(GreenWings – luontolähtöiset valmennus- ja ohjelmapalvelut):

1. Rekisterinpitäjän tiedot:

GW-palvelut
Piekanankuja 4A2, 70820 KUOPIO
www.greenwings.fi
info@greenwings.fi
p.044-230 5441

2. Rekisteristä vastaavan yhteystiedot:

Niina Liimatainen (yrityksen omistaja)
Piekanankuja 4A2, 70820 KUOPIO
info@greenwings.fi
p.044-230 5441

3. Rekisterin nimi:

Asiakasrekisteri

4. Tietojen käyttötarkoitus - miksi tietoja kerätään?

Työn käytännön toteutuksen mahdollistamiseksi, koska työskentely tapahtuu pääosin asiakkaan kotona tai muussa ennalta sovitussa paikassa, jolloin asiakkaan yhteystiedot ovat välttämättömiä. Tietoja tarvitaan myös maksajaa varten, palvelujen laskutuksen kohdentamiseksi oikeille asiakkaille, sekä tarvittavaa viranomaisyhteistyötä varten. Tapaamisista laadittavat manuaaliset ja sähköiset muistiinpanot ovat tarpeellisia käytännön työn suunnittelun, laadukkaan toteutuksen ja sujuvoittamisen kannalta, mutta myös tarvittavan viranomaisyhteistyön ja tiedonvaihdon kannalta.

Turvallisuussyistä luonnossa tapahtuvaa ryhmävalmennusta / ohjelmapalvelua ja siihen laadittavaa turvallisuussuunnitelmaa varten palveluun osallistuvilta kerätään toimintaan oleellisesti vaikuttavat terveystiedot (esim. tiedot erityisruokavalioista ja toimintakyvyn rajoitteista) sekä lähiomaisen nimi- ja puhelinnumerotiedot mahdollisten tapaturmien varalle. Nämä tiedot hävitetään yrityksen käytöstä ja rekisteristä aina ryhmä-/ohjelmapalvelun päätyttyä, ellei laki muuta edellytä. Osa kootuista tiedoista (kuten laskut ja nimetyt kuitit henkilöasiakkaille sekä näiden kopiot) on välttämättömiä yrityksen kirjanpidon kannalta ja siten säilytettävä kirjanpitolain edellyttämällä tavalla. Tällöin yrityksen valitsema kirjanpitäjä myös osallistuu em. asiakastietojen käsittelyyn välillisesti kirjanpidon suorittamisen ajan. Sähköiseen kirjanpito-ohjelmistoon myöhemmässä vaiheessa siirryttäessä asiakastiedot tallentuvat ko. ohjelmiston arkistoon automaattisesti, jolloin myös palveluntoimittaja on sitoutunut tietosuoja-asetusten määrittämiin salassapitosäädöksiin ja tietojen suojauksiin. 

5. Mitä tietoja kerätään?

Palveluun osallistuvan asiakkaan etu- ja sukunimi, osoite ja puhelinnumero sekä tapaamisista tehtävät, toiminnan ja asiakassuhteen hoitamisen kannalta merkitykselliset muistiinpanot. Kuntien ja sairaanhoitopiirin ohjaamista asiakkaista rekisteriin tallentuvat automaattisesti lähettävältä taholta saatujen asiakirjojen myötä asiakkaiden henkilötunnukset ja maksusitoumusnumerot, joita tarvitaan mm. palvelusta annetuissa lausunnoissa sekä laskutuksen yhteydessä. Tällaisia tietoja EI siten lähtökohtaisesti kerätä itsemaksavilta asiakkailta, jollei muusta erikseen sovita, koska niillä ei ole merkitystä asiakassuhteen ylläpitämisen ja toiminnan toteuttamisen kannalta. Yhteistyötahojen kautta asiakkaan luvalla yrityksen saapuneita ja palvelun toteuttamisen tueksi annettuja asiakkaan potilastietoja sisältäviä asiakirjoja säilytetään yrityksen lukitussa kassakaapissa vain palvelun toteutuksen ajan, jonka jälkeen ne palautetaan asiakkaalle itselleen, jollei asiasta muuta erikseen sovita. Neuropsykiatrisen valmennuksen osalta asiakkaasta ja häntä koskeneesta valmennustyöskentelystä laaditaan aina valmennussuhteen päätyttyä palvelun maksajalle kirjallinen lausunto, jonka laatimiseksi asiakkaasta kootut tiedot ovat ehottoman tärkeitä. Erikseen sovittaessa lausunto voidaan toimittaa myös sosiaalisen kuntoutuksen muissa palveluissa. Laskutusasiakkaista (kunta, kaupunki, kuntayhtymä, sairaanhoitopiiri tmv.) on rekisterissä omat erilliset kansionsa, joihin on tallennettu laskutuksen ja yrityksen kirjanpidon kannalta olennaiset, tarvittavat tiedot.

6. Mistä ja miten tietoja kerätään?

Asiakkaalta itseltään häntä tavattaessa, puhelimitse tai hänen luovuttaessa tietojaan yrityksen kotisivuilla olevan yhteydenotto-lomakkeen kautta, jolloin tiedot siirtyvät suoraan suojatun yhteyden kautta yrityksen kotisähköpostiin, ja tulevat siitä edelleen siirretyiksi asiakastietorekisteriin. Tietoja asiakkaista saadaan myös asiakasprosessin omistajana toimivilta rekisterinpitäjä-viranomaisilta (kaupunki, kunta, kuntayhtymä, sairaanhoitopiiri tmv. taho) ja näiden virallisilta, nimetyiltä edustajiltaan, kuten esim. sosiaalityöntekijät, palveluohjaajat tai lääkärit, palvelua käynnistettäessä ja sen aikana asiakastapaamisissa, puhelimitse, kirjeinä, sähköpostitse ilman tunnistetietoja, salattujen turvapostien välityksellä sekä maksusitoumusten yhteydessä.

Ohjelmallisten palveluiden (alv 24%), eli muiden kuin sosiaalipalveluiksi luettavien palveluiden osalta asiakastietoja saadaan suoraan asiakkailta itseltään tai muulta palvelun tilaajalta, tämän luovuttaessa sovitusti yrityksen pyytämiä ja asiakasrekisteriin (myös väliaikaisesti) yksilöitäviä tietoja. Tiedonanto voi tapahtua joko henkilökohtaisella tapaamisella, puhelimitse ja/tai yrityksen kotisivujen yhteydenottolomakkeen kautta suojatulla yhteydellä. Toiminnan toteutuksen ja asiakkaiden turvallisuuden varmistamiseksi asiakkailta kerätään myös suoraan manuaalisesti, lomakkeiden avulla, tiettyjä terveyteen liittyviä tietoja (esim. erityisruokavaliot, toimintakykyä rajoittavat tiedot) sekä tietoa lähiomaisista (nimi ja puhelinnumero) tapaturmien varalle.

7. Kenelle ja miten tietoja luovutetaan?

Asiakastietoja voidaan luