Sissejuhatus

1.1. Spa Tours OÜ on oma tegevusalast lähtuvalt käsitletav majutusettevõtjana, mis oma igapäevases majandustegevuses kasutab isikuandmeid majutusteenuste osutamise eesmärgil. Oma tegevuses juhindume isikuandmete kaitse üldmäärusest (GDPR), isikuandmete kaitse seadusest (IKS), meie enda andmekaitsealasest strateegiast ning muudest kehtestatud andmekaitsealastest normatiividest. Käesolev privaatsusteave (edaspidi Privaatsusteave) on adresseeritud GDPR ja IKS regulatsioonis nimetatud andmesubjektile ehk füüsilistele isikutele, kelle isikuandmeid töödeldakse teenuse osutamiseks.

1.2. Me eeldame, et Teie (Andmesubjektid) olete teadlikud ja hoolite oma isikuandmete töötlemisest, seetõttu kinnitame siinkohal, et Teie andmete töötlemiseks kehtestatud reeglite täitmisse suhtub SPA Tours OÜ täie tõsidusega. Privaatsusteave kirjeldab SPA Tours OÜ poolt kasutatavaid põhimõtteid ja praktikat, mis puudutab isikuandmete töötlemise tervet ahelat alates kogumisest, kasutamisest kuni kustutamiseni seades fookusesse isikuandmete kaitse. Isikuandmete kaitse on pidev vastutus, mistõttu aeg-ajalt vaatame Privaatsusteave reeglistiku üle, kontrollime selle vastavust kehtestatud nõuetele ning vajadusel uuendame selle sisu.

Andmekaitsespetsialist (DPO)

2.1. Meie ettevõtte SPA Tours OÜ, registrikood 11693733 juriidilise asukohaga Tallinna tn 15, Kuressaare, Saaremaa vald, Saaremaa, 93811 andmekaitsealaste nõuete täitmiseks on ettevõtte poolt määratud andmekaitsespetsialistiks järgmine isik:
Ees- ja perenimi: Evelin Täht
DPO töökoha asukoht: Randvere tee 11, Viimsi vald, Haabneeme, Harjumaa 74001
E-posti aadress: gdpr@spatallinn.ee

Andmete kogumine

3.1. SPA Tours OÜ kogub isikuandmeid peamiselt oma klientidelt ning lisaks koostööpartneritelt-reiskorraldajatelt, hotelliteenuste osutamiseks Tallinn Viimsi SPAs, Meresuu SPAs ja Grand Rose SPA Hotellis. Need on reeglina andmed, mis on vajalikud kliendi enda poolt valitud hotelliteenuse osutamiseks ja võivad täpsustuda alati konkreetse teenuse raames (näiteks majutusteenus, seminariteenus, spaateenus, toitlustusteenus). Tavapäraselt on hotelliteenuse esmaseks osutamiseks ja algse broneeringu vormistamiseks vajalikud vaid ees- ja perekonnanimi, aga ka kontaktandmed nagu e-posti aadress, telefoninumber, et saata kliendile broneeringu kinnitus või sõltuvalt olukorrast kliendiga ühendust võtta.

Esialgse broneeringu vormistamisel ja hinnaklassi määramisel on vajalik teada  kaasa tulevate alaealiste vanus, alaealiste nimesid vaja ei ole.

3.1.1. Andmete töötlemine
SPA Tours OÜ töötleb järgnevaid isikuandmeid:

3.1.2. Majutusteenuse osutamise ja vahendamise käigus isikuandmete töötlemine
Vastavalt turismiseaduse §-le 24 tuleb hotelli sisse registreerimisel kliendil endal täita külastajakaart, kuhu majutusteenuse osutamiseks kantakse järgnevad isikuandmed:
ees- ja perekonnanimi, sünniaeg, kodakondsus, elukoha aadress ja e-maili aadress. Külastajakaardile kantakse samuti ka kliendiga koos majutatava abikaasa/kaaslase ja alaealise nimi, sünniaeg ning kodakondsus. Juhul kui klient ei ole Eesti, Euroopa Liidu, Euroopa Majanduspiirkonna liikmesriigi või Šveitsi kodanik või ei ole Eestis elamisloa või elamisõiguse alusel elav välismaalane, siis lisaks eelpool nimetatud andmetele kantakse külastajakaardile reisidokumendi liik, number ja selle väljaandnud riik.
Esitatud andmete õigsust kinnitab klient oma allkirjaga.
SPA Tours OÜ kasutab klientide isikuandmeid majutusasutustele kehtestatud nõuete täitmiseks ning teenuse osutamiseks. Me ei müü ega jaga isikuandmeid kolmandate isikutega va. nendega, kellega neid tuleb jagada seaduse alusel või meie vahel sõlmitud teenuse lepingu täitmiseks.
Majutusasutuse nõuetele vastavalt on Tallinn Viimsi SPA-l, Meresuu SPA-l ja Grand Rose SPA-l kohustus pidada majutatavate isikute kohta registrit, kuhu kantakse seadusest tulenevad andmed ning edastatakse nõudel õiguskaitseorganitele.

