Privaatsustingimused

Mentastic rakenduse isikuandmete töötlemise põhimõtted ja seaduslikkus.
Kinnitatud ja jõustub alates 20.05.2026

Üldsätted

Käesolev dokument (edaspidi „Privaatsuspoliitika“) kirjeldab isikuandmete töötlemise põhimõtteid Mentasticu rakenduse ja veebilehe (edaspidi „Rakendus“) Klientide kohta, mida teostab HeBA Clinic OÜ koos oma tütar- ja sidusettevõtetega (edaspidi „HeBA“).

Isikuandmete vastutav töötleja on HeBA (edaspidi vastutav töötleja), aadress: Veerenni 38, 10138 Tallinn; registrikood: 14644401; e-post: heba@heba.ee; telefon: +372 5887 0131. 

Oma isikuandmete jagamisega mentastic.me veebilehel annab Klient vastutavale töötlejale õiguse töödelda Privaatsuspoliitikas määratletud eesmärgil isikuandmeid, mille on Klient otse või kaudselt veebilehel vastutava andmetöötleja teenuseid kasutades vastutavale andmetöötlejale jaganud.

Privaatsuspoliitika kirjeldab milliseid isikuandmeid, mis eesmärgil ja kui kaua vastutav töötleja töötleb ning millised on Kliendi õigused seoses vastutava töötleja poolt andmete töötlemisega.

Käesoleva Privaatsuspoliitika tähenduses on Klient iga isik, kes külastab Mentasticu veebilehte või kasutab Mentasticu rakendust ja selle kaudu pakutavaid teenuseid.

Käesoleva Privaatsuspoliitikas kehtestatud isikuandmete töötlemise põhimõtted kehtivad seni kuni Klient  kasutab Mentastic rakenduse teenuseid, võtab HeBA-ga ühendust või külastab Mentastic rakenduse veebilehte.

Isikuandmete töötlemisel lähtub HeBA eelkõige Euroopa Parlamendi ja nõukogu määrusest (EL) 2016/679 (EL-i Isikuandme Kaitse Üldmäärus, EL-i IKÜM), Eesti isikuandmete kaitse seadusest (IKS) ning muudest valdkonna reguleeritavatest õigusaktidest. 

Kõik HeBA töötajad, lepingupartnerid ja HeBA lepingulised volitatud töötlejad (nt IT- ja andmemajutusteenuse pakkujad) on kohustatud järgima isikuandmete töötlemise nõudeid ja on seotud konfidentsiaalsuskohustusega vastavalt lepingus sätestatud nõuetele.

Vastutav töötleja jätab endale õiguse vajadusel igal ajal Privaatsuspoliitika tingimusi muuta tehes selle viimase versiooni kättesaadavaks mentastic.me veebilehel.

Isikuandmete töötlemise eesmärgid ja õiguslik alus

• HeBA töötleb Kliendi isikuandmeid lepingu täitmiseks tuginedes EL-i IKÜM Artikli 6 lg 1 punkti b alusele Kliendile teenuse osutamiseks, rakenduse toimimise tagamiseks ja Kliendiga ühenduse võtmiseks. Selleks töödeldavad andmed on:
  • Registreerimisel kogutavad andmed:
    • Nimi
    • e-posti aadress
  • Isikupärastatud funktsioonide pakkumiseks kogutavad andmed:
    • sugu
    • sünniaeg
    • asukoht (riik)
    • Rakenduse kasutuse ajalugu 
    • Rakenduse eelistused 
    • Rakenduse seadistused
    • Rakenduse kasutusmustrid

• Lisaks eeltoodule töötleb vastutav töötleja eriliigi isikuandmeid (heaolu- ja terviseandmeid) Kliendi nõusolekul tuginedes EL-i IKÜM Arikli 9 lg 2 punkti a alusele. Rakendust kasutades saab Klient valida, kas lubada selliste andmete kogumist ja töötlemist eesmärgiga suurendada Kliendi teadlikkust oma vaimse heaolu ja seda mõjutavate tegurite kohta koos Rakenduse funktsionaalsuste kohandamisega vastavalt Kliendi vajadustele. Kui Klient on vastava andmejagamise võimaldanud, siis kasutab Rakendus selliseid heaolu- ja terviseandmed Kliendi poolt võimaldatud kolmandate osapoolte seadmetest nagu nutikell, nutisõrmus, telefon vms.

