Tietosuojaseloste yrityksestä GW-palvelut

(GreenWings – luontolähtöiset hyvinvointipalvelut)

 

  1. Rekisterinpitäjän tiedot:

GW-palvelut

Soitonrannantie 42, 72100 KARTTULA

www.greenwings.fi info@greenwings.fi

p.044-230 5441

 

  1. Rekisteristä vastaavan yhteystiedot:

Niina Liimatainen (yrityksen omistaja, yrittäjä)

Poste Restante, 70100 KUOPIO

info@greenwings.fi

p.044-230 5441

 

      3.  Rekisterin nimi:  Asiakasrekisteri

 

  1. Tietojen käyttötarkoitus - miksi tietoja kerätään?

Asiakkaista kerätään vain tarpelliset ja asianmukaiset tiedot palvelusta riippuen käytännön työn toteutuksen mahdollistamiseksi, ja verkkokaupassa tilausten vastaanottamiseksi sekä toimittamiseksi tilaajalle. Tietoja tarvitaan myös maksajaa varten, palvelujen laskutuksen koh- dentamiseksi oikeille asiakkaille, sekä tarvittavaa viranomaisyhteistyötä varten. Tapaamisista laadit- tavat manuaaliset ja/tai sähköiset muistiinpanot ovat tarpeellisia käytännön valmennus- ja hoitotyön suunnittelun, laadukkaan toteutuksen ja sujuvoittamisen kannalta, mutta myös tarvittavan viranomaisyhteistyön ja tiedonvaihdon kannalta.

Turvallisuussyistä luonnossa tapahtuvaa ryhmävalmennusta / ohjelmapalvelua ja siihen laadittavaa turvallisuussuunnitelmaa varten palveluun osallistuvilta kerätään toimintaan oleellisesti vaikuttavat terveystiedot (esim. tiedot erityisruokavalioista ja toimintakyvyn rajoitteista) sekä lähiomaisen nimi- ja puhelinnumerotiedot mahdollisten tapaturmien varalle. Nämä tiedot hävitetään aina ryhmä-/ohjelmapalvelun päätyttyä.

Osa kootuista tiedoista, kuten laskut, joissa saattaa tilaajasta riippuen olla kohdeasiakkaan tunnistetietoja, sekä osallistujien nimitiedoilla varustetut kuitit ja näiden kopiot, ovat välttämättömiä yrityksen kirjanpidon kannalta, ja ne toimitetaan siten lain vaatimusten mukaisesti sovituin väliajoin kirjanpitäjän haltuun salatulla yhteydellä.

 

  1. Mitä tietoja kerätään?

Palveluun / hoitoon osallistuvan asiakkaan etu- ja sukunimi, osoite ja puhelinnumero sekä tapaamisista tehtävät, palvelun ja asiakassuhteen hoitamisen kannalta merkitykselliset, tarpeelliset ja asianmukaiset tiedot, jotka palvelusta riippuen saattavat sisältää myös salassa pidettäviä asiakkaan terveystietoja. Verkkokaupassa kerätään vain ne asiakassuhteen ylläpitämisen ja tilattujen tuotteiden toimittamisen kannalta olennaiset ja tarvittavat tiedot, jotka verkkokauppa-alusta edellyttää kauppapalvelun ja maksun rekisteröinnin onnistumiseksi.

Henkilötunnuksia EI lähtökohtaisesti kerätä, pois lukien klassisen hieronnan asiakkaat lain edellyttämällä tavalla, sekä julkisen sektorin toimijoiden toimittamissa maksisitoumuksissa / tilaussopimuksissa automaattisesti ilmoitetut asiakkaiden henkilötunnukset, jotka eivät ole poistettavissa, sekä näihin palvelutilauksiin liittyviin loppulausuntoihin kirjattavat, asiakkaat yksilöivät henkilötunnukset. Laskutusasiakkaista (kunta, kaupunki, kuntayhtymä, sairaanhoitopiiri tmv.) on asiakasrekisterissä oma kansionsa, johon on tallennettu laskutuksen ja yrityksen kirjanpidon kannalta olennaiset, tarvittavat tiedot.

