Tietosuoja-asetus kampaamoissa

GDPR – mitä sinun tulee siitä tietää?

GDPR on lyhenne sanoista General Data Protection Regulation ja tarkoittaa suomeksi uutta EU:n yleistä tietosuoja-asetusta. Tietosuoja-asetus astuu voimaan toukokuussa 2018, josta alkaen henkilötietojen käsittelyn on oltava tietosuoja-asetuksen mukaista.

Huom! Olemme koonneet aiheesta yleisen, tiivistetyn ohjeistuksen. Vastuu asetukseen tutustumisesta sekä toteuttamisesta omassa liiketoiminnassa on jokaisella yrityksellä itsellään.

GDPR - kampaamo

Mikä on GDPR ja miten se vaikuttaa yritykseeni?

GDPR:n tarkoituksena on ajantasaistaa ja yhtenäistää tietosuojan sääntelyä EU:n jäsenmaissa. Tietosuoja-asetuksen tavoitteena on lisätä läpinäkyvyyttä yritysten henkilötietoköytäntöihin sekä helpottaa kuluttajia hallitsemaan heistä olemassa olevaa tietoa. Asetus sääntelee mm. henkilötietojen keräämistä, käsittelyä ja luovuttamista sekä näihin liittyviä oikeuksia ja velvollisuuksia.

Lähes kaikki yritykset käsittelevät toiminnassaan henkilötietoja. Kampaamoalalla henkilötietojen lisäksi käsitellään myös muuta arkaluontoiseksi luokiteltavaa tietoa, kuten tietoa asiakkaiden sairauksista, allergioista ja lääkityksestä. Siksi tietosuoja-asetuksen ymmärtäminen ja noudattaminen on hyvin tärkeää myös kampaamoalan yrittäjille.

GDPR on laajempi kuin yksikään muu tietosuojalaki, joten siitä tiedotetaan laajasti jäsenmaissa. Kansalaiset halutaan saada tietoisiksi oikeuksistaan tilanteissa, joissa yritykset käyttävät heidän henkilötietojaan. Tietoisuus voi herättää kysymyksiä, joihin yrittäjän on oltava valmistautunut vastaamaan ja todistamaan, että tietoja käsitellään turvallisesti ja GDPR:n mukaisesti.

Mikäli tarkastuksessa tulee ilmi, että yritys noudattaa tietosuoja-asetusta puutteellisesti, voi sakko olla maksimissaan 4 % yhtiön liikevaihdosta, 20 miljoonaan euroon saakka.

Mihin tietoihin GDPR vaikuttaa kampaamossa?

Tietosuoja-asetus koskee kaikkia seuraavia tietoja:

  • tiettyyn henkilöön liittyvät tiedot: esim. nimi, syntymäaika, henkilötunnus, osoite, puhelinnumero
  • Kuvat ja videot, joista henkilön voi tunnistaa
  • Terveyteen liittyvät tiedot, kuten sairaudet tai lääkitys*

*Terveyteen liittyvät tiedot kuuluvat arkaluonteisiin tietoihin, joita saa käsitellä vain sellaisissa tapauksissa, joissa henkilön turvallisuuden ja terveyden vuoksi tietoa tarvitaan, ja ainoastaan hänen omasta suostumuksestaan.


Henkilötietojen käsittelyn periaatteet

Henkilötietojen käsittelyssä on noudatettava tietosuojaperiaatteita. Tiedot on kerättävä tiettyä, nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteen sopimattomalla tavalla.

Henkilötietojen on oltava rekisterin käyttötarkoituksen kannalta asianmukaisia, olennaisia ja tarpeellisia. Henkilötietojen käsittelyssä on varmistettava turvallisuus. Tiedot on suojattava luvattomalta ja lainvastaiselta käsittelyltä. Rekisterinpitäjän on varmistettava, että tiedot eivät häviä, tuhoudu tai vahingoitu vahingossa.

Rekisterinpitäjä vastaa siitä, että henkilötietojen käsittelyn periaatteita on noudatettu. Tarpeen vaatiessa hänen on pystyttävä osoittamaan se. Näyttönä voi toimia dokumentaatio, ohjeet ja sopimukset.

Laillinen syy henkilötietojen käsittelyyn

Jotta voidaan toimia GDRP:n mukaisesti, yrityksen täytyy todentaa asiakkaiden henkilötietojen keräämiselle olevan laillisia perusteita.

Tietosuoja-asetuksessa määritellään kuusi syytä, joiden perusteella henkilötietoja saa laillisesti käsitellä. Vähintään yhden näistä kuudesta edellytyksestä tulee täyttyä:

  • oikeutettu etu
  • suostumus
  • elintärkeä tai yleinen etu
  • sopimus
  • lakisääteinen velvoite
  • julkinen tehtävä

Oikeutettu etu tarkoittaa sitä, että rekisterinpitäjän ja rekisteröidyn välillä on asianmukainen ja merkityksellinen suhde, kuten asiakkuus tai jäsenyys.

Suostumus tarkoittaa, että rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn erityistä tarkoitusta varten. Rekisterinpitäjän tulee dokumentoida saatu suostumus, koska se pitää pystyä todentamaan. Esimerkiksi allergiasta tai muista terveydellisistä seikoista talletettu tieto, jolla voi olla vaikutusta kampaamossa käytettäviin tuotteisiin ja turvallisen työskentelyn takaamiseen.

Tutustu muihin syihin >>

Lapsiasiakkaat ja GDPR

Tietosuoja-asetus antaa erityistä suojaa lasten henkilötiedoille. Alle 16-vuotiaan lapsen henkilötietoja saa käsitellä vain huoltajan suostumuksella. Lapsesta kerättyjä tietoja ei saa käyttää laajempaan tarkoitukseen kuin voidaan katsoa käyttötarkoituksen perusteella tarpeelliseksi.

