Käesolevad põhimõtted on välja töötanud Allium UPI OÜ, kes on Apotheka kliendiprogrammi vastutav töötleja. Tingimused on välja töötatud vastavalt isikuandmete kaitse reeglitele ning reguleerivad Apotheka kliendiprogrammi raames klientide isikuandmete töötlemise tingimusi (edaspidi Tingimused).

Apotheka töötleb Kliendi isikuandmeid, kui klient on liitunud Apotheka kliendiprogrammiga. Liitumine on võimalik Apotheka kaubamärki kandvates apteekides, Apotheka veebilehel iseteeninduskeskkonnas, samuti Pet City ja Apotheka Beauty poodides.

Lugege käesolevad Tingimused hoolega läbi, sest siin on toodud teave, kuidas isikuandmeid kliendiprogrammis töödeldakse ning millised on andmesubjekti õigused.

1.    ÜLDSÄTTED, KONTAKT JA MÕISTED.

1.1    Tingimuste kättesaadavus. Käesolevad Tingimused on Klientidele kättesaadavad veebilehel www.apotheka.ee ning Allium UPI OÜ veebilehel https://allium.upi.ee/tingimused/  samuti lingituna Pet City ja Apotheka Beauty veebist. 
1.2    Tingimuste muutmine. Apothekal on õigus Tingimusi igal ajal ühepoolselt muuta, teavitades Klienti muudatustest Apotheka veebilehel või/ja muul viisil (nt infokirja kaudu). Muudatused jõustuvad nende avaldamisest Apotheka veebilehel, kui muudatustes ei ole sätestatud teist tähtaega.
1.3    Vastutav töötleja. Apotheka kliendikaardiga seonduvate, sh Apotheka apteegis ja koostööpartnerite poodides tehtud ostude ja teenustega seotud andmete töötlemisel, kui ost on registreeritud Apotheka kliendikaardiga (sh kui ID-kaart toimib kliendikaardina), on vastutavaks töötlejaks Apotheka kliendiprogrammi haldaja, Allium UPI OÜ (registrikoodiga: 11331786, aadressiga: Vae tn 16, Laagri alevik, 76401 Saue vald, Harju maakond).
1.4    Kontaktid. Kliendid võivad pöörduda andmekaitsega seotud küsimustes e-posti aadressile: andmekaitse@allium.upi.ee või kirjutades eelmises punktis toodud aadressile ning märkides kirjale „Andmekaitsespetsialist“. Meie andmekaitsespetsialistiga saate ühendust kirjutades andmekaitse@allium.upi.ee.  
1.5    Järelevalveasutus. Apotheka (Allium UPI OÜ) andmetöötluse järelevalve asutuseks on Eesti Andmekaitse Inspektsioon https://www.aki.ee/et.
1.6    Sotsiaalmeedia. Apotheka kliendiprogrammiga seotud sotsiaalmeedia lehtedel töödeldakse  isikuandmeid vastavate platvormide pakkuja poolt asjaomase platvormi privaatsustingimuste kohaselt. Apotheka järgib isikuandmete töötlemisel käesolevaid Tingimusi ja vajalikus mahus vastava platvormi tingimusi.
1.7    Andmekaitse terminid. Isikuandmete kaitse mõistetel on sama tähendus, mis on määratletud isikuandmete kaitse üldmääruses (2016/679) („IKÜM“) ja nagu võivad olla täpsustatud siin Tingimustes.

1.8    Mõisted:

1.8.1    Apotheka – Allium UPI OÜ, kes on Apotheka kliendiprogrammi haldaja ja vastutav töötleja
1.8.2    Kliendiandmed – igasugune teave, mis on Apothekale teatavaks saanud seoses Kliendi poolt Apotheka kliendikaardi kasutamisega või kliendiks registreerimisega.
1.8.3    Kliendiprogramm – Apotheka kliendiprogramm, mida pakuvad Töötlejad ning mille kirjeldus on leitav siin.
1.8.4    Klient – füüsiline isik, kes kasutab oste tehes või teenuseid tarbides Apotheka kliendikaarti, sh ID-kaarti Apotheka apteekides ja Apotheka kliendiprogrammiga liitunud koostööpartnerite juures.
1.8.5    Kliendiandmete/isikuandmete töötlemine – igasugune Kliendiandmetega tehtav toiming, sh andmete kasutamine, kogumine, salvestamine, muutmine, lugemine, edastamine, ligipääsu andmine, kustutamine, hävitamine jmt. tegevused.
1.8.6    Töötleja(d) – Apotheka (Allium UPI OÜ – vastutav töötleja) ja teised Apotheka Kliendiprogrammi võimaldavad koostööpartnerid kui volitatud töötlejad: Apotheka brändi all tegutsevaid apteegid (vt siin), Apteegi Beauty OÜ (Apotheka Beauty) ja Pet City OÜ.