3.1.3. Eriliiki isikuandmed
Olenevalt teenuse sisust, võib Tallinn Viimsi SPA, Meresuu SPA ja Grand Rose SPA vajada ka eriliiki isikuandmeid, millised puudutavad majutusteenuse erisusi. Näiteks võib see tähendada teatavate puuete korral liikumist hõlbustavate vahendite (ratastool) olemasolu või ka toitlustuse osas teatavate ainete talumatuse puhul või eridieedi osas andmeid (juhul, mil on tellitud lisaks majutusele ka toitlustusteenus). Igal juhul on tegemist eri liiki isikuandmetega, millised edastab klient meile teenuse saamiseks ise.

Reisibüroode poolt Tallinn Viimsi SPA-le, Meresuu SPA-le ja Grand Rose SPA-le antud isikuandmed  kasutame vaid teenuste (majutus, toitlustus) osutamiseks ning andmete töötlemine, säilitamine ja hävitamine toimub ette antud reeglite järgi.

3.1.4. Parimate pakkumiste ja meelespidamiskirjade saatmine
Tallinn Viimsi SPA, Meresuu SPA ja Grand Rose SPA saadavad oma klientidele parimaid pakkumisi ja meelespidamise e- kirju (näit. juurdemüük, hooajalised eripakkumised, kutsed üritustele jms pakkumised) ainult kliendi nõusolekul eelnevalt kinnitatud e-posti aadressile. Kliendil on võimalus igal ajal oma nõusolek tagasi võtta, andes sellest teada e-posti aadressil: gdpr@spatallinn.ee

Samuti saadame klientidele hotelliga seotud ning klientidele vajalikke informatiivseid ja teavituslikke e-kirju, kui klient on meie juurest esimest korda ostnud/teinud broneeringu või on kliendi tööandja kinnitanud teda ettevõtte volitatud isikuks. Antud kirjad on kinnitava iseloomuga, et klient oleks teadlik, et on meiega liitunud.

Teenuse osutamisega seonduvalt on meil õigus saata teile tagasiside e-kirja, kui olete meie käest ostnud/teinud broneeringu või küsinud pakkumist mõne teenuse kohta. Tagasiside e-kirju saadame ainult selleks, et selgitada teeninduse kitsaskohti ja pakkuda parimat teenindust. Kui hotellis leiab aset eriolukord/õnnetus/avarii, siis samuti võime võtta kliendiga ühendust või saata teavituskiri.

3.2. Meie internetikeskkonnad (kodulehed, erinevad sotsiaalmeediakanalid nt.Facebook, Instagram) nagu ka paljud teised samalaadsed keskkonnad koguvad teatavat infot automaatselt ja salvestavad selle logifailides. See info võib sisaldada IP aadressi, regiooni või üldist asukohta, kus kliendi arvuti või seade internetiühenduses on, kasutatava brauseri tüüpi, operatsioonisüsteemi ja muud kasutusega seotud infot s.h. lehekülgede külastamise ajalugu. Hotelidl kasutavad nimetatud informatsiooni selleks, et muuta hotelli internetikeskkonnad paremaks, lihtsamaks ning kasutajasõbralikumaks. Samuti võime kasutada Teie IP aadressi, et diagnoosida probleeme meie serveris ja veebilehe administreerimiseks, trendide analüüsimiseks, lehe külastajate tegevuse jälgimiseks lehel, samuti, et koguda ulatuslikumalt demograafilist informatsiooni, et paremini kindaks teha meie veebikeskkondade külaliste eelistusi. Internetikeskkonnad kasutavad ka „küpsiste“ süsteemi.

3.3. Kui klient on avaldanud nõusoleku uudislehtede ja reklaami saamiseks või on osalenud Spa Tours OÜ poolt  korraldatavatel või vahendatud loosimistel või muudes kampaaniates, küsime kliendi nime ja kontaktandmeid. Neid andmeid kasutame informatsiooni saatmiseks meie ettevõtte pakutavate teenuste ja kaupade kohta või kõigest muust, mis kliendile huvi võib pakkuda. Kui klient ei soovi enam uudiskirja ja otsepostitusi saada, saab ta  selliste kirjade saamise lõpetada, vajutades iga uudiskirja ja/või reklaami all asuvale lingile (“Juhul kui te ei soovi meilt enam kirju, vajutage siia.”) või andes märku aadressil gdpr@spatallinn.ee.

