBA isikuandmete töötlemise kokkulepe töötervishoiuteenuse kliendiga
Tervise Teejuht OÜ ja /Ettevõtte/ vahel sõlmitud tervishoiuteenuse osutamise lepingule.
- Üldsätted, sh kohalduv seadus
1.1. Käesolev isikuandmete töötlemise kokkulepe (edaspidi Kokkulepe) kehtestab reeglid, kuidas töödeldakse isikuandmeid, mis saavad Teenuse osutajale kättesaadavaks tervishoiuteenuse osutamise käigus tervishoiuteenuse osutamiseks.
1.2. Kokkuleppes loetletud toimingute õiguslikuks aluseks on asjakohased Euroopa Liidu ja siseriiklikud õigusaktid (edaspidi Kehtiv seadusandlus), mis reguleerivad isikuandmete töötlemisest. Nimetatud õigusaktideks on eeskätt Euroopa Parlamendi ja nõukogu määrus 2016/679, 27. aprillist 2016.a. füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise koha ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (edaspidi GDPR), isikuandmete kaitse seadus ning muud asjassepuutuvad õigusaktid, mille alusel on isikuandmete töötlemine Teenuse osutaja poolt lubatav või vältimatu.
1.3. Olukorras, milles Kehtiv seadusandlus näeb ette rangemad reeglid isikuandmete töötlemisele kui Kokkuleppes sätestatud, kohaldub Kehtivas seadusandluses kirjapandu.
1.4. Kokkuleppes kasutatakse GDPR artiklis 4 loetletud tähendusi, välja arvatud juhul, kui Kokkuleppes on selgesõnaliselt sätestatud teisiti.
2. Isikuandmete töötlemise eesmärk
2.1. Teenuse osutaja töötleb isikuandmeid kokkulepitud töötervishoiuteenuste osutamiseks Tellijale, mis seisneb Tellija töötajate (edaspidi koos Andmesubjektid või üksikult Andmesubjekt) tervise ja töökeskkonna riskitegurite haldamises, s.h. andmesubjekti tervise elektroonses ja füüsilises hindamises, ning tööelukvaliteedi kujundamises.
2.2. Teenuse osutaja töötleb isikuandmeid järgnevatel alam-eesmärkidel:
2.2.1. töökeskkonna riskitegurite mõju hindamine andmesubjektile;
2.2.2. andmesubjektide üldtervislikku seisundi hindamine;
2.2.3. andmesubjektidele tervisenõu andmine terviseriskide ohjamiseks;
2.2.4. Tellijale ülevaate andmine töötajaskonna tervist mõjutavatest asjaoludest;
2.2.5. Tellijale sisendinfo andmine, et Tellija saaks planeerida tervist toetavaid ja riske maandavaid tegevusi;
2.2.6. töötajaskonna terviseriskide haldamise meetodite parandamine.
3. Isikuandmete koosseis
3.1. Teenuse osutaja töötleb andmesubjektide kohta järgmisi isikuandmeid:
3.1.1. töötaja nimi;
3.1.2. isikukood;
3.1.3. telefoninumber;
3.1.4. e-posti aadress;
3.1.5. aadress;
3.1.6. amet ja üksus;
3.1.7. töökoormus (osaajaga või täiskoormus);
3.1.8. töötamise staatus;
3.1.9. töösuhte algus ja tööstaaž;
3.1.10. töötervisekontrolli läbimise aeg;
3.1.11. individuaalsed töökeskkonna otsused.
4. Isikuandmete allikad
4.1. Teenuse osutaja saab andmesubjektide kohta andmeid üksnes järgmistest allikatest:
4.1.1. Tellija poolt avaldatud andmed;
4.1.2. Andmesubjektide poolt avaldatud andmed;
4.1.3. töökeskkonna ülevaatusel kogutud andmed.
4.2. Juhul, kui andmesubjektide isikuandmeid avaldab Teenuse osutajale Tellija, siis Teenuse osutaja eeldab, et Tellija on kokkulepitud tervishoiuteenuse osutamisest ja sellega seotud andmeedastustest andmesubjekte teavitanud ning vajadusel vastavad andmesubjektide nõusolekud kogunud.
4.3. Andmesubjektide poolt otse Teenuse osutajale avaldatud andmete osas korraldab vastavad andmesubjektide nõusolekud Teenuse osutaja.