 

  1. Mistä ja miten tietoja kerätään?

Tietoja kerätään pääasiallisesti asiakkailta itseltään heitä tavattaessa, puhelimitse tai heidän luovuttaessa tietojaan yritykselle joko sähköpostitse tai verkkokaupan, sähköisen ajanvarausjärjestelmän tai yrityksen kotisivuilla olevan yhteydenottolomakkeen kautta. Tietoja asiakkaista saadaan myös asiakasprosessin omistajana toimivilta rekisterinpitäjä-viranomaisilta (kaupunki, kunta, kuntayhtymä, sairaanhoitopiiri tmv. taho) ja näiden virallisilta, nimetyiltä edustajiltaan, kuten esim. sosiaalityöntekijät, palveluohjaajat tai lääkärit palvelua käynnistettäessä ja sen aikana asiakastapaamisissa, puhelimitse, sähköpostitse ilman tunnistetietoja sekä maksusitoumusten yhteydessä. Tunnistetietoja sisältävien sähköpostien lähettämiseen käytetään salattua, kotimaista sähköpostiyhteyttä.

Ohjelmallisten, räätälöitävien palveluiden ja muiden arvonlisäverollisten hoitolapalveluiden (alv 25,5%) osalta asiakastietoja saadaan suoraan asiakkailta itseltään tai muulta palvelun tilaajalta, heidän luovuttaessa sovitusti yrityksen pyytämiä ja asiakasrekisteriin (myös väliaikaisesti) yksilöitäviä tietoja. Tiedonanto voi tapahtua joko henkilökohtaisella tapaamisella, puhelimitse, sähköpostitse, verkkokaupan tai yrityksen kotisivujen yhteydenottolomakkeen kautta (suojattu yhteys). Toiminnan toteutuksen ja asiakkaiden turvallisuuden varmistamiseksi asiakkailta kerätään myös suoraan manuaalisesti (esim. asiakastietolomakkeet ja ilmoittautumislomakkeet) tiettyjä terveyteen liittyviä tietoja (esim. erityisruokavaliot, toimintakykyä/palvelun toteutukseen vaikuttavat rajoitteet), sekä tietoa lähiomaisista (nimi ja puhelin- numero) tapaturmien varalle tapahtumia järjestettäessä.

 

  1. Kenelle ja miten tietoja luovutetaan?

Lähtökohtaisesti asiakkaiden tietoja ei luovuteta yrityksen asiakasrekisteristä ulos ulkopuolisille. Asiakastietoja voidaan kuitenkin luovuttaa tietyin, alla luetelluin ehdoin ja perustelluista syistä, pääsääntöisesti VAIN ASIAKKAAN KIRJALLISELLA SUOSTUMUKSELLA:

    1. Asiakkaalle itselleen luovutetaan häntä koskevat tiedot tarkastettavaksi Henkilötietolain hengen mukaisesti asiakkaan kirjallisen pyynnön perusteella kerran vuodessa, ellei tietojen luovuttamisesta kieltäytymiseen ole erityisen perusteltua ja painavaa syytä (määritellään laissa). Asiakkaalla on Henkilötietolain mukaan myös oikeus vaatia virheellisten tietojen muuttamista / poistamista niitä havaitessaan, tai tulla unohdetuksi. Yhteistyötahojen kautta saapuneet, asiakkaan potilastietoja tai muuta häntä koskevaa arkaluontoista tietoa sisältävät asiakirjat palautetaan asiakkaalle viipymättä, henkilökohtaisesti, heti kun se on mahdollista, tai asiakkaan pyynnöstä joko postitse kirjattuna kirjeenä tai salattua sähköpostiyhteyttä käyttäen. Tätä edeltävästi asiakirjoja käsitellään ja säilytetään erityistä huolellisuutta noudattaen ja tarpeen niin vaatiessa tilapäisesti yrityksen kotiosoitteessa, lukitussa kaapissa/tallelokerossa.

 

    1. Asiakasprosessin haltijalle (kunnan, kaupungin, kuntayhtymän, sairaanhoitopiirin tmv:n ta- hon virallinen, nimetty edustaja) asiakkaan tietoja luovutetaan hänen luvallaan ja ennakkoon sovitulla tavalla, esim. asiakasta yhdessä tavattaessa, sähköpostitse ja/tai puhelimitse ilman asiakkaan tunnistetietoja sekä tarvittaessa kirjallisella lausunnolla. Lausunnon toimittami- sesta sovitaan em. vastuuhenkilön kanssa erikseen, kuten esim. toimitus henkilökohtaisesti, suljetussa kuoressa kyseessä olevan viraston palvelupisteen kautta, kirjattuna postikir- jeenä tai salattua sähköpostiyhteyttä käyttäen. Neuropsykiatrisen ja TAIKA- työhönvalmennuksen osalta päättyneistä asiakkuuksista ja niitä koskeneista valmennusjaksoista valmennussuhteen päätyttyä laaditut loppulausunnot on toimitettu palvelun maksajalle heidän edellyttämällään tavalla. Vain neuropsykiatrisen valmennuksen lausunnot ovat jääneet osaksi yrityksen ja tässä tietosuojaselosteessa kuvatun asiakasrekisterin tietoja.