2.    ANDMETÖÖTLUSE ÜLDPÕHIMÕTTED, ANDMESUBJEKTIDE KATEGOORIAD JA TÖÖDELDAVAD ANDMELIIGID

2.1    Nõuetele vastavus. Kliendiandmete töötlemisel lähtub Apotheka kehtivatest õigusaktidest ning võtab vajalikud tehnilised ja korralduslikud meetmed, et tagada Kliendiandmete turvalisus, välistada ebaseaduslik töötlemine, kõrvaliste isikute juurdepääs ning avalikuks saamine.
2.2    Printsiibid. Apotheka on vastutustundlik andmete töötleja ja võimeline tõendama andmekaitse nõuete täitmist. Apotheka järgib ise ja kasutab selliseid koostööpartnereid Kliendiandmete töötlemisele, kes lähtuvad IKÜM isikuandmete töötluse printsiipidest. Printsiibid aitavad tagada, et isikuandmete töötlus oleks: seaduslik, õiglane ja läbipaistev, eesmärgiga piiratud, minimaalne, toimuks õigete andmetega, järgiks säilitustähtaegu ning et tagatud oleks usaldusväärsus ja isikuandmete konfidentsiaalsus. 
2.3    Andmesubjektide kategooriad. Tingimused kirjeldavad Apotheka Kliendiprogrammi Klientide isikuandmete töötlust (Kliendiandmed). Apotheka Kliendiks ei võeta alla 16-aastaseid füüsilisi isikuid. Seega ei töödelda Apotheka Kliendiprogrammis teadlikult isikute andmeid, kes pole võimelised IKÜM alusel kehtivat nõusolekut andma. 
2.4    Isikuandmete allikad. Kliendiandmed saadakse:
2.4.1    otse Kliendilt, kui Klient liitub Kliendiprogrammiga, kui Klient annab suhtluses või klienditoele andmeid;
2.4.2    Töötlejate süsteemidest, kui Klient teostab kliendikaardiga registreeritud ostu;
2.4.3    kolmandatelt isikutelt, näiteks, kui Klient on nõustunud kolmanda osapoole küpsistega, kui kaitseme/tõendame nõudeid.
2.5    Isikuandmete kategooriad. Apotheka kogub ja töötleb  Apotheka Kliendiprogrammiga liitunud Kliendi järgnevaid isikuandmeid:
2.5.1    Üldteave – täisnimi, isikukood, sünniaeg, sugu, keele-eelistus, teatud juhul aadress, kontaktid (tel.nr, e-post), nõusolekute teave – kogutud otse Kliendilt;
2.5.2    Tehniline teave  – autentimise teave, kliendi-ID, kliendistaatus, soodustuste teave (a-raha saldo, soodustuse %), IP-aadress, seadme teave, veebisirvija teave, iseteeninduse kasutamise teave, logid, küpsiste teave (jälgimistehnoloogiad) – kui Kliendi poolt lubatud ja nagu kirjeldatud küpsiste lahenduses;
2.5.3    Kliendiprogrammi kasutamise teave – üldteave, tehniline teave, ostuajalugu ja teenuste ajalugu (tšeki nr, ostusumma, soodustus, ostude arv, tihedus, aeg, koht, kaubakategooria või nimi), küpsiste teave (jälgimistehnoloogiad) (kui lubatud) ja analüütika teave, maksete ja raamatupidamislik teave (kui kohane; nt a-raha kontrolliks);
Juhime tähelepanu, et Kliendiprogrammi liiguvad ainult selliste ostude teave, mis on registreeritud kliendikaardiga. Registreeritud ostude puhul ei liigu retseptiravimi ja ravimi puhul kaasa toote nimetus – ainult märkus „retseptiravim“/“ravim“.
2.5.4    Suhtlusandmed - Apotheka, Töötlejate ja Kliendi vaheline suhtlus Kliendiprogrammiga seotud küsimustes e-posti või kirja teel, sh nt tagasiside, rahulolu ja klienditoe küsimused.