5. Isikuandmete töötlemistoimingud
5.1. Teenuse osutaja teostab isikuandmetega järgnevaid toiminguid:
5.1.1. andmesubjekti kontaktandmete kasutamine kokkulepitud tervishoiuteenuse osutamiseks vajalike teadete ja informatsiooni edastamiseks;
5.1.2. andmesubjektidelt saadud isikustatud info salvestamine Teenuse osutaja andmekandjatele ning sellise info analüüsimine koos töökeskkonna riskitegurite infoga ja andmesubjekti terviseinfoga;
5.1.3. andmesubjekti kohta saadud isikustatud info perioodiline võrdlemine andmesubjekti kohta käivate varasemate andmetega;
5.1.4. Partnerile üldistatud koondülevaate koostamine andmesubjektide tööriskidest ja selle seostest tervisega üksuse tasemel ja ettevõtte tasemel agregeeritult ilma isikut tuvastavate andmeteta;
5.1.5. teenuse kvaliteedi mõõtmiseks ja parendamiseks ning hariduslikel ja teaduslikel eesmärkidel analüüsideks ilma andmesubjekti isikut ja Tellijat tuvastavate andmeteta arvestades andmesubjekti nõusolekut ning Kehtivat seadusandlust.
6. Isikuandmete töötlemise põhimõtted
6.1. Teenuse osutaja töötleb isikuandmeid üksnes käesolevas Kokkuleppes kirjeldatud eesmärkidele vastavalt ja ulatuses ning kooskõlas Kehtiva seadusandlusega.
6.2. Teenuse osutaja tagab isikuandmete töötlemise turvalisuse, rakendades isikuandmete töötlemisel asjakohaseid tehnilisi ja korralduslikke meetmeid.
6.3. Kui isikuandmeid töödeldakse Teenuse osutaja poolt andmesubjekti nõusoleku põhiselt, siis on andmesubjektil õigus võtta antud nõusolek tagasi.
6.4. Isikuandmetega seotud rikkumiste puhul järgib Teenuse osutaja GDPR-is sätestatud kohustusi.
7. Isikuandmete säilitamine
7.1. Isikuandmeid säilitatakse Teenuse osutaja poolt Kehtivas seadusandluses sätestatud tähtaegu järgides ja/või kuni eesmärgid, milleks isikuandmeid koguti, on täidetud ning seejärel isikuandmed kustutatakse või säilitatakse isikustamata kujul.
8. Konfidentsiaalsus
8.1. Teenuse osutaja tagab Tellija töötajate isikuandmete täieliku konfidentsiaalsuse. Teenuse osutaja tagab, et töödeldavatele isikuandmetele saavad ligipääsu üksnes sellised Teenuse osutaja esindajad, töötajad või muud Teenuse osutaja kasuks tegutsevad isikud, kes vajavad ligipääsu isikuandmetele rangelt seoses enda tööülesannete täitmisega ning kes on hõlmatud konfidentsiaalsuskohustusega.
8.2. Konfidentsiaalsuskohustus jääb tähtajatult kehtima ka pärast Lepingu või käesoleva Kokkuleppe lõppemist.
9. Vastutus ja kahju hüvitamine
9.1. Teenuse osutaja vastutab kahju eest, mis tekib seoses sellega, et Teenuse osutaja rikub Lepingut, Kokkulepet või Kehtiva seadusandluse nõudeid.
9.2. Teenuse osutaja ei vastuta ühelgi juhul Tellijale määratud haldustrahvi, Tellijale tekkinud kahju või Tellija suhtes esitatud nõude eest, mis põhineb Tellijapoolsel rikkumisel ning millist rikkumist Teenuse osutaja pole toime pannud.
9.3. Tellija kohustub Teenuse osutajat viivitamatult teavitama kui Tellija suhtes esitatakse mistahes nõue või haldustrahv, mis on seotud Lepingu või käesoleva Kokkuleppega.
10. Lõppsätted
10.1. Kõik Kokkuleppe muudatused või lisad tuleb vormistada kirjalikult allkirjastatuna mõlema Poole poolt.
10.2. Kokkuleppest tõusetuvad vaidlused lahendatakse läbirääkimiste teel või Eesti kohtutes, esimese astme kohtuna Harju Maakohtus.