Persónuverndarstefna

Um meðferð persónuupplýsinga gilda lög um persónuvernd og meðferð persónuupplýsinga eins og þau eru á hverjum tíma, sem og viðkomandi gerðir samningsins um Evrópska efnahagssvæðið. Taka lögin m.a. á vinnslu, vörslu og miðlun persónuupplýsinga.

Lyf og heilsa ehf. safnar persónugreinanlegum upplýsingum, í samræmi við lög um persónuvernd og vinnslu persónuupplýsinga. Þær persónuupplýsingar sem Lyf og heilsa ehf. safnar og vinnur með koma frá viðskiptavinum, starfsfólki og opinberum aðlinum eins og Sjúkratryggingum Íslands, Lyfjaávísanagátt og Þjóðskrá Íslands. Lyf og heilsa ehf. leggur áherslu á að við vinnslu á persónuupplýsingum sé einungis unnið með þær upplýsingar er teljast nauðsynlegar.

Meðal perónuupplýsinga sem Lyf og heilsa ehf. safnar eru:

• Vegna afgreiðslu á lyfseðilsskyldum lyfjum, þar sem samkvæmt lyfjalögum er skylt að skrá kennitölu einstaklinga og varðveita í 2 ár.
• Upplýsingar um starfsfólk fyrirtækisins annars vegar í þeim tilgangi að ráða hæft starfsfólk og hins vegar að greiða því rétt laun.
• Persónuupplýsingar er tengjast reikningsviðskiptum við einstaklinga s.s. nafn, kennitala og heimilisfang.
• Persónuupplýsingar eru nauðsynlegar vegna framkvæmdar samnings sem skráður einstaklingur á aðild að eða til þess að gera ráðstafanir að beiðni hins skráða áður en samningur er gerður.
• Nauðsynlegt er að geyma persónuupplýsingar til að uppfylla lagaskyldu sem hvílir á ábyrgðaraðila.
• Nauðsynlegt er að geyma upplýsingar vegna verkefnis sem unnið er í þágu almannahagsmuna eða við beitingu opinbers valds sem ábyrgðaraðili fer með.
• Nöfn og netföng einstaklinga gera viðkomandi kleift að nota vef- og samfélagsmiðlasíður okkar.
• Í þeim tilfellum sem einstaklingar óska eftir því að vera skráðir á póstlista Apótekarans í þeim tilgangi að fá senda upplýsingar um vörur og þjónustu.

Framangreint er ekki tæmandi upptalning á þeim persónuupplýsingum sem Lyf og heilsa hf. kann að hafa upplýsingar um. Þá er einna helst átt við upplýsingar sem einstaklingar hafa látið Lyf og heilsu ehf. í té að þeirra frumkvæði, svo sem vegna styrkbeiðna, ábendinga, vegna þeirrar þjónustu sem viðskiptavinir óska eftir hverju sinni o.s.frv.

Í verslunum Lyf og heilsu ehf. kunna að vera eftirlitsmyndavélar (rafræn vöktun) og kunna þeir viðskiptavinir því að vera teknir uppá mynd. Vinnsla á þeim upplýsingum sem safnast með rafrænni vöktun byggja á lögmætum hagsmunum félagsins, enda fer vinnslan fram í eigna- og öryggisvörsluskyni.

Vefvæði Apótekarans safnar engum upplýsingum frá vöfrum sem geta falið í sér upplýsingar eins og IP-tölu, tegund vafra, útgáfu vafra, síður þjónustunnar sem þú heimsækir, tíma og dagsetningu heimsóknar, þann tíma sem varið var á þessum síðum og önnur talnagögn.

Á aðgangsstýrðu svæði, oft nefnt „Lyfjagátt“, geta viðskiptavinir skráð sig inn á læst svæði með rafrænum skilríkjum og nálgast upplýsingar um virka lyfseðla sem skráðir eru á tiltekna kennitölu (eiganda rafrænu skilríkjanna) og leyst út tiltekin lyf. Upplýsingarnar sem listaðar eru upp hér að neðan eru sóttar í hvert sinn sem notandi notar lausnina. Sem stendur eru þær upplýsingar sem aflað er í gegnum “Lyfjagáttina” eftirfarandi:

• Grunnupplýsingar úr þjóðskrá um auðkenndan notanda, nafn, kennitala, heimilisfang og símanúmer.
• Upplýsingar um nafn og kennitölu annarra aðila sem hafa sama fjölskyldunúmer og auðkenndur notandi og eru undir 16 ára aldri.
• Upplýsingar úr Heklu gátt um virka lyfseðla sem skráðir eru á auðkenndan notanda sem og aðra fjölskyldumeðlimi sem hafa sama fjölskyldunúmer og eru undir 16 ára aldri.
• Kennitala og auðkenni: Kennitala og rafrænt auðkenni er notað þegar notandi auðkennir sig inn á auðkennt svæði, þetta er svo hægt sé að bera kennsl á notendur.