 

    1. Yrityksen kirjapitoon luovutetaan sovitun aikataulun mukaisesti aina lain edellyttämät ja kir- janpidon kannalta välttämättömät tiedot, jotka saattavat sisältää myös rekisteriin kuuluvia asiakastietoja (esim. kopiot laskuista ja koonnit tilaajille toimitetuista palveluista, joissa voi olla asiakkaiden tunnistetietoja, kuten nimi- ja osoitetiedot).

 

    1. Poliisiviranomaisen niin vaatiessa yritys on velvollinen luovuttamaan rekisteristään kaikki siltä vaaditut asiakastiedot viipymättä ja tietoturvasäännöksiä noudattaen.

 

    1. Muut tahot: Asiakkaiden tietoja EI luovuteta kolmansille osapuolille eikä suoramarkkinoin- tiin. Asiakastietojen analysointiin tietoja keräävien evästeiden käyttöä asiakkaan on mahdol- lista itse rajoittaa kieltämällä osa tai kaikki evästeet, pois lukien sivustojen toimivuuden ja tilausten toimittamisen (verkkokaupat) turvaavat pakolliset evästeet.

 

  1. Tietojen luovutus EU:n ja ETA:n ulkopuolelle?

Mitään yrityksen asiakasrekisteriin koottuja tietoja ei siirretä EU:n tai ETA:n ulkopuolelle.

 

  1. Kuinka yrityksen käyttämät ja tallentamat asiakastiedot on suojattu?

 

  1. Manuaalisesti laaditut muistiinpanot ja hoitosuunnitelmat asiakastapaamisista, asiakkaan tutkimus- ja hoitokäynneistä sekä asiakasta koskevista hoito- ja verkostoneuvotteluista kirjataan klassista hierontaa lukuun ottamatta siten, etteivät ne sisällä asiakkaan tunnistetietoja ja ole näin tietojen kohteena olevaan asiakkaaseen yhdistettävissä. Nämä, kuten muutkin asiakkaista manuaaliset saadut ja kootut tiedot säilytetään yrityksessä niille erikseen varatussa lukitussa kaapissa/tallelokerossa. Kenelläkään muulla henkilöllä ei ole näihin pääsyä, kuten ei muutoinkaan yrityksen asiakasrekisterin sisältämiin tietoihin.

 

  1. Sähköisesti laaditut ja kootut asiakastiedot sijaitsevat yrityksen asiakasrekisterissä salasanoilla suojatuissa, kryptatuissa tiedostokansioissa tietokoneella, joka on avattavissa vain salasanan kautta, ja jossa on tietoturvasäännökset täyttävät palomuuri- ja virussuojaukset. Em. tavalla suojattuja asiakastietoja ovat myös palvelut maksavien (muut kuin asiakas itse) tahojen laskutustiedot. Tiedostoista on otettu lisäksi varmuuskopiot ulkoiselle kovalevylle, joka on samoin suojattu omalla salasanallaan. Kaikki salasanat ovat ainoastaan yrityksen omistajan, eli asiakasrekisteristä vastaavan ja sitä ainoana henkilönä käyttävän tiedossa ja säilytetty siten, etteivät ne ole muiden tahojen saatavissa. Ulkoista kovalevyä säilytetään myös lukkojen takana.

Sähköisesti tallennetut asiakasta koskevat tiedot ja niiden varmuuskopiot poistetaan asiakasrekisteristä heti asiakassuhteen päätyttyä siten, kuin laki erikseen kyseisten tietojen säilyttämisestä määrää. Mikäli asiakas on ohjautunut palveluun ostopalveluna maksusitoumuksen tai palvelusetelin kautta, luovutetaan kaikki asiakasta koskevat tiedot ko. palvelun päättyessä sen myöntäneelle ja siten myös maksavalle taholle, joka toimii samalla myös asiakasprosessin haltijana ja näin ollen ko. tietojen osalta virallisena rekisterinpitäjänä (pois lukien sairaanhoitopiiri, sen hallinnon antamilla ohjeistuksilla). Tulevaisuudessa sähköiseen asiakastietojärjestelmään siirryttäessä asiakastiedot tallennetaan ja siirretään kyseisen järjestelmän kautta Kanta-palveluun. Asiakastietojärjestelmän on tuolloin oltava Valviran hyväksymä, auditoima ja a1-luokan suojattu Kanta-yhteensopiva järjestelmä.