3.    KLIENDIANDMETE TÖÖTLEMISE EESMÄRGID JA ALUSED

Apotheka Kliendiprogrammi Kliendiandmeid töödeldakse järgmistel alustel ja juhtudel:

3.1    Nõusolek. Apotheka Kliendiprogrammiga seotult töödeldakse isikuandmeid nõusoleku alusel täpselt nõusolekus toodud tingimustel ja raamides. Andmesubjektil on õigus nõusolek iga hetk tagasi võtta (näiteks läbi loobumise käskluse uudiskirjades või kirjutades andmekaitse@allium.upi.ee). Nõusoleku tagasi võtmine ei mõjuta enne nõusoleku tagasivõtmist aset leidnud töötluse õiguspärasust.
3.2    Leping. Apotheka Kliendiprogrammiga seotult töödeldakse isikuandmeid lepingu alusel põhiliselt selleks, et andmesubjektiga sõlmitud lepingut täita, aga ka selleks et lepingusse astuda.
3.3    Seadusest tulenev kohustus. Töötlejad võivad isikuandmeid töödelda seadusest tuleneva kohustuste täitmiseks, näiteks raamatupidamise seadusest tulenev raamatupidamisdokumentide säilitamise kohustus.
3.4    Õigustatud huvi. Õigustatud huvi puhul on hinnatud Töötleja(te) huvid ja andmesubjekti huvid. Töötlus õigustatud huvi alusel on kasutusel ainult positiivse õigustatud huvi hinnangu puhul. Andmesubjektil on õigus tutvuda õigustatud huvi hinnanguga, mis käsitleb tema isikuandmete töötlust, kirjutades andmekaitse@allium.upi.ee.  

Kliendiprogrammi võimaldamisel töödeldakse Kliendiandmeid järgmiselt:

3.6    Uus eesmärk. Tulenevalt IKÜM art 4 lõikest 4 hindab Apotheka, kui isikuandmeid töödeldakse muul eesmärgil kui see, milleks neid esialgu koguti, või kui see ei põhine andmesubjekti nõusolekul,  hoolikalt sellise uue töötlemise lubatavust. Selleks, et teha kindlaks, kas uuel eesmärgil töötlemine on kooskõlas isikuandmete kogumise algse eesmärgiga, võetakse muu hulgas arvesse:
(a)    mis tahes seost isikuandmete kogumise eesmärkide ja kavandatud edasise töötlemise eesmärkide vahel;
(b)    isikuandmete kogumise konteksti, eelkõige seoses andmesubjekti ja Töötleja(te) vaheliste suhetega;
(c)    isikuandmete laadi, eelkõige seda, kas töödeldakse isikuandmete eriliike või isikuandmeid, mis on seotud süüdimõistvate kohtuotsuste ja kuritegudega;
(d)    kavandatava edasise töötlemise võimalikke tagajärgi andmesubjektide jaoks;
(e)    asjakohaste kaitsemeetmete olemasolu, mis võivad hõlmata krüpteerimist või pseudonüümimist.

