On erittäin tärkeää ymmärtää, että me Phorestilla teemme parhaamme varmistaaksemme, että käyttämäsi ohjelmisto on 100-prosenttisesti GDPR-yhteensopiva, mutta on joitain asioita, joihin emme voi antaa neuvoa, koska emme ole virallisia tietosuojavaltuutettuja. Tästä syystä voimme antaa sinulle vain yleisiä neuvoja laista.


Mikä on GDPR?

EU:n yleinen tietosuoja-asetus eli GDPR (General Data Protection Regulation) on asetus koskien tietosuojaa ja henkilötietojen käsittelyä Euroopan Unionissa. Se vaikuttaa sinuun, salonkiisi ja salonkisi asiakastietoihin. 

Olemme täällä auttaaksemme myös GDPR-asetukseen liittyvissä asioissa, mutta voimme kuitenkin neuvoa vain siinä kuinka jäjrestelmäsi voi olla vaatimusten mukainen, emme siinä kuinka salonkisi on kokonaisuudessaan GDPR:n vaatimukset täyttävä. Saadaksesi lisää tietoa, kuinka salonkisi voi olla vaatimusten mukainen Phorest-järjestelmäsi ulkopuolella, sinun tulisi olla yhteydessä ulkopuoliseen neuvonantajaan.

Saadaksesi hieman paremman käsityksen kuinka Phorest on valmistautunut uudistukseen, meillä on opas joka auttaa sinua ymmärtämään mitä tapahtuu ja miksi. Löydät sen täältä: https://www.phorest.com/fi/gdpr/

Mikä on 'henkilötieto'?

Henkilötiedolla tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyvää tietoa. Tunnistettavissa oleva luonnollinen henkilö on joku, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetiedon tai yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella.

Sinulle ja salongillesi tämä tarkoittaa muun muassa seuraavia:

  • Nimi
  • Syntymäpäivä
  • Osoite/sähköpostiosoite
  • Puhelinnumero
  • Valokuva
  • Vakuutustiedot
  • Terveystiedot

Mikä on rekisterinpitäjä? Mikä on tietojenkäsittelijä?

GDPR tuntee 2 tietosuojasta vastuussa olevaa osapuolta - rekisterinpitäjän ja tietojen käsittelijän. Salonkina, olet rekisterinpitäjä. Sinä keräät tiedot ja valitset mitä tietoja kerätään, miten ne kerätään ja miten tietoja käytetään hoidoissa, markkinoinnissa, tuotemyynnissä jne. Sinä siis teet päätökset siitä, kuinka henkilötietoja pitäisi kerätä ja käyttää. 

Phorest Salon Software on tietojen käsittelijä, sillä se on työkalu joka voi auttaa sinua toteuttamaan tämän. Salongit jotka käyttävät järjestelmäämme käyttävät sitä käsitelläkseen ja kerätäkseen henkilötietoja - tämän takia on tärkeää, että järjestelmä on GDPR:n mukainen. 

Esimerkiksi työntekijöidesi henkilötietojen suhteen olet edelleen rekisterinpitäjä, mutta kirjanpitäjäsi tai kirjanpitojärjestelmäsi on tietojen käsittelijä. Tämä on myös syy miksi pelkästään vaatimukset täyttävä järjestelmä ei tee kenestäkään automaattisesti 100% GDPR:n vaatimukset täyttävää. Tämä on myös syy miksi me emme voi neuvoa sinua yleisesti liittyen GDPR-asetukseen. Sinun tulee miettiä kuinka sinä ja kaikki osalliset kolmannet osapuolet käsittelevät henkilötietoja.


Mikä on suostumus?

Suostumus on tärkeä avainsana tässä uudessa asetuksessa. Kaikessa on kyse kuluttajan oikeuksien suojelemisesta, vahvistamisesta ja siitä, että he ovat entistä tietoisempia siitä mitä yritykset tekevät heidän henkilötiedoillaan. GDPR asettaa korkeat vaatimukset suostumukselle, sillä se on laillinen perusta tietojen käsittelylle. Asiakkaasi tulee olla täysin tietoinen siitä mitä tietoja keräät, miksi keräät niitä ja mihin käytät niitä.

Heille tarvitsee myös antaa aktiivisesti mahdollisuus oikeasti valita haluavatko he markkinointiviestejä. Ei enää valmiiksi ruksattuja valintaruutuja. Sinun täytyy olla tarkka ja selkeä. Suostumuksen pitää olla annettu vapaasti ja sinun täytyy pitää kirjaa milloin ja miten suostumus on annettu. Tarvittaessa tarkasta ja päivitä suostumus.


Mikä on 'asiakastietojen säilytysaika'?

GDPR:n alla sinun tulee pyrkiä kerättävien tietojen minimointiin, eli kerätä mahdollisimman vähän tietoja ja säilyttää niitä vain niin kauan kuin on tarvetta tai kuten laki vaatii. Erilaisilla tiedoilla on erilaisia säilytysaikoja. Sinun tulisi varmistaa vakuutusyhtiöltäsi kuinka kauan sinun tulisi esimerkiksi säilyttää asiakkaan terveystietoja. Työntekijöiden tiedot ovat toinen esimerkki henkilötiedoista, joita sinun lain mukaan tarvitsee säilyttää tietyn aikaa - huolimatta siitä jos kyseinen henkilö pyytää 'tulevansa unohdetuksi' ja kaikkien tietojensa poistoa. 

