MIKÄ ON GDPR JA MITÄ SIITÄ HYÖDYTÄÄN?
GDPR, General Data Protection Regulation on EU:n tietosuoja-asetus, joka tuli voimaan toukokuussa 2016. Asetukseen sisältyy kahden vuoden siirtymäaika, joka päättyi 25.5.2018.
Kyseinen asetus koskee siis yksityishenkilöiden tietojen käsittelyä ja se parantaa sinunkin tilannettasi yksityishenkilönä. Yritysten tietojen käsittelyyn tämä kyseinen asetus ei vaikuta.
Muutokset hierojan asiakkaille ja sinulle yksityishenkilönä
- Parantaa oikeuttasi pitää omasta yksityisyydestäsi huolta
- Sinulla on oikeus kieltää henkilötietojesi käsittely
- Sinulla on oikeus tulla “unohdetuksi”, pl. potilastiedot joita potilastietolaki velvoittaa säilyttämään
- Saat paremmin tietoja kun henkilötietojasi käsitellään
- Voit siirtää halutessasi tietosi palveluntarjoajalta toiselle
- Tietoturvaloukkauksen (esim. tietojen vuodon sattuessa) ilmoitetaan siitä sinulle
Muutokset hierontayrittäjälle
- Suunnittelee tietosuojakysymykset kaikessa toiminnassansa entistäkin tarkemmin
- Mahdollistetaan edellä mainitut listauksen toimet asiakkaille hänen niin pyytäessä
- Pystyy todistamaan jälkikäteen, että on toimittu asetuksen mukaan
- Jos useamman henkilön yritys tai toimipiste, täytyy erikseen nimetä tietosuojavastaava
- Tämä siitä syystä, että terveydenhuollossa käsitellään arkaluontoista tietoa kuten terveystietoja
- Voi saada sanktion tai sakon, jos asetusta ei noudateta
KEITÄ HIEROJIA TÄMÄ SITTEN KOSKEE?
Yksinkertaistettuna voisi sanoa, että asetus koskee kaikkia hierojia joilla on asiakkaita. Eli kaikki, jotka käsittelevät jollain lailla henkilötietoja säännöllisesti ja meidän tapauksessa lisäksi terveystietoja. Ja koska laki velvoittaa pitää kirjaa potilaista ja käynneistä, kertyy heistä rekisteri.
Tietyt lait ja asetukset ovat koskettaneet hierojia terveydenhuollon ammattilaisina jo ennen kyseisen asetuksen voimaantuloa ja samankaltaisia asioita on nyt tullut muillekin yrittäjille tehtävälistoilleen.
KONKREETTISET ASIAT
SELOSTE KÄSITTELYTOIMISTA
Seloste käsittelytoimista tulee olla hierojalla tehtynä koska henkilötietojen käsittely ei ole satunnaista ja koska käsittelemme erityisiä tietoja (mm. potilastiedot). Myös muista säännöllisesti käsiteltävistä henkilötiedoista tulee olla tehtynä kyseinen seloste koska niistä muodostuu henkilörekisteri. Henkilötiedoiksi riitää mikä tahansa henkilöä yksilöivä tieto, kuten nimi, sähköpostiosoite tai syntymäaika.
Henkilörekistereitä voi olla vaikkapa:
- Potilasrekisteri
- Asiakasrekisteri
- Markkinointirekisteri
- Ajanvarausrekisteri
Henkilörekisteri muodostuu kaikista kirjauksista jotka sisältää henkilötietoja. Tehtiinpä ne sitten ruutupaperille, ajanvarauskalenteriin, markkinoinnin sähköpostilistoihin tai sähköiseen potilasrekisteriin.
Laki määrittää tietojen säilytysajat. Potilastietoja säilytetään siihen saakka kunnes potilaan kuolemasta on kulunut 12 vuotta tai jos siitä ei ole tietoa, 120 vuotta syntymästä. Muiden rekisterien tietoja säilytetään 12 vuotta viimeisestä kirjaamisesta. Tiedot voidaan tietysti poistaa tai tietoja muuttaa, jos rekisteröity niin pyytää. Asiakkaalla on myös oikeus saada tietää mitä tietoja rekisterissä hänestä on. Jatkuva asiakassuhde on kuitenkin peruste tietojen säilyttämiseksi. Rekistereihin ei saa säilyttää sellaista tietoa, joka sinne ei kuulu. Tietojen tulee lisäksi olla täsmällisiä ja paikkaansa pitäviä (vrt. ikä ja syntymävuosi).
Alkulistauksessa mainitaan myös tietoturvaloukkaukset. Tämä tarkoittaa tilannetta, jossa vaikkapa asiakastietoja varastetaan tai tietojärjestelmääsi murtaudutaan. Tällaisen sattuessa siitä täytyy ilmoittaa rekisterissä oleville.
HENKILÖTIETOJEN KÄYTTÄMINEN
Henkilötietoja ei saa käyttää mihinkään ulkopuoliseen ilman lupaa. Jos olet kerännyt sähköpostiosoitteita ajanvarauksen yhteydessä varausvahvistuksen lähettämiseksi, voit markkinoida samaa tuotetta tai palvelua jos ajanvaraus johtaa asiakkuussuhteeseen. Et saa kuitenkaan markkinoida sähköpostitse vaikkapa lisäravinteita (vaikka hän olisi asiakkaasi). Tämän kaltaiseen markkinointiin tarvitaan aktiivinen lupa. Ei riitä, että asian erikseen kieltää vaikkapa varauksen yhteydessä. Eikä rasti saa olla valmiina ruudussa:
Minulle ei saa lähettää markkinointiviestejä ○
Minulle saa lähettää markkinointiviestejä ○
Tietojen luovuttaminen kolmannelle osapuolelle vaatii samaan tapaan luvan erikseen.
TIETOJEN SÄILYTTÄMINEN
Henkilötietoja pitää säilyttää asianmukaisella tavalla, kuten lukitussa tai valvotussa tilassa. Tietoja ei myöskään tule olla sellaisten henkilöiden saatavilla, joiden varsinaisiin tehtäviin se ei kuulu. Tilanne voisi tulla kyseeseen vaikkapa potilasrekisterin ylläpitämisessä yrityksessä, jossa hierojia ja kosmetologeja toimii samassa tilassa.
Jos rekisteri on sähköinen, täytyy huolehtia tietojen tallennuspaikasta. Valtaosa sähköisten rekisterien ylläpitävistä yrityksistä ovat huolehtineet GDPR:n mukaisista toimista, varsinkin jos ne toimivat EU:n alueella. Jos olet epävarma niin palveluntarjoajaltasi kysymällä voit selvittää onko järjestelmä GDPR:n mukainen.Jos palveluntarjoaja on EU:n tai ETA:n ulkopuolella, täytyy heidänkin toimia kyseisen asetuksen mukaan jos heidän palveluitaan haluaa käyttää.
MUUTA
Tietosuojavaltuutetun toimisto on tehnyt pohjan rekisterinpitäjän selosteelle käsittelytoimista. Muistakin ohjeista voit lukea täältä.