• Selleks et koguda ja töödelda punktis 1.2 nimetatud kolmandate osapoolte nutiseadmetest pärinevaid Kliendi heaolu ja terviseandmeid, kasutab Rakendus turvalist ühendust välise teenusepakkujaga Thryve (mHealth Pioneers GmbH), mis vahendab Rakendusele lepingu täitmiseks Kliendi poolt Thryve teenusepakkujale antud nõusoleku alusel.

• Rakenduse veebilehe külastamisel töötleb vastutav andmetöötleja külastaja kohta tehnilisi andmeid statistiliseks analüüsiks, et parandada teenuste kvaliteeti. Tehniliste andmete hulka kuuluvad kasutatava arvuti või arvutivõrgu internetiaadress (IP-aadress), arvuti veebilehitseja ja operatsioonisüsteemi tarkvaraversioon, külastamise aeg (kellaaeg, kuupäev, aasta) ja koht. IP-aadresse ei seota isikut tuvastava teabega. Rakenduse veebilehel kasutatakse küpsiseid, et pakkuda Kliendile asjakohasemat sisu ning muuta veebilehe kasutamine mugavamaks ja lihtsamaks. 

• Rakendus võib koguda anonümiseeritud kasutusandmeid, et mõista kasutajate vajadusi ja parandada pakutavate teenuste kvaliteeti. Sellised kasutusandmed hõlmavad näiteks rakenduse käivitamisi, puudutusi, ekraanide külastusi, seansi kestust ja muud teavet selle kohta, kuidas kasutajad rakendusega suhtlevad. Rakendus võib samuti koguda veaandmeid ja jõudlusaruandeid. Need andmed on vajalikud rakenduse toimivuse ja jõudluse parandamiseks.

• Kliendi tuvastamiseks ja autentimiseks rakenduse kaudu töödeldakse tema isikuandmed, sealhulgas Apple ID ja Google sisselogimise kaudu töödeldavad andmed, kui Klient valib need sisselogimiseks. Kliendi tuvastamine ja autentimine toimub vastavalt Kliendi valitud valikule.

Isikuandmete edastamine

• HeBA on õigus kasutada isikuandmete töötlemisel volitatud töötlejaid, kelleks võivad olla tugiteenuste osutajad, näiteks tarkvaraarendajad. Volitatud töötlejad võivad Isikuandmetega kokku puutuda vaid piiratud juhtudel. Kasutame volitatud töötlejatena vaid selliseid partnereid, kes töötlevad Isikuandmeid kooskõlas kehtiva õigusega ja käesolevate Privaatsussätetega. 

• HeBA volitatud töötlejad teenuse osutamisel on Microsoft (Azure, registreeritud USAs), Amazon (Amazon Web Services, registreeritud USAs), openAI (registreeritud USAs), Google Inc (registreeritud USAs). Kõigi volitatud andmetöötlejatega on sõlmitud andmetöötluslepingud, mille kohaselt toimub isikuandmete töötlemine Euroopa regioonis.

• Lisaks võib HeBA kasutada erinevaid volitatud töötlejad muude teenuste osutamisel Kliendi nõusolekul küsitluste, kliendi tagasiside, turundusteenuste ja veebimajutuse teenuste pakkujana.

• Mentastic rakenduse kasutamisel võib vastutav töötleja edastada isikustamata andmeid teenusepakkujatele, kes pakuvad rakenduse toimimiseks vajalikke tehnilisi lahendusi ja infrastruktuuri, tingimusel et andmete jagamine on rakenduse funktsioonide jaoks vajalik

• liendi heaolu- ja terviseandmeid ei avalda ega jagata kolmandate osapooltega, välja arvatud seaduses sätestatud juhtudel või Kliendi selgesõnalisel loal.

Isikuandmete säilitamine

• Vastutav töötleja säilitab teenuste osutamise käigus kogutud andmeid käesolevates Privaatsuspoliitikas kirjeldatud eesmärkidel ja ulatuses seni, kuni see on vajalik andmete töötlemise eesmärgi saavutamiseks.

