(GreenWings – luontolähtöiset valmennus- ja ohjelmapalvelut):

1. Rekisterinpitäjän tiedot:

GW-palvelut
Piekanankuja 4A2, 70820 KUOPIO
www.greenwings.fi
info@greenwings.fi
p.044-230 5441

2. Rekisteristä vastaavan yhteystiedot:

Niina Liimatainen (yrityksen omistaja)
Piekanankuja 4A2, 70820 KUOPIO
info@greenwings.fi
p.044-230 5441

3. Rekisterin nimi:

Asiakasrekisteri

4. Tietojen käyttötarkoitus - miksi tietoja kerätään?

Työn käytännön toteutuksen mahdollistamiseksi, koska työskentely tapahtuu pääosin asiakkaan kotona tai muussa ennalta sovitussa paikassa, jolloin asiakkaan yhteystiedot ovat välttämättömiä. Syvärentouttaviin hierontahoitoihin hakeutuvista kerättävät yhteystiedot sekä terveyttä ja palveluun kohdistuvia toiveita koskevat tiedot ovat olennaisen tärkeitä hoidon toteuttamiseksi mahdollisimman hyvin ja turvallisesti, sekä ajanvarauksen ja siihen liittyvien muutosten mahdollistamiseksi. Yrityksen Holvi-verkkokaupassa asiakastietoja kerätään tilausten ja palvelujen toimittamiseksi, asiakassuhteen ylläpitämiseksi, maksujen ohjautumiseksi ja tarvittaessa myös jälkimarkkinointiin. Tietoja tarvitaan myös maksajaa varten, palvelujen laskutuksen kohdentamiseksi oikeille asiakkaille, sekä tarvittavaa viranomaisyhteistyötä varten. Tapaamisista laadittavat manuaaliset ja sähköiset muistiinpanot ovat tarpeellisia käytännön työn suunnittelun, laadukkaan toteutuksen ja sujuvoittamisen kannalta, mutta myös tarvittavan viranomaisyhteistyön ja tiedonvaihdon kannalta.

Turvallisuussyistä luonnossa tapahtuvaa ryhmävalmennusta / ohjelmapalvelua ja siihen laadittavaa turvallisuussuunnitelmaa varten palveluun osallistuvilta kerätään toimintaan oleellisesti vaikuttavat terveystiedot (esim. tiedot erityisruokavalioista ja toimintakyvyn rajoitteista) sekä lähiomaisen nimi- ja puhelinnumerotiedot mahdollisten tapaturmien varalle. Nämä tiedot hävitetään yrityksen käytöstä ja rekisteristä aina ryhmä-/ohjelmapalvelun päätyttyä, ellei laki muuta edellytä. Osa kootuista tiedoista (kuten laskut ja nimetyt kuitit henkilöasiakkaille sekä näiden kopiot) on välttämättömiä yrityksen kirjanpidon kannalta ja siten säilytettävä kirjanpitolain edellyttämällä tavalla. Tällöin yrityksen valitsema kirjanpitäjä myös osallistuu em. asiakastietojen käsittelyyn välillisesti kirjanpidon suorittamisen ajan. Sähköiseen kirjanpito-ohjelmistoon myöhemmässä vaiheessa siirryttäessä asiakastiedot tallentuvat ko. ohjelmiston arkistoon automaattisesti, jolloin myös palveluntoimittaja on sitoutunut tietosuoja-asetusten määrittämiin salassapitosäädöksiin ja tietojen suojauksiin. 