Voit asettaa tietojen säilytysajat Phorestissa, katso ohje täältä.


Mikä on 'aukoton kirjausketju' ja miksi tarvitsen sellaisen?

Aukottomassa kirjausketjussa on kaikki toimet, joita on tehty henkilötietoihin liittyen. Kaikki toimet ja käsittelyt, siitä hetkestä lähtien kun joku liikkeessäsi on kerännyt asiakkaan tiedot, aina siihen hetkeen asti kun asiakas pyytää poistamaan ne, täytyy pystyä näyttämään ja todistamaan. Kuka työntekijä oli kyseessä, tapahtuman ajankohta ja mikä oli syynä tietojen käsittelyyn ja oliko asiakkaalta suostumus siihen.

Jos et käytä järjestelmää, voit kokea hankalaksi todistaa milloin työntekijä on käsitellyt asiakkaan tietoja, paitsi jos sinulla on jotain mihin jokainen kirjoittaa sen tarkasti ylös ja laittaa allekirjoituksensa. Silloinkin kun käytät järjestelmää, varmista että järjestelmäsi on GDPR:n mukainen ja käyttää esimerkiksi PIN-koodeja sekä pitää automaattisesti tarkkaa kirjaa kaikista toimista ja tapahtumista, jotka koskevat asiakkaasi tietoja. (Älä pelkää - olemme pitäneet huolta että Phorest tekee tämän!)

Sinun täytyy pystyä todistamaan aukoton kirjausketju siinä tapauksessa että sinulle tehdään tarkastus tai jos asiakas tai työntekijä tekee pyynnön päästä tietoihin. Tämä on tärkeä osa GDPR:n vaatimusten täyttämistä.


Mitä tapahtuu, jos salonkini ei ole GDPR:n mukainen?

  • Muutama asia voi tapahtua jos et toimi GDPR:n mukaisesti, kaikki riippuu olosuhteista ja rikkeen vakavuudesta. Jos voit osoittaa, että teet parhaasi ollaksesi vaatimusten mukainen, voit selvitä vähemmän vakavilla seuraamuksilla tapaustasi tutkivilta viranomaisilta, jotka tutkivat yrityksesi ja prosessisi.

  • Vaatimusten täyttämättä jättämisen seuraamuksilla on 4 tasoa: Varoitus, huomautus, kaiken tietojenkäsittelyn keskeyttäminen ja lopulta sakko, joka voi olla jopa 4% vuosittaisesta liikevaihdostasi tai 20 miljoonaa euroa.

  • Kuten näet - on tärkeää olla niin hyvin valmistautunut kuin vain mahdollista!


Onko suullisen suostumuksen kysyminen asiakkaalta riittävä?

Kyllä, suullinen suostumus on riittävä. Jos haluat kirjallisen jäljen, sinun tulisi käyttää konsultaatiolomakkeita tai Smart Client Cardia, jotka asiakas voi täyttää. Tiedot näistä päivittyvät automaattisesti asiakaskorttiin.


Mitä tietoja voin säilyttää asiakkaista?

Voit säilyttää niitä tietoja mitä tarvitset ja mikä liittyy asiakkaiden hoitoihin. Sinun tulisi olla tietoinen siitä mitkä tiedot eivät ole sopivia säilytettäväksi. Esimerkiksi asiakkaan syntymäpäivä on ok, sillä tarvitset sen heidän ikänsä varmistamiseksi tiettyjä hoitoja varten. Heidän ammattinsa ei taas välttämättä ole sopivaa säilyttää sillä et tarvitse tietoa mihinkään. Esimerkiksi konsultaatiolomakkeissa sinun ei tulisi kysyä tietoja jotka eivät liity mitenkään heidän hoitoonsa.


Entä asiakkaan korttitiedot?

Asiakkaasi korttitietoja säilytetään nettiajanvarauksia varten, jotta voit periä No Show -maksuja, jos tällaisia tapahtuu. Niitä säilyttää Stripe-niminen yritys. Jos he pyytävät näiden tietojen poistamista järjestelmästä, voit ilmoittaa tästä meille niin voimme poistaa ne puolestasi.


Mikä virallinen taho on vastuussa tietosuojasta?

Jos kaipaat lisää tietoa asetuksesta, virallinen tietosuojavaltuutettu Suomessa:

Tietosuojavaltuutettu

Ratapihantie 9, 00520 Helsinki, Suomi

https://tietosuoja.fi/etusivu


Jos tarvitset selvennystä näihin kohtiin, otathan yhteyttä GDPR-konsulttiisi tai ota Phorestiin yhteyttä  osoitteessa tuki@phorest.fi

Oliko tämä artikkeli hyödyllinen?
4/6 koki tästä olevan apua