Hjá Lyf og heilsu er rík áhersla lögð á að varsla persónuupplýsinga sé ávallt með ábyrgum hætti. Þetta á þó ekki við ef Lyf og heilsu er skylt samkvæmt lögum að miðla þeim upplýsingum eða í þeim tilfellum sem talið er upp í lið d hér að ofan eða í málsgreininni hér að neðan.

Lyf og heilsu ehf. er heimilt að miðla persónuupplýsingum til þriðja aðila sem er þjónustuveitandi, umboðsmaður eða verktaki okkar í þeim tilgangi að ljúka verkefni eða veita viðskiptavini þjónustu eða vöru sem beðið hefur verið um eða samþykkt. Einnig er heimilt að deila upplýsingum til þriðja aðila á grundvelli lögmætra hagsmuna fyrirtækisins, t.d. við innheimtu á vanskilakröfu. Þriðja aðila eru þó alltaf einungis afhentar persónuupplýsingar sem eru nauðsynlegar fyrir þá í framangreindum tilgangi og er gerður við þá samningur þar sem þeir undirgangast skyldu um að halda upplýsingum um einstaklinga öruggum og nota þær einungis í framangreindum tilgangi.

Lyf og heilsa ehf. leggur mikla áherslu á að vernda allar persónuupplýsingar, sem eru geymdar í viðurkenndum aðgangsstýrðum tölvukerfum þar sem passað er uppá að einungis þeir sem þurfa að hafa aðgang að gögnunum hafi.

Ef upp kemur öryggisbrestur er varðar persónuupplýsingar sem hefur í för með sér áhættu fyrir einstaklinga er leitast við að tilkynna öllum hlut að eigandi aðilum það án mikillar tafar. Með öryggisbroti er átt við brot á öryggi sem leiðir til óviljand eða ólögmætrar eyðingar á persónuupplýsingum eða að þær glatist, breytist, verði birtar eða aðgangur veittur að þeim í leyfisleysi.

Lögð er áhersla á að notendur nýti sér lyfjagáttina á lokuðu og öruggu interneti. Ekki er mælt með því að notendur auðkenni sig inn á læst vefsvæði þar sem um er að ræða viðkvæmar persónuupplýsingar á opnu þráðlausu interneti, svo sem á almenningsstöðum. Notendur eru hvattir til að hlaða ekki niður upplýsingum eða vista samtöl á búnað sem er aðgengilegur öðrum.

Lyf og heilsa ehf. geymir persónuupplýsingar eins lengi og þurfa þykir. Ef nauðsynlegt er að geyma persónuupplýsingar til að uppfylla lagalegar skyldur t.d. gagnvart skattayfirvöldum eða í samræmi við lög og reglugerðir tengdar rekstri lyfjabúða eru þær upplýsingar geymdar á öruggu formi eins lengi og lög segja til um.

Lyf og heilsa ehf. reynir eftir fremsta megni að halda persónuupplýsingum um einstaklinga nákvæmum, áreiðanlegum og eins takmörkuðum og þurfa þykir.

Lyf og heilsa ehf. fer yfir vinnslu persónuupplýsinga á tveggja ára fresti og metur hvort heimilt sé annar vegar að eyðu upplýsingu og hins vegar hvort heimilt sé að varðveita þær áfram út frá eðli upplýsinganna.

Einstaklingar hafa rétt á að fá upplýsingar um það hvernig persónuupplýsingar eru geymdar og hvaða upplýsingar eru geymdar um þá hjá Lyf og heilsu ehf. Einstaklingar hefa einnig rétt á því að óska eftir uppfærslu á upplýsingum um sig þannig að þær séu réttar, að upplýsingum um sig sé eytt, enda sé ekki lengur ástæða til þess að geyma þær eða óskað eftir því að fá upplýsingarnar afhentar.

Beiðni um þessar upplýsingar skal senda á personuvernd@lyfogheilsa.is undir yfirskriftinni „Persónuupplýsingar“.

Beiðnir verða þá teknar til greina og upplýsingar afhentar einstaklingum, þegar það á við, innan hæfilegs tíma þó með þeim takmörkum sem réttindi og frelsi annarra gera ráð fyrir. Öllum beiðnum er svarað innan eins mánaðar og á það líka við ef ljóst er að gefa þarf skýringu á töf sem getur orðið á afhendingu eða ef ekki er unnt að verða við beiðninni að fullu.

Persónuverndarstefna þessi kann að breytast með tímanum, t.d. vegna breytinga á lögum og reglum eða opinberum kröfum gagnvart Lyf og heilsu ehf. og meðhöndlun persónuupplýsinga. Breytingar á stefnunni öðlast gildi við birtingu hennar á heimasíðu fyrirtækisins,www.apotekarinn.is.