5. Mitä tietoja kerätään?

Palveluun osallistuvan asiakkaan etu- ja sukunimi, osoite ja puhelinnumero sekä tapaamisista tehtävät, toiminnan ja asiakassuhteen hoitamisen kannalta merkitykselliset muistiinpanot. Syvärentouttaviin hierontahoitoihin tulevilta Vello-ajanvarausjärjestelmässä vain nimi, puhelinnumero ja sähköpostiosoite, mutta itse hoitoa aloitettaessa kerätään hoidettavilta em. tietojen lisäksi manuaalisesti myös syntymäaika/-vuosi sekä terveydentilaa ja palveluun liittyviä odotuksia koskevia tietoja. Holvi-verkkokauppa-alusta kerää asiakkaasta tilauksen toimittamiseksi tarvittavat tiedot, kuten nimi- ja osoitetiedot, sähköpostiosoitteen ja puhelinnumeron. Yritys- ja yhdistysasiakkailta kerätään nimi-, osoite-, asiointisähköposti- ja asiointipuhelinnumeron lisäksi Y-tunnus- ja yhteyshenkilötiedot.  

Kuntien ja sairaanhoitopiirin ohjaamista asiakkaista rekisteriin tallentuvat automaattisesti lähettävältä taholta saatujen asiakirjojen myötä asiakkaiden henkilötunnukset ja maksusitoumus -numerot, joita tarvitaan mm. palvelusta annetuissa lausunnoissa sekä laskutuksen yhteydessä. Tällaisia tietoja EI siten lähtökohtaisesti kerätä itsemaksavilta asiakkailta, jollei muusta erikseen sovita, koska niillä ei ole merkitystä asiakassuhteen ylläpitämisen ja toiminnan toteuttamisen kannalta.

Yhteistyötahojen kautta asiakkaan luvalla yrityksen saapuneita ja palvelun toteuttamisen tueksi annettuja asiakkaan potilastietoja sisältäviä asiakirjoja säilytetään yrityksen lukitussa kassakaapissa vain palvelun toteutuksen ajan, jonka jälkeen ne palautetaan asiakkaalle itselleen, jollei asiasta muuta erikseen sovita. Neuropsykiatrisen ja TAIKA-työhönvalmennuksen osalta asiakkaasta ja häntä koskeneesta valmennustyöskentelystä laaditaan aina valmennussuhteen päätyttyä palvelun maksajalle kirjallinen lausunto, jonka laatimiseksi asiakkaasta kootut tiedot ovat ehdottoman tärkeitä. Erikseen sovittaessa lausunto voidaan toimittaa myös sosiaalisen kuntoutuksen muissa palveluissa. Laskutusasiakkaista (kunta, kaupunki, kuntayhtymä, sairaanhoitopiiri tmv.) on rekisterissä omat erilliset kansionsa, joihin on tallennettu laskutuksen ja yrityksen kirjanpidon kannalta olennaiset, tarvittavat tiedot.

6. Mistä ja miten tietoja kerätään?

Asiakkaalta itseltään häntä tavattaessa, puhelimitse, sähköpostitse tai hänen luovuttaessa tietojaan yrityksen kotisivuilla olevan yhteydenotto-lomakkeen kautta, jolloin tiedot siirtyvät suoraan suojatun yhteyden kautta yrityksen kotisähköpostiin, ja tulevat siitä edelleen siirretyiksi asiakastietorekisteriin. Syvärentouttaviin hierontahoitoihin tuleville asiakkaille on tarjolla lisäksi aiemmin mainittu Vello-ajanvarausjärjestelmä, jonka kautta asiakkaiden luovuttamat tiedot ohjautuvat suoraan myös tämän rekisterin pitäjälle. Yrityksen Holvi-verkkokauppa-alustalla kerätään asiakkaasta nimi- ja yhteystietoja tilausten toimittamisen ja palvelujen toteuttamisen mahdollistamiseksi, asiakassuhteen ylläpitämiseksi ja tarvittaessa jälkimarkkinoinnin tueksi. 

Tietoja asiakkaista saadaan myös asiakasprosessin omistajana toimivilta rekisterinpitäjä-viranomaisilta (kaupunki, kunta, kuntayhtymä, sairaanhoitopiiri tmv. taho) ja näiden virallisilta, nimetyiltä edustajiltaan, kuten esim. sosiaalityöntekijät, palveluohjaajat tai lääkärit, palvelua käynnistettäessä ja sen aikana asiakastapaamisissa, puhelimitse, kirjeinä, sähköpostitse ilman tunnistetietoja, salattujen turvapostien välityksellä sekä maksusitoumusten yhteydessä.