3.4. Kui klient sisestab tellimuse ja esitab broneeringut kodulehel oleva broneerimiskeskkonna vahendusel, vajame tema kontaktandmeid: ees- ja perekonnanime,      e-posti aadressi, telefoninumbrit ja mõningatel juhtudel ka elukoha aadressi. Seda infot vajatakse vaid selleks, et vajadusel kliendiga kontakti saada informatsiooni osas, mis puudutab tema tellimust ja selle täitmist. Tellimuse koostamise ajal küsime kliendilt ka infot, mis puudutab tellimuse eest tasumist nagu nt krediitkaardi numbrit või pangamakse detaile. Kasutame seejuures turvalist online-ühendust, et Teie isikuandmed oleks kaitstud.

Millal ja kuidas SPA Tours OÜ andmeid hoiab

4.1. Klientide kohta kogutud andmeid, mis on saadud ostude kaudu, hoitakse ajavahemikul, mil kehtib seaduses sätestatud andmete säilitamise kohustusega ja nõuetele esitamise aegumistähtajaga, misjärel isikuandmed kustutatakse. Andmeid hoitakse ühes või mitmes andmebaasis.

4.2. Kliendi enda poolt täidetud külastajakaardid isikuandmetega on kogutud vastavasse kausta ja hoitakse lukustatud ruumis eraldi lukustatud kapis. Andmeid saavad näha ja kasutada otseselt vaid broneeringutega tegelevad töötajad. Külastajakaarte säilitatakse arhiivis 5 aastat.

4.3. Reisbüroode poolt SPA Tours OÜ-ile saadetavad rühmade nimekirjad sisestatakse broneerimiskeskkonda Hotellinx. Nii e-maili vahendusel saadetud kui ka välja prinditud nimekirjad hävitatakse peale grupi lahkumist hotellist.

Millal ja kuidas Spa Tours OÜ kliendi isikuandmeid kasutab

5.1. Peamiselt kasutatakse kliendi isikuandmeid kliendiga kokkuleppel talle teenuse osutamiseks.

5.2. Isikuandmed sisestatakse broneerimiskeskkonda Hotellinx ning kasutatakse ka selleks, et uuendada kliendi profiili vastavalt tema eelistustele ja vajadustele ning et õppida paremini tundma kliendi soove ning parandada teenuste osutamise aspekte. Broneerimiskeskkonnas Hotellinxis on üldajalugu, kus külastajate andmeid hoitakse 2-5,5 aastat.

5.3. Kui klient on andnud nõusoleku uudiskirjade, spetsiaalsete reklaamide, otsepostituste jms saamiseks Spa Tours OÜ-lt, saadame kliendile soovitud informatsiooni. Sellisest e-kirjadest on võimalus mistahes ajahetkel ka loobuda (vt p 3.3).

5.4. Klientide isikuandmeid jagatakse teenusepakkujatega, kelle teenus on vältimatu sõlmitud lepingute täitmiseks ja teenuste osutamiseks (näiteks massöörid, kosmeetikud).

5.5. Samuti võime jagada külastajate isikuandmeid, kui selline vajadus tuleneb kuritegude uurimisest, kohtunõuete täitmisest, klientide eluliste vajaduste täitmisest; seoses müügi, ostu, ühinemise, reorganiseerimise, finantseerimise, likvideerimise, lõpetamise või sarnase ettevõttega seotud toiminguga. Sellistel puhkudel kinnitame, et võtame tarvitusele kõik vajalikud meetmed, et klientide isikuandmed oleks piisavalt kaitstud.

5.6. Loosimistel ja muudel sarnastel ettevõtmistel osalemiseks vajaliku info kogumisel kasutatakse saadud kontaktandmeid selleks, et võidu korral oleks võimalik kliendiga ühendust võtta. Reeglina on auhinnamängudel osalemise eeltingimuseks inimese kontaktandmete kasutamiseks nõusoleku andmine ka muudeks otstarveteks, mistõttu palume klientidel auhinnamängudel osalemisele eelnevalt tutvuda hoolikalt auhinnamängu tingimustega.

5.7. Spa Tours OÜ on isikuandmete vastutav töötleja, Spa Tours OÜ edastab maksete teostamiseks vajalikud isikuandmed volitatud töötleja Maksekeskus AS-ile.