4.    ERITÖÖTLUS: PERSONAALSETE PAKKUMISTE TEGEMINE, KLIENDI PROFIILIANALÜÜS, KAMPAANIAD JA LOOSID

4.1    Apotheka  saadab Kliendile viimase nõusolekul personaalseid pakkumusi ja uudiskirju. Pakkumusi võib saata Kliendi kontaktandmetel, mis on kogutud kliendikaardi vormistamisel või muul viisil Kliendi käest (nt iseteeninduses). Otseturundus võib põhineda profiilianalüüsil, mis ei oma õiguslikku tagajärge ega olulist mõju.  
4.2    Profiilianalüüs on Kliendi isikuandmete töötlemistoiming, mille raames analüüsitakse üldteavet, tehnilist teavet, kliendiprogrammi kasutamise teavet ja suhtlusandmed. Vastavat analüüsi on Apothekal õigus teha õigustatud huvi olemasolul. Profiilianalüüsil ei ole Kliendile õiguslikke tagajärgi ega märkimisväärset mõju. Analüüsi eesmärk on pakkuda Kliendile paremat teenust, sh Kliendile huvipakkuvaid tooteid, võttes arvesse Kliendi eelistusi.  
4.3    Apotheka Kliendiprogrammi raames osaleb ostu kliendikaardiga registreerinud Klient kampaaniates ja loosides, kui on täidetud kampaania tingimused. Vastavas töötlustoimingus töödeldaks isikuandmeid ainult vajalikus määras, st vastavalt kampaania tingimuste täitmise kontrolliks – üldjuhul ostu(de) aeg, summa, tootegrupp, ostutšeki nr, Apotheka Kliendiprogrammi kliendiks olemise fakt. Kliendil on õigus keelata enda loosidesse lisamine, kirjutades andmekaitse@allium.upi.ee. Isikul on võimalik auhinnast loobuda. Võitjate väljakuulutamine ei ole avalikkusele isikustatud vormis. Vastav töötlus toimub õigustatud huvi või võitja nõusoleku alusel. 
4.4    Apotheka võib koguda Kliendi kohta statistilisi andmeid kliendikaardiga registreeritud ostude kui ka muude Kliendi kohta seaduslikult kogutud andmete (nt eelistatud ostukoht, sugu, vanus, jmt) analüüsimise teel.

5.    ISIKUD, KELLEL ON ÕIGUS KLIENDIANDMEID TÖÖDELDA JA ANDMETE EDASTUS

5.1    Volitatud töötlus. Lisaks Apotheka Kliendiprogrammi pakkuvatele teistele Töötlejatele (vt punkt 1.8.6) on Apotheka õigustatud kasutama Kliendiandmete töötlemisel muid volitatud töötlejaid, kelleks on muuhulgas  ettevõtjad, kes pakuvad:
5.1.1    IT-tugiteenuseid (serveriruum, arendus ja tugi teenused - võidakse töödelda kõiki Kliendiandmeid);
5.1.2    turundusteenused (analüütika, kirjade saatmise teenusepakkujad, SEO – üldjuhul kontaktid, kliendistaatuse fakt; profileerimise ja analüütika puhul võidakse töödelda kõiki andmeid);
5.1.3    kliendihaldus (andmed minimaalselt vajalikus mahus). 
Kliendiandmete edastamisel volitatud töötlejale tagab vastutav töötleja, et volitatud töötlejad töötlevad Kliendiandmeid vastutava töötleja juhiste kohaselt, täidavad konfidentsiaalsusnõudeid ja rakendavad kohaseid turvameetmeid.
5.2    Volitatud töötlejad, kes osutavad Apothekale teenuseid nagu näiteks IT-teenus, turundusteenus, kliendikirjade väljasaatmise platvormi teenus, jmt, on ligipääs Kliendiandmetele niivõrd kui see on teenuse osutamiseks möödapääsmatult vajalik. Oma klientide andmetele on piiratud juurdepääs ka Kliendiprogrammiga liitunud Apotheka brändi all tegutsevatel apteekidel, Apteegi Beauty OÜ-l (Apotheka Beauty) ja Pet City OÜ-l (Pet City lemmikloomapoed). Kliendiprogrammi hüvesid pakkuv Töötleja ei näe temaga mitteseotud andmeid Kliendi kohta – näiteks ei näe Pet City pood Kliendi ostuajalugu apteekidest.
Juhime tähelepanu, et Apotheka Kliendiprogrammi Töötlejad - Apotheka kaubamärgi all tegutsevad apteegid, Pet City OÜ ja Apteegi Beauty OÜ on Kliendiprogrammis isikuandmete töötlemisel volitatud töötlejad. Kliendiprogrammi osas volitatud töötlejaks olemine ei mõjuta Apotheka apteekide, Apteegi Beauty OÜ ja Pet City OÜ vastutava töötleja rolli enda teenuste pakkumisel oma klientidele. Kliendiprogrammi vastutav töötleja on Allium UPI OÜ (Tingimustes defineeritud kui Apotheka).
5.3    Teised töötlejad. Kliendiandmeid võidakse edastada ka:
5.3.1    andmete saamiseks õigustatud ametiasutustele, näiteks uurimisasutused, õiguskaitseorganid, järelevalveasutused. Apotheka kaalub päringu sisu ja õiguspärasust ning edastab minimaalselt vajalikud andmed.
5.3.2    õigus- ja finantskonsultantidele ja muudele konsultantidele ja kontserni sees teenuste osutamisel kontserni ettevõtetele. Olenevalt vajadusest võidakse töödelda kõiki isikuandmeid.
5.3.3    (potentsiaalse) tehingu osapooltele ja tehingu nõustajatele - kui Apotheka või Apotheka kontserni ettevõte või selle osa (käitis) on seotud ühinemise, omandamise või varade müümise või ostmisega, võidakse isikuandmeid edastada ja saada vastava tehingu läbiviimiseks ja nõustamiseks vajalikus mahus. Sellisel juhul on töötluse õiguslik alus õigustatud huvi.
Kui soovid lisainfot kasutusel olevate koostööpartnerite ja volitatud töötlejate osas, kirjuta e-postile andmekaitse@allium.upi.ee.
5.4    Töötluse asukoht.  Kliendiandmeid ei edastata Euroopa Majanduspiirkonnast („EMP“) välja. Kui tekib olukord, kus isikuandmeid on vaja EMP-ist välja saata, jälgitakse seda tehes IKÜM-ist tulenevaid nõudeid (st ainult riikidesse/asutustesse, kus on tagatud piisav kaitse isikuandmetele või kasutades EL standard klausleid või muid IKÜM-is lubatud viise).