GDPR - kampaamo

Asiakkaalta tarvittavat suostumustiedot

Yrityksellä täytyy olla asiakkaan suostumuksesta dokumentti, joka todistaa että asiakas on valinnut luovuttavansa sinulle tietojansa. Sinulla tulee myös olla perustelu tai vastaus seuraaviin, tietoja koskeviin kysymyksiin:

  • Miksi ja mitä tarkoitusta varten sinulla on tiedot?
  • Kuinka hankit ne?
  • Kuinka säilytät tietoja?
  • Tietojen turvallisuus; kenellä on pääsy niihin?
  • Kuinka pitkään aiot säilyttää tietoja? Ovatko ne edelleen sinulle tarpeellisia?

Yksilön oikeudet – mitä kuluttaja voi vaatia GDPR:n nojalla?

Tietosuoja-asetuksessa on määritelty rekisteröityjen (kuluttajat, asiakkaat) oikeudet, joista rekisterinpitäjän tulee huolehtia.

Kuluttajalla on oikeus

  • saada tietoa henkilötietojen käsittelyn käytännöistä
  • saada haltuunsa kaikki omat tietonsa
  • oikaista häneen liittyviä tietoja
  • tulla unohdetuksi, eli vaatia tietojen poistamista
  • tietojen siirtoon, esim. toiselle yritykselle
  • rajoittaa tietojen käsittelyä, esim. kieltää tietojen käyttö suoramarkkinointiin
  • vastustaa käsittelyä, esim. vaatia, että henkilötietoja ei saa käyttää (ei kiellä tietojen säilyttämistä)

Kuluttajan pääsy omiin henkilötietoihin

GDPR:n nojalla jokainen kuluttaja voi pyytää pääsyä kaikkiin omiin tietoihinsa, joita yritys henkilöstä säilyttää. Yrityksen pitää pyydettäessä toimittaa tieto 30 päivän kuluessa, ilman veloituksia.

Asiakkaalle tulee toimittaa:

  • Kaikki yhteystiedot ja henkilötiedot
  • Kaikki terveyttä koskevat tiedot
  • Syy, miksi säilytät tietoja
  • Mihin tietoja on käytetty ja tullaan käyttämään
  • Henkilöt, joille olet lähettänyt tai joiden kanssa olet jakanut tiedot (asiakkaan suostumuksella)
  • Miten tiedot on kerätty
  • Kopio asiakkaan antamasta suostumuksesta
  • Kuinka pitkään olet säilyttänyt tietoja ja kuinka pitkään aiot säilyttää tietoja, mikäli asiakas on pyytänyt oikeutta tulla unohdetuksi.

GRPR - kampaamo

GDPR koskee kaikkia yrityksiä

GDPR on tulevaisuudessa vakiintunut osa yrityksen liiketoimintaa – eli ei ollenkaan paha tai pelottava asia, päin vastoin! Tietosuoja-asetus hyödyntää kaikkia, lisää avoimuutta, turvallisuutta sekä kuluttajien luottamusta yrityksiin.

GDPR-muistilista:

1. Tunnista roolisi – oletko rekisterinpitäjä vai henkilötiedon käsittelijä?

  • Tietojen laillisesta käsittelystä vastuussa ovat rekisterinpitäjä ja tietojen käsittelijä. Ne voivat olla molemmat yrityksen sisällä määritelty henkilö(t) tai tietojen käsittely, eli yrityksen keräämien asiakastietojen hallinta, on ulkoistettu.
  • Rooli vaikuttaa keskeisesti siihen, millaisia velvollisuuksia ja vastuita yrityksellä on, ja mitkä asiat ovat yhteistyökumppanin vastuulla. Tärkeintä on, ettet ajattele ”GDPR ei koske minua”, vaan selvität, mikä koskee sinua ja mikä ei.

2. Tarkista henkilötietojen käsittelyn laillisuus

  • Tee listaus, mitä henkilötietoja yrityksessä kerätään, miten tietoja käsitellään ja missä ne sijaitsevat.
  • Varmista, että käsittelet henkilötietoja turvallisesti ja tietosuoja-asetuksen mukaisesti. Päivitä tarvittaessa toimintatapojasi.
  • Varmista, että rekisteristäsi löytyville henkilötiedoille on perusteltu syy, ja muista kysyä lupa jatkossa asiakkailta tallentaessasi heistä tietoa, julkaistessasi kuvia esim. someen tms.
  • Hankkiudu eroon turhasta datasta.

3. Muista asiakkaan oikeudet

  • Varaudu toimittamaan asiakkaalle kaikki hänen tietonsa, joita yritykseltä löytyy.
  • Tarkista, että tietojen muokkaaminen ja poistaminen on tarpeen tullen mahdollista.
  • Kerro avoimesti toimintatavoistanne henkilötietojen kanssa.

4. Huolehdi tietoturvasta

  • Varmista, että henkilötietojen tietoturvasta on huolehdittu asianmukaisesti.
  • Dokumentoi tietoturvakäytäntö, jossa vastaat ainakin seuraaviin kysymyksiin: miten henkilötietoja käsitellään ja millä perustein, miten tietoturvasta huolehditaan ja ketkä ovat tekemisissä henkilötietojen kanssa.

7. Kouluta henkilöstö

  • Vastuuhenkilön on hyvä tiedottaa ja kouluttaa myös muu henkilöstö GDPR:n perusasioihin ja etenkin käytäntöihin, joita yrityksessä tulee uuden tietoturva-asetuksen myötä noudattaa.

Lähde: Suomen Yrittäjät, www.yrittajat.fi