Andmesubjekti õigused

6.1. Privaatsusteave on mõeldud kliendile informatsiooni edastamiseks selle kohta, millist teavet Spa Tours OÜ tema kohta kogub ning kuidas seda kasutatakse. Kui kliendil on isikuandmete kohta küsimusi või soovib ta ligipääsu oma isikuandmetele, siis palun võtta ühendust e-posti aadressil: Spa gdpr@spatallinn.ee.

Andmesubjektil on oma isikuandmetega seonduvalt järgmised õigused:

Klientide andmete turvalisus

7.1. Et kaitsta isikuandmeid ja isiku identifitseerimist võimaldavat infot, mida klient sisestab meie internetikeskkonnas, kasutame füüsilisi, tehnilisi ja administratiivseid kaitsemeetmeid. Selliselt uuendame ja testime kasutatavaid kaitsetehnoloogiaid regulaarselt. Meie internetivõrgud on kaitstud tulemüüride ja sissetungimist avastava tarkvaraga. Klientide isikuandmetele ligipääs on piiratud vaid nende töötajateni, kes vajavad sellist informatsiooni Teile kokkulepitud teenuse osutamiseks või muul seaduslikul alusel.

7.2. Me kasutame piisavaid meetmeid, et kaitsta Teie isikuandmeid, ja meie tegevus on allutatud asjakohase infoturbe kehtivale seadusandlusele, kuid peame vajalikuks märkida, et ükski internetileht või andmebaas ei ole lõpuni turvaline ehk nn häkkimiskindel. Kaitske end ja aidake meil ennetada arvutikuritegusid sellega, et väga tähelepanelikult hoiate ja kaitsete oma paroole (salasõnu). Meie internetikeskkond ei kasuta nuhkvara (Spyware). Kui kahtlete, kas Teie kontole on sisse murtud, palun võtke viivituseta ühendust.

7.3. Spa Tours OÜ  koolitab oma töötajaid, saavutada töötajate seas suuremat teadlikkust isikuandmete kaitse tähtsusest ja vajadusest. Meie pühendumus väljendub ka töötajaid otse puudutavates ettevõtte sisestes regulatsioonides, millistesse on põimitud andmekaitsealased sätted.

Privaatsusteabe muutmine ja täiendamine

8. Nagu iga organisatsioon muutub ka Spa Tours OÜ kindlasti ajas ja ruumis, mistõttu on ainult õige eeldada, et selliselt võib tekkida ka vajadus tulevikus Privaatsusteabe muutmise ja täiendamise järele. Ülaltoodu tõttu teatame, et meil on õigus muuta ja täiendada Privaatsusteabe sisu igal ajal sellest Teid teavitamata. Muudatused avaldame veebilehel.

Töötajate privaatsusteave

9. Töötajate privaatsusteave on koostatud eraldi dokumendina ning on kättesaadav vaid Spa Tours OÜ töötajatele.

Küsimused, kaebused

10.1. Kui Teie isikuandmed on muutunud, võtke palun meiega ühendust. Kui Teil on täiendavaid küsimusi Teie isikuandmete kohta, võtke kindlasti meiega ühendust. Me vastame seadusega ettenähtud tähtaja jooksul. Samas olge valmis, et isikuandmete kaitsmise raames võime Teilt paluda isiku tuvastamiseks täpsemat infot enne küsimustele vastamist. Selleks, et isikuandmete töötluse aluseks olevad lepingud tagaksid Andmesubjektide õigusi piisaval määral, jätame endale õiguse nõuda, et Andmesubjekti esindusõigust tõendav dokument, mis esitatakse pooltevahelise õigussuhte täitmise käigus või pärast seda (muuhulgas seoses andmetöötlusega), ja mis on vormistatud väljaspool meie majutusasutust, oleks notariaalselt või sellega samaväärselt tõestatud. Peame olema kindlad, et Andmesubjekt on info edastamisega nõus, ja info läheb ainult õigele inimesele või organisatsioonile. Enamikel juhtudel korrigeerime või kustutame iga ebatäpsuse, mille olete avastanud. Mõningatel juhtudel saame ka täielikult või osaliselt keelduda Teie palvest, kui seadus lubab või nõuab meilt seda.

10.2. Küsimuste ja kaebuste osas palun kontakteeruge andmekaitsespetsialistiga e-posti aadressil: gdpr@spatallinn.ee.
Kliendi poolt esitatud päringule vastame esimesel võimalusel, kuid hiljemalt 30 päeva jooksul.