6.    ANDMETE SÄILITAMISE TÄHTAEG

6.1    Apotheka lähtub Kliendiandmete töötlemisel nende töötlemise eesmärgist ning ei töötle Kliendiandmeid kauem kui vajalik. Säilitamise perioodid võivad põhineda lepingul (s.o Kliendiprogrammi tingimused) Kliendiga, Apotheka õigustatud huvil või kohalduval õigusel. Kliendilt kogutud andmed (üldteave) anonümiseeritakse 2 aasta möödumisel, kui Klient ei ole 2 aasta jooksul kordagi kliendikaarti kasutanud või on lõpetanud Kliendiprogrammi liikme staatuse. Ostuajalugu ja teenuste ajalugu säilitakse kuni 10 aastat. Raamatupidamise andmeid säilitatakse 7 aastat. Nõusoleku alusel kogutud isikuandmed kustutatakse, kas 2 aasta jooksul kliendikaardi viimasest kasutamisest või kui Klient kustutamist soovib. Apotheka andmebaasi logisid hoitakse 10 aastat.

7.    ISIKUANDMETE TURVALISUS JA INTSIDENDID

7.1    Turvalisus. Apotheka kasutab erinevaid korralduslikke ja tehnilisi turvameetmeid, et tagada isikuandmete konfidentsiaalsus ja turvalisus. Muuhulgas on kasutusel ligipääsude haldussüsteemid, pahavaratõrje (kus kohane), süsteemide seire ja testimine. Lisaks koolitatakse töötajaid seoses infoturbe ja isikuandmete kaitse küsimustega ning kasutatakse selliseid koostööpartnereid, kes järgivad valdkonna turustandardile vastavaid turvanõudeid.
7.2    Intsidendid.  Apothekal on olemas intsidendist teavitamise protseduur. Isikuandmetega seotud intsidendi korral teeb Apotheka endast parima, et leevendada juhtunu tagajärgi ja vähendada sarnaseid riske tulevikus. Apotheka lähtub intsidendist teavitamisel IKÜM-i nõutest. 

