GDPR FAQ
Joitain yleisiä kysymyksiä liittyen GDPR-asetukseen
On erittäin tärkeää ymmärtää että me Phorestilla teemme parhaamme varmistaaksemme että ohjelmisto jota käytät on 100% GDPR:n mukainen, kuitenkin on joitain asioita joissa emme voi antaa neuvoja, sillä emme ole virallisia tietosuojavaltuutettuja. Tästä syystä voimme vain antaa joitain yleisiä ohjeita.
Mikä on 'henkilötieto'?
Henkilötiedolla tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyvää tietoa. Tunnistettavissa oleva luonnollinen henkilö on joku joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tuonnistetietojen kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetiedon tai yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella.
Sinulle ja salongillesi tämä tarkoittaa muun muassa seuraavia:
Nimi
Syntymäpäivä
Osoite/sähköpostiosoite
Puhelinnumero
Valokuva
Vakuutustiedot
Terveystiedot
Mikä on rekisterinpitäjä? Mikä on tietojenkäsittelijä?
GDPR tuntee 2tietosuojasta vastuussa olevaa osapuolta - rekisterinpitäjän ja tietojen käsittelijän. Salonkina, olet rekisterinpitäjä. Keräät tiedot ja valitset mitä tietoja kerätään, miten ne kerätään ja miten tietoja käytetään hoidoissa, markkinoinnissa, tuotemyynnissä jne. Sinä siis teet päätökset kuinka henkilötietoja pitäisi kerätä ja käyttää.
Phorest Salon Software on tietojen käsittelijä, sillä se on työkalu joka voi auttaa sinua toteuttamaan tämän. Salongit jotka käyttävät järjestelmäämme käyttävät sitä käsitelläkseen ja kerätäkseen henkilötietoja - tämän takia on tärkeää että järjestelmä on GDPR:n mukainen.
Esimerkiksi, työntekijöitesi henkiltietojen suhteen olet edelleen rekisterinpitäjä, mutta kirjanpitäjäsi tai kirjanpitojärjestelmäsi on tietojen käsittelijä. Tämä on myös syy miksi pelkästään vaatimukset täyttävä järjestelmä ei tee kenestäkään automaattisesti 100% GDPR:n vaatimukset täyttävää. Tämä on myös syy miksi me emme voi neuvoa sinua yleisesti liittyen GDPR-asetukseen. Sinun tulee miettiä kuinka sinä ja kaikki osalliset kolmannet osapuolet käsittelevät henkilötietoja.
Mikä on suostumus?
Suostumus on tärkeä avainsana tässä uudessa asetuksessa. Kaikessa on kyse kuluttajan oikeuksien suojelemisesta, vahvistamisesta ja siitä että he ovat entistä tietoisempia mitä yritykset tekevät heidän henkilötiedoillaan. GDPR asettaa korkeat vaatimukset suostumukselle sillä se on laillinen perusta tietojen käsittelylle. Asiakkaasi tulee olla täysin tietoinen siitä mitä tietoja keräät, miksi keräät niitä ja mihin käytät niitä.
Heille tarvitsee myös antaa aktiivisesti mahdollisuus oikeasti valita haluavatko he markkinointiviestejä. Ei enää valmiiksi ruksattuja valintaruutuja. Sinun täytyy olla tarkka ja selkeä. Suostumuksen pitää olla annettu vapaasti ja sinun täytyy pitää kirjaa milloin ja miten suostumus on annettu. Tarvittaessa tarkasta ja päivitä suostumus.
Mikä on 'asiakastietojen säilytysaika'?
GDPR:n alla sinun tulee pyrkiä kerättävien tietojen minimointiin, eli kerätä mahdollisimman vähän tietoja ja säilyttää niitä vain niin kauan kuin on tarvetta tai kuten laki vaatii. Erilaisilla tiedoilla on erilaisia säilytysaikoja. Sinun tulisi varmistaa vakuutusyhtiöltäsi kuinka kauan sinun tulisi esimerkiksi säilyttää asiakkaan terveystietoja. Työntekijöiden tiedot ovat toinen esimerkkihenkilötiedoista joita sinun lain mukaan tarvitsee säilyttää tietyn aikaa - huolimatta siitä jos kyseinen henkilö pyytää 'tulevansa unohdetuksi' ja kaikkien tietojensa poistoa.