Öryggisbrestur felur í sér brest á öryggi sem leiðir til óviljandi eða ólögmætrar eyðingar persónuupplýsinga, sem eru sendar, varðveittar eða unnar á annan hátt, eða að þær glatist, breytist, verði birtar eða aðgangur veittur að þeim í leyfisleysi. Eða þegar dulkóðunarlykill, sem tengir saman auðkenni einstaklinga og dulkóðaðar upplýsingar, tapast. Almennt er talað um tegundir öryggisbrota sem;

• Brot á trúnaði (persónuupplýsingar berast óviðkomandi)
• Brot á heilindum (persónuupplýsingar breytast)
• Brot á aðgengileika (persónuupplýsingar eru óaðgengilegar)

Dæmi um mögulega öryggisbresti:

1. Tölvupóstur eða bréf með persónuupplýsingum eins og t.d. nafni, mynd, greiðsluupplýsingum, heilsufarsupplýsingum er sendur á rangan viðtakanda.

2. Upplýsingar sem leynt eiga að fara eru birtar fyrir mistök, t.d. í fundargerð sem birt er á vef.

3. Upplýsingar glatast.

4. Starfsmenn brjóta trúnað með því að fjalla um málefni einstaklinga í þjónustu hjá fyrirtækinu.

Mjög þröngur tími er til að tilkynna öryggisbrest til Persónuverndar, eða 72 tímar, og skal því næsta yfirmanni og persónuverndarfulltrúa tilkynnt um öryggisbrestinn um leið og hans verður vart. Er þetta mikilvægt þar sem tímafrestur hefst um leið og starfsmaður verður var við öryggisbrest og frestur til að tilkynna er því mjög knappur.

Bent er á að 72 tímar gilda óháð helgum og frídögum og því mikilvægt að bregðast strax við. Sem dæmi þá yrði að tilkynna brot sem kæmi upp kl. 18 þann 24. desember fyrir klukkan 18 þann 27. desember.

Ef starfsmenn verða varir við öryggisbrest hjá samstarfsmönnum, t.d. með því að móttaka póst sem átti ekki að vera sendur á þá eða sjá að upplýsingar hafa verið sendar óviðkomandi, ber þeim að láta sendanda vita þegar í stað, sem og næsta yfirmanni og/eða persónuverndarfulltrúa til að hægt sé að meta hvort tilkynna þurfi öryggisbrest til Persónuverndar.

Yfirmaður í samstarfi við persónuverndarfulltrúa útbýr tilkynningu um öryggisbrest til Persónuverndar nema ólíklegt þyki að öryggisbrestur leiði til áhættu fyrir réttindi og frelsi einstaklinga. Vakin er athygli á að Persónuvernd hefur túlkað tilkynningaskyldu rúmt og segir í leiðbeiningum að í vafatilvikum skuli tilkynning send. Skal því senda tilkynningu þó öryggisbrestur ólíklegur til að leiða til sekta. Jafnvel þegar ekki þarf að tilkynna til Persónuverndar er lagaskylda til að skrá atvikið í frávikaskrá persónuverndarfulltrúa og því mikilvægt að persónuverndarfulltrúa sé tilkynnt um öll atvik.

Dæmi um atvik sem ekki þarf að tilkynna:

Tölvupóstur er sendur á rangan starfsmann, haft er samband við starfsmann sem eyðir póst áður en hann er lesin. Engin hætta er á réttindum eða frelsi þeirra sem upplýsingar voru um en persónverndarfulltrúa skal samt tilkynnt um og skráir hann atvikið.

Dæmi um atvik sem þarf að tilkynna:

Tölvupóstur með lista yfir 50 skjólstæðinga sveitarfélagsins ásamt frekari upplýsingum er sendur á óviðkomandi netfang.

Skal tilkynning um öryggisbrest skráð með rafrænum hætti á slóðinni https://island.is/tilkynna-oryggisbrest

Eins skal tilkynna persónuverndarfulltrúa Lyf og heilsu hf. um öryggisbrestinn á netfangið personuvernd@lyfogheilsa.is.

Ef öryggisbrestur telst fela í sér mikla áhættu fyrir réttindi og frelsi einstaklinga skal tilkynna þeim um brotið án ótilhlýðilegrar tafar, nema það takist að grípa til aðgerða sem bægja frá slíkri áhættu. Megintilgangurinn með tilkynningarskyldunni er að veita einstaklingum upplýsingar um þau úrræði sem þeir geta sjálfir gripið til þeim til verndar, s.s. að setja nýtt lykilorð.

Meta skal í samráði við persónuverndarfulltrúa hvort tilkynna þurfi einstaklingum um öryggisbrest.

Í vafatilvikum skal haft samband við persónuverndarfulltrúa sveitarfélagsins í gegnum síma eða á netfangið personuvernd@lyfogheilsa.is.

Bent er á eftirfarandi ítarefni um öryggisbresti:

Leiðbeiningar Persónuverndar um öryggisbrot:

https://island.is/leidbeiningar-oryggisbresti