• Kliendirahulolu hindamiseks kogutud tagasiside säilitatakse 5 aastat selle laekumise kuupäevast;

• Raamatupidamisdokumente säilitatakse 7 aastat vastavalt raamatupidamise seadusele;

• Apple ID ja Google kaudu kogutud andmeid säilitatakse vastavalt nende teenuste andmetöötluseeskirjadele ja kliendi õigustele.

Isikuandmete kaitse

• Kliendi andmete töötlemisel rakendab vastutav töötleja turvalist, krüpteeritud ühendust, mis aitab kaitsta andmeid võimalike väliste sekkumiste eest. 

• Kliendi identiteedi kontrollimiseks ja juurdepääsu haldamiseks kasutatakse turvalist valdkonna standarditele vastavat tarkvara. Kliendi andmed on kaitstud mitmetasandiliste turvameetmetega: andmed on kaitstud krüpteerimise, piiratud juurdepääsu ja muude asjakohaste turvameetmetega. Juurdepääs andmetele on antud ainult neile isikutele, kellel on Kliendile teenuse osutamiseks see vajalik.

• Kõik juurdepääsud Kliendi isikuandmetele on piiratud teenuste osutamiseks vajaliku ulatusega, autentitud ja logitud. Enne isikuandmete töötlemist peavad juurdepääsu omavad isikud ennast tuvastama.

• Kõik isikuandmete kasutamise logid säilitatakse 5 aastat.

• Kliendi isikuandmeid töödeldakse turvalistestes EL/EEA piirkonnas asuvates pilveteenuste pakkujate andmeserverites, mis vastavat eriliigiliste andmete töötlemise turvanõuetele, sealhulgas on rakendatud asjakohased turvaseaded ja seire.

Kliendi õigused seoses isikuandmete töötlemisega

• Kliendil on kõik andmesubjekti õigused vastavalt kehtivatele õigusaktidele seoses isikuandmete töötlemisega, eelkõige:
  • Õigus tutvuda punktis 1 kirjeldatud isikuandmetega, mida vastutav töötleja on tema kohta kogunenud ja töödelnud;
  • Õigus esitada taotlus andmete parandamisele kui need on ebatäpsed või puudulikud;
  • Õigus esitada vastuväiteid  isikuandmete töötlemisele HeBA poolt;
  • Õigus esitada taotlus enda andmete kustutamiseks   kui andmete töötlemine põhineb kliendi nõusolekul ja klient on oma nõusoleku tagasi võtnud. Oma soovist andmeid kustutada peab Klient kirjalikult teavitama vastutavat töötlejat või kirjutades aadressile mentastic@heba.ee;
  • Õigus esitada taotluse andmete töötlemise piiramisele nt kui Klient on informeerinud HeBA, et Kliendi isikuandmete töötlemine on olnud ebaseaduslik; 
  • Õigus nõusolek tagasi võtta igal ajal;
  • Õigus andmete ülekandmisele: õigus saada Kliendi poolt esitatud ning nõusoleku või lepingu alusel töödeldavaid isikuandmeid üldkasutatavas vormingus.
  • Õigus esitada kaebus: kui Klient leiab, et tema isikuandmete õigusi on rikutud, on tal õigus esitada kaebus vastutavale andmetöötlejale (heba@heba.ee), Andmekaitse Inspektsioonile või pöörduda kohtusse.

HeBA Clinic OÜ võib põhjendatud korral keelduda andmete piiramisest, ülekandmisest või kustutamisest, lähtudes Euroopa Liidus ja Eesti Vabariigis kehtivatest õigusaktidest, kui see on vajalik: 

• Euroopa Liidu või liikmesriigi õigusest tulenevate kohustuste täitmiseks või avaliku huvi ülesannete täitmiseks, eelkõige seoses tervishoiuteenuste osutamise dokumenteerimise ja säilitamisega;
• Rahvatervise valdkonna avaliku huvi kaalutlustel;
• Avalikes huvides toimuva arhiveerimise, teaduslike või statistiliste eesmärkide jaoks; või
• Õigusnõuete koostamiseks, esitamiseks või kaitsmiseks.