Ohjelmapalveluiden (alv 24%) osalta asiakastietoja saadaan suoraan asiakkailta itseltään tai muulta palvelun tilaajalta, tämän luovuttaessa sovitusti yrityksen pyytämiä ja asiakasrekisteriin (myös väliaikaisesti) yksilöitäviä tietoja. Tiedonanto voi tapahtua joko henkilökohtaisella tapaamisella, puhelimitse, sähköpostitse ja/tai yrityksen kotisivujen yhteydenottolomakkeen kautta suojatulla yhteydellä. Toiminnan toteutuksen ja asiakkaiden turvallisuuden varmistamiseksi asiakkailta kerätään myös suoraan manuaalisesti (asiakastieto-lomakkeet) avulla tiettyjä terveyteen liittyviä tietoja (esim. erityisruokavaliot, toimintakykyä / palvelun toteutusta mahdollisesti rajoittavat tekijät) sekä tietoa lähiomaisista (nimi ja puhelinnumero) mahdollisten tapaturmien varalle. 

7. Kenelle ja miten tietoja luovutetaan?

Asiakastietoja voidaan luovuttaa yrityksestä ulos VAIN asiakkaan luvalla, mielellään kirjallisella suostumuksella tai asianomaisen itse läsnä ollessa, sekä tietyin ehdoin ja perustelluista syistä:

  1. Asiakkaalle itselleen luovutetaan häntä koskevat tiedot lain hengen mukaisesti hänen niitä kirjallisesti pyytäessä, kerran vuodessa, ellei tietojen luovuttamisesta kieltäytymiseen ole erityisen perusteltua ja painavaa syytä, jotka on määritelty laissa ja tietosuoja-asetuksissa. Yhteistyötahojen kautta saapuneet, asiakkaan potilastietoja tai muuta häntä koskevaa arkaluontoista tietoa sisältävät asiakirjat palautetaan asiakkaalle, mieluiten henkilökohtaisesti, heti palvelun päättyessä, tai asiakkaan pyynnöstä postitse kirjeenä. Tätä edeltävästi asiakirjoja käsitellään ja säilytetään erityistä huolellisuutta noudattaen yrityksen kotiosoitteessa, lukitussa kassakaapissa.
  2. Asiakkaiden tietoja EI KOSKAAN luovuteta suoramarkkinointiin, eikä muille kolmansille osapuolille, joista asiakkaan kanssa ei ole ennalta erikseen sovittu. Syvärentouttavien hoitojen osalta asiakkaiden itsestään luovuttamat nimi-, puhelinnumero- ja sähköposti -yhteystiedot kirjautuvat Vello-ajanvarausjärjestelmään ainoastaan asiakkaiden itse tämän ajanvaraustavan valitessaan. Muilta osin hoitoon tulevista manuaalisesti koottuja tietoja, jotka sisältävät myös asiakkaiden tunnistetietoja, ei koskaan luovuteta yrityksen rekisteristä kolmansille osapuolille. Nimettöminä jälkikäteen saapuneet hoitopalautteet EIVÄT sisällä asiakkaiden tunnistetietoja, jolloin niitä voidaan luovuttaa anonyymisti hoitomenetelmää edelleen kehittävälle kouluttajayhteisölle.
  3. Asiakasprosessin haltijalle (kunnan, kaupungin, kuntayhtymän, sairaanhoitopiirin tmv:n tahon virallinen, nimetty edustaja) asiakkaan tietoja luovutetaan hänen luvallaan ja ennakkoon sovitulla tavalla, esim. asiakasta yhdessä tavattaessa, sähköpostitse ja/tai puhelimitse ilman asiakkaan tunnistetietoja (lukuun ottamatta salattu turvaposti) sekä tarvittaessa kirjallisella lausunnolla. Lausunnot toimitetaan pääsääntöisesti suojatun sähköpostin välityksellä, poikkeustapauksissa erikseen sovitusti joko henkilökohtaisesti paikan päälle kyseessä olevan viraston palvelupisteen kautta suljetussa kuoressa toimitettuna tai postikirjeenä.
  4. Yrityksen kirjapidosta vastaavalle taholle luovutetaan sovitun aikataulun mukaisesti aina lain edellyttämät ja kirjanpidon kannalta välttämättömät tiedot (esim. kopiot laskuista ja koonnit tilaajille toimitetuista palveluista), jotka voivat sisältää myös rekisteriin kuuluvia asiakkaiden tunnistetietoja, kuten esim. asiakkaan etu- ja sukunimet, kotikunta (yksityisasiakkailta postiosoite) ja lähettävä taho. Em. asiakirjojen säilytystä ja käyttöä säätelee Suomessa kirjapitolaki, ja kirjanpitäjiä tämän lisäksi EU:n yleinen GDPR-asetus. 
  5. Poliisiviranomaisen niin vaatiessa yritys on velvollinen luovuttamaan rekisteristään kaikki siltä vaaditut asiakastiedot viipymättä ja tietoturvasäännöksiä noudattaen.