Voit asettaa tietojen säilytysajat Phorestissa, katso ohje täältä
Mikä on 'aukoton kirjausketju' ja miksi tarvitsen sellaisen?
Aukototomassa kirjausketjussa on kaikki toimet, joita on tehty henkilötietoihin liittyen. Kaikki toimet ja käsittelyt, siitä hetkestä lähtien kun joku liikkeessäsi on kerännyt asiakkaan tiedot, aina siihen hetkeen asti kun asiakas pyytää poistamaan ne, täytyy pystyä näyttämään ja todistamaan. Kuka työntekijä oli kyseessä, tapahtuman ajankohta ja mikä oli syynä tietojen käsittelyyn ja oliko asiakkaalta suostumus siihen.
Jos et käytä järjestelmää, voit kokea hankalaksi todistaa milloin työntekijä on käsitellyt asiakkaan tietoja, paitsi jos sinulla on jotain mihin jokainen kirjoittaa sen tarkasti ylös ja laittaa allekirjoituksensa. Silloinkin kun käytät järjestelmää, varmista että järjestelmäsi on GDPR:n mukainen ja käyttää esimerkiksi PIN-koodeja sekä pitää automaattisesti tarkkaa kirjaa kaikista toimista ja tapahtumista, jotka koskevat asiakkaasi tietoja. (Älä pelkää - olemme pitäneet huolta että Phorest tekee tämän!)
Sinun täytyy pystyä todistamaan aukoton kirjausketju siinä tapauksessa että sinulle tehdään tarkastus tai jos asiakas tai työntekijä tekee pyynnön päästä tietoihin. Tämä on tärkeä osa GDPR:n vaatimusten täyttämistä.
Mitä tapahtuu jos salonkini ei ole GDPR:n mukainen?
Muutama asia voi tapahtua jos et toimi GDPR:n mukaisesti, kaikki riippuu olosuhteista ja rikkeen vakavuudesta. Jos voit osoittaa että teet parhaasi ollaksesi vaatimusten mukainen, voit selvitä vähemmän vakavilla seuraamuksilla tapaustasi tutkivilta viranomaisilta, jotka tutkivat yrityksesi ja prosessisi.
Vaatimusten täyttämättä jättämisen seuraamuksilla on 4 tasoa: Varoitus, huomautus, kaiken tietojenkäsittelyn keskeyttäminen ja lopulta sakko, joka voi olla jopa 4% vuosittaisesta liikevaihdostasi tai 20 miljoonaa euroa.
Kuten näet - on tärkeää olla niin hyvin valmistautunut kuin vain mahdollista!
Onko suullisen suostumuksen kysyminen asiakkaalta riittävä?
Kyllä, suullinen suostumus on riittävä. Jos haluat kirjallisen jäljen, sinun tulisi käyttää konsultaatiolomakkeita tai Smart Client Cardia, jotka asiakas voi täyttää. Tiedot näistä päivittyvät automaattisesti asiakaskorttiin.
Mitä tietoja voin säilyttää asiakkaista?
Voit säilyttää niitä tietoja mitä tarvitset ja mikä liittyy asiakkaiden hoitoihin. Sinun tulisi olla tietoinen siitä mitkä tiedot eivät ole sopivia säilytettäväksi. Esimerkiksi, asiakkaan syntymäpäivä on ok, sillä tarvitset sen heidän ikänsä varmistamiseksi tiettyjä hoitoja varten. Heidän ammattinsa ei taas välttämättä ole sopivaa säilyttää sillä et tarvitse tietoa mihinkään. Esimerkiksi konsultaatiolomakkeissa sinun ei tulisi kysyä tietoja jotka eivät liity mitenkään heidän hoitoonsa.
Mikä virallinen taho on vastuussa tietosuojasta?
Jos kaipaat lisää tietoa asetuksesta, virallinen tietosuojavaltuutettu Suomessa:
Tietosuojavaltuutettu
Ratapihantie 9, 00520 Helsinki, Suomi