8.    ERAISIKUST KLIENDI ÕIGUSED

Eraisikust Kliendil on Apotheka poolt tema isikuandmete töötlemisega seoses järgnevad õigused:
8.1    Esitada taotlus oma ebaõigete isikuandmete parandamiseks, kui need on ebapiisavad, väärad või puudulikud.
8.2    Võtta tagasi oma nõusolek isikuandmete töötlemiseks, kui andmeid töödeldakse nõusoleku alusel (nt nõusolek otseturunduspakkumuste saamiseks millest saab loobuda e-kirjas oleva loobumislingi kaudu; samuti saab Klient oma nõusolekuid näha ja muuta iseteeninduses ning nõusolekut saab tagasi võtta kirjutades andmekaitse@allium.upi.ee). Nõusoleku tagasivõtmine ei mõjuta eelneva töötluse õiguspärasust.
8.3    Piirata oma isikuandmete töötlemist vastavalt kehtivale õigusele, muuhulgas ajal, kui Klient on esitanud taotluse oma isikuandmete parandamiseks või kustutamiseks ning Apotheka analüüsib, kas nõuet on võimalik täita.
8.4    Taotleda oma andmete kustutamist, nt kui andmeid töödeldakse nõusoleku alusel ning Klient võtab nõusoleku tagasi. Andmete kustutamist ei saa nõuda, kui isikuandmed, mille kustutamist taotletakse töödeldakse ka teistel alustel, nt lepingu või juriidilise kohustuse täitmiseks.
8.5    Saada oma isikuandmed, mida ta on ise esitanud ning mida töödeldakse nõusoleku alusel või lepingu täitmiseks, kirjalikult või elektroonselt, või kui see on tehniliselt võimalik, edastada oma andmed teisele teenusepakkujale (õigus andmete ülekandmisele).
8.6    Saada infot, kas Apotheka töötleb tema isikuandmeid ning saada sellistest  andmetest ülevaade, sh koopia.
8.7    Esitada vastuväiteid oma isikuandmete töötlemise suhtes, kui andmete töötlemine põhineb Apotheka õigustatud huvil, nt profiilianalüüsil eesmärgiga pakkuda Kliendile tema profiilile vastavaid tooteid.
8.8    Tutvuda enda isikuandmete töötlemist hindava õigustatud huvi hinnanguga. Selleks kirjuta e-postile: andmekaitse@allium.upi.ee. 
8.9    Apotheka Kliendiprogrammi raames ei kasutata sellist profileerimist ega automaatotsuseid, mis vastaks IKÜM artiklile 22. Kui Apotheka hakkab kasutama IKÜM art 22 mõttes automaatotsust või profileerimist, millel on õiguslik tagajärg või märkimisväärne mõju, siis annab Apotheka sellest teada ja võimaldab andmesubjektile seotud õigused – mis juhul on andmesubjektil oma konkreetsest olukorrast lähtudes õigus esitada igal ajal vastuväide teda puudutavate isikuandmete töötlemisele automatiseeritud otsuste ja profiilianalüüsi alusel ning nõuda inimsekkumist. Andmesubjekt võib nõuda ka selgitust automatiseeritud otsuse tegemise loogika kohta.
8.10    Kõik Kliendi poolt käesolevas punktis 8 nimetatud taotlused tuleb esitada punktis 1.4 toodud kontaktidel digitaalselt allkirjastatud või omakäeliselt allkirjastatud vormis. Palume päringud ja taotlused allkirjastada, et tagada andmekaitse õiguste võimaldamine õigele isikule. Apotheka vastab taotlustele hiljemalt IKÜM-is antud tähtaja jooksul, s.o üldjuhul 30 päeva jooksul pöördumise saamisest. Keerukamate taotluste puhul on lubatud vastamise tähtaega pikendada.
8.11    Esitada kaebus isikuandmete töötlemise kohta Andmekaitse Inspektsioonile (www.aki.ee), kui ta leiab, et tema isikuandmeid on töödeldud õigustamatult või vastuolus kehtivate õigusnormidega. Kui olete teise EMP riigi andmesubjekt on teil õigus oma kaebus esitada ka oma elu-/asukoha riigi andmekaitse järelevalve asutuse kaudu. Teiste EMP andmekaitse järelevalve asutuste kontaktid on leitavad siin. 

 Ver. 5. kehtib alates 03. juuni 2024. a