8. Tietojen luovutus EU:n ja ETA:n ulkopuolelle?

Mitään yrityksen asiakasrekisteriin koottuja tietoja ei ole tarpeen siirtää EU:n tai ETA:n ulkopuolelle. Sähköisen kirjanpidon ja verkkolaskutuksen osalta näitä palveluita tuottavat osapuolet ovat sitoutuneet tiedonsiirrossa, -säilytyksessä ja -luovutuksessa tahollaan yleisten tietosuoja-asetusten mukaisiin tietojen suojauksiin, myös niiden palvelinten osalta, jotka mahdollisesti sijaitsevat EU:n tai ETA:n ulkopuolella. GW-palveluiden käyttämä suojatun sähköpostiväylän tarjoaa kotimainen palveluntuottaja, joka on taannut palvelintensa sijainnin Suomessa.  

9. Kuinka yrityksen käyttämät ja tallentamat asiakastiedot on suojattu?

  1. Manuaalisesti asiakastapaamisista ja asiakasta koskevista verkostotapaamisista kootut muistiinpanot kirjataan siten, etteivät ne sisällä asiakkaan tunnistetietoja ja ole näin tietojen kohteena olevaan asiakkaaseen yhdistettävissä. Nämä, kuten muutkin asiakkaista manuaaliset saadut ja kootut tiedot säilytetään yrityksessä niille erikseen varatussa lukitussa kaapissa/tallelokerossa. Kenelläkään muulla henkilöllä ei ole tähän pääsyä, kuten ei muutoinkaan yrityksen asiakasrekisterin sisältämiin tietoihin. Vain tilapäisesti asiakastietoja sisältävät asiakirjat voivat kulkea yrityksen tietosuojavastaavan hallussa asiakkaan kotoa tai lähettävältä taholta yrityksen kotiosoitteeseen, hänen saatuaan ne esim. sopimuksen laatimisen, kotikäynnin tai hoito-/verkostoneuvottelun yhteydessä. Tuolloinkin tietosuojavastaava on sitoutunut noudattamaan asiakirjojen käsittelyssä ja hallussapidossaan erityistä huolellisuutta sekä varmistamaan toiminnallaan, etteivät ne missään vaiheessa jää vaille valvontaa tai päädy ulkopuolisten käsiin.  
  2. Sähköisesti laaditut ja kootut asiakastiedot sijaitsevat yrityksen asiakasrekisterissä salasanoilla vahvasti suojatuissa, kryptatuissa tiedostokansioissa tietokoneella, joka on avattavissa vain salasanan ja/tai  biometrisen tunnisteen avulla, ja jossa on tietoturvasäännökset täyttävät palomuuri- ja virussuojaukset. Em. tavalla suojattuja asiakastietoja ovat myös palvelut maksavien (muut kuin asiakas itse) tahojen laskutustiedot. Tiedostoista on otettu lisäksi varmuuskopiot ulkoiselle kovalevylle, joka on samoin suojattu omalla salasanallaan ja säilytetään yrityksen lukitussa kassakaapissa. Kaikki salasanat ovat ainoastaan yrityksen omistajan, eli asiakasrekisteristä vastaavan ja sitä ainoana henkilönä käyttävän tiedossa ja säilytetty siten, etteivät ne ole muiden tahojen saatavissa. Sähköisesti tallennetut asiakasta koskevat tiedot ja niiden varmuuskopiot poistetaan asiakasrekisteristä heti asiakassuhteen päätyttyä, ellei laki erikseen muuta edellytä. Mikäli asiakas on ohjautunut palveluun ostopalveluna maksusitoumuksen tai palvelusetelin kautta, luovutetaan kaikki asiakasta koskevat tiedot ko. palvelun päättyessä sen myöntäneelle ja siten myös maksavalle taholle sosiaalihuollon asiakaskirjalain 24§:n mukaisesti, joka määrittää palvelun tilaajan asiakasprosessin haltijaksi ja samalla ko. tietojen osalta viralliseksi rekisterinpitäjäksi. Sairaanhoitopiirin myöntämällä maksusitoumuksella palveluun ohjautuneiden terveydenhuollon asiakkaiden tietojen säilytyksestä on saatu erilliset ohjeet sairaanhoitopiirin hallinnon taholta. 