 

  1. Ryhmävalmennuksia sekä yrityksen tarjoamia muita ohjelmapalveluita (alv 25,5%, eivät lukeudu sote-palveluihin) koskevat manuaaliset tiedot, kuten niitä varten laadittavat turval- lisuussuunnitelmat, em. palveluita varten osallistujilta kerätyt ja toimintaan oleellisesti vai- kuttavat terveystiedot (esim. tiedot erityisruoka-valioista ja toimintakyvyn rajoitteista) sekä lähiomaisten nimi- ja puhelinnumerotiedot säilytetään aiemmin mainitussa lukitussa kaapissa, ja sähköisenä arkistoidut tiedot yrityksen sähköisessä asiakasrekisterissä. Näiden palveluiden toteutuksen ajan mahdollisten tapaturmien varalle tarvittavat tiedot kulkevat manuaalisina tapahtumista vastaavan yrittäjän hallussa ja jatkuvan valvonnan alla. Em. tie- dot poistetaan yrityksen käytöstä välittömästi palvelun päätyttyä.

 

  1. Yrityksen puhelimeen tallennetut asiakkaan nimi- ja puhelinnumerotiedot ovat puhelimen salasana-suojauksen sekä biometrisen tunnistetiedon takana, josta vastaa yksin yrittäjä pu- helimen ainoana käyttäjänä. Yrityksen käyttämät mobiililaitteet on suojattu tietoturvasovelluksilla.

 

  1. Yrityksen markkinointiin sekä osittain viestintäkanavaksikin tarjoamat yrityksen omat verkkosivut Yhteydenotto- lomakkeineen sekä Holvi -verkkokauppa ovat tietoturvallisesti suojattuja siten, että asiakkaiden jättäessä yritykselle niiden kautta tietojaan sähköisesti eivät ulkopuoliset tahot voi näitä tietoja haltuunsa saada.

 

  1. Yrityksen kirjanpitoa varten säilytettävät tiedot, jotka mahdollisesti sisältävät asiakkaiden tunnistetietoja, luovutetaan kirjanpitäjälle sähköisesti, kahdenkertaista tunnistautumista käyttäen. Mikäli yrityksen kirjanpitoon tulisi siirrettäväksi sähköisesti tallennettuja asiakastietoja muuta, kuin edellä kuvattua sähköistä tiedonsiirtoreittiä käyttäen, tapahtuu kyseisten tietojen siirto vain yrittäjän toimesta tietoturvallista salattua sähköpostireititystä käyttäen. Yrityksen valitsemien kirjanpitotahojen on täytynyt osoittaa etukäteen käyttämiensä ohjelmistojen ja asiakasrekisteritietojen säilytyksen luotettavuus ja tietoturvamääräysten mukainen turvallisuus.

 

Asiakastietojen keräämistä, käsittelyä, säilyttämistä, suojaamista ja luovuttamista säätelevät Suo- messa yhtäältä Henkilötietolaki, Tietoturvalaki ja toisaalta uudistunut EU-tietosuoja-asetus kansallisesti sovellettuna. Minulle yritykseni monialaisten palveluiden tarjoajana ja kehittäjänä on erityisen tärkeää, että asiakkaani voivat olla turvallisin mielin luovuttaessaan minulle palvelun toteuttamista varten tietoja itsestään ja/tai asiakkaistaan. Asiakastietojen käsittelyssä ja yrityksen tietoturva-asioissa olenkin pyrkinyt järjestämään asiat perehtymällä niihin erityisellä huolella, lain säätäjien edellyttämin tavoin ja asiakkaan oikeuksia kunnioittaen. Epäselvissä tapauksissa pyydänkin asianosaisia ottamaan minuun suoraan yhteyttä asian selvittämiseksi pikimmiten, jotta suuremmilta haitoilta voitaisiin välttyä, ja epäkohdat saataisiin korjattua. Mikäli minulla yritykseni toiminnasta vastaavana syntyy epäily tietosuojaloukkauksesta tai vakavammasta tietomurrosta, tiedotan siitä asiakaskuntaani ja tietosuojavaltuutettua viipymättä asian tultua ilmi, kaikkia tiedottamisen kanavia maksimaalisesti hyödyntäen.

 

Kuopiossa, 2.10.2025 (alkuperäinen laadittu 6.4.2018),

Niina Liimatainen / GW(GreenWings) -palvelut, yrittäjä, omistaja ja tietoturvavastaava