  3. Ryhmävalmennuksia sekä yrityksen tarjoamia muita ohjelmapalveluita (alv 24%, eivät lukeudu SOTE-palveluihin) koskevat manuaaliset tiedot, kuten niitä varten laadittavat turvallisuussuunnitelmat, em. palveluita varten osallistujilta kerätyt ja toimintaan oleellisesti vaikuttavat terveystiedot (esim. tiedot erityisruoka-valioista ja toimintakyvyn rajoitteista) sekä lähiomaisten nimi- ja puhelinnumerotiedot säilytetään aiemmin mainitussa yrityksen lukitussa kassakaapissa, ja sähköisenä arkistoidut tiedot yrityksen sähköisessä asiakasrekisterissä. Näiden palveluiden toteutuksen ajan mahdollisten tapaturmien varalle tarvittavat tiedot kulkevat manuaalisina tapahtumista vastaavan yrittäjän hallussa ja jatkuvan valvonnan alla. Em. tiedot poistetaan yrityksen käytöstä välittömästi palvelun päätyttyä. 
  4. Yrityksen käyttämä(t) tietokone(et) on varustettu laajoilla tietoturvaohjelmistoilla sekä salatulla VPN-yhteydellä. Salassapidettäviä tietoja sisältävät sähköpostit toimitetaan aina suojatulla yhteydellä, josta vastaa suomalainen turvaposti-palveluja tarjoava yritys. Ko. yrityksen palvelimet sijaitsevat Suomessa.
  5. Yrityksen puhelimeen tallennetut asiakkaan nimi-, osoite- ja puhelinnumerotiedot ovat salasanasuojauksen sekä biometrisen tunnisteen takana, josta vastaa yksin yrittäjä puhelimen ainoana käyttäjänä. Puhelimessa on lisäksi asennettuna oma tietoturva-ohjelmistonsa.
  6. Yrityksen markkinointiin sekä viestintäkanavaksi tarjoamat internet-kotisivut yhteydenotto-lomakkeineen on tietoturvallisesti suojattu siten, että asiakkaiden jättäessä yritykselle niiden kautta tietojaan sähköisesti eivät ulkopuoliset tahot voi näitä tietoja haltuunsa saada. Tästä on merkkinä lukko-tunniste http//-osoitekentässä.
  7. Syvärentouttaviin hierontahoitoihin hakeutumiseksi asiakkaille tarjolla oleva Vello-ajanvarausjärjestelmä takaa omasta puolestaan asiakkaiden järjestelmään syöttämien tietojen turvallisen tallennuksen, säilytyksen ja varmuuskopioinnin, kuten myös sen, ettei näitä tietoja luovuteta eteenpäin muille osapuolille. Kyseisen palveluntuottajan oma tietosuojaseloste on luettavissa heidän omilta internet-kotisivuiltaan osoitteessa www.vello.fi. (tietosuojaseloste + rekisteriseloste)
  8. Yrityksen käyttämä Holvi-verkkokauppa-alusta takaa myös omasta puolestaan asiakkaiden sinne syöttämien tietojen GDPR:n mukaisen käsittelyn, minkä lisäksi sivustolta löytyy GW-palveluiden oma Tietosuojaseloste. Holvin tietosuojaseloste löytyy sen omilta verkkosivuilta osoitteesta www.holvi.fi, ja asiakkaan on mahdollista kysyä mm. tästä lisätietoja heidän Asiakastuestaan.  
  9. Yrityksen kirjanpitoa varten laissa määritellyt säilytettävät tiedot, jotka voivat sisältää myös asiakkaiden tunnistetietoja, luovutetaan kirjanpitäjälle sähköisesti heidän oman verkkopalvelunsa kautta, johon kirjautuminen vaatii kahdenkertaisen tunnistautumisen. Kirjanpitoaineistoa säilytetään lain vaatima aika em. kirjanpitäjätahon lisäksi yrityksen lukitussa kassakaapissa / tallelokerossa. Mikäli yrityksen kirjanpitoon tulee siirrettäväksi jälkikäteen muita sähköisesti tallennettuja asiakastietoja, tapahtuu niiden siirtäminen vain yrittäjän toimesta, kirjanpitäjän kanssa erikseen sovitusti suojattua sähköpostiyhteyttä (turvaposti) käyttäen. Yrityksen valitseman kirjanpitäjän on täytynyt osoittaa etukäteen käyttämiensä ohjelmistojen ja asiakasrekisteritietojen säilytyksen luotettavuus ja tietoturvamääräysten mukainen turvallisuus, kuten myös mahdollisen manuaalisen aineiston tietoturvallinen säilytys koko kirjanpidon ajan.

 

Asiakastietojen keräämistä, käsittelyä, säilyttämistä, suojaamista ja luovuttamista säätelevät Suomessa yhtäältä maamme oma lainsäädäntö siitä annettuine asetuksineen ja toisaalta uudistunut EU-tietosuoja-asetus (GDPR). Minulle GreenWings-palveluiden tarjoajana ja kehittäjänä on erityisen tärkeää, että asiakkaani voivat olla turvallisin mielin luovuttaessaan minulle palvelun toteuttamista varten tietoja itsestään ja/tai asiakkaistaan. Tästä lupauksesta kertoo seikkaperäisesti laatimani yllä oleva selonteko, yritykseni tietosuojaseloste. Epäselvissä tapauksissa pyydänkin asianosaisia ottamaan minuun suoraan yhteyttä asian selvittämiseksi pikimmiten, jotta suuremmilta haitoilta voitaisiin välttyä, ja epäkohdat saataisiin korjattua. Mikäli minulla yritykseni toiminnasta vastaavana syntyy epäily tietosuojaloukkauksesta tai vakavammasta tietomurrosta, tiedotan siitä asiakaskuntaani sekä tietosuojavaltuutettua viipymättä asian tultua ilmi, kaikkia tiedottamisen kanavia maksimaalisesti hyödyntäen.

Kuopiossa, 2.9.2022 (päivitetty tällä päivämäärällä, alkuperäinen laadittu 6.4.2018),

Niina Liimatainen, GreenWings (GW) -palveluiden omistaja, yrittäjä ja yrityksen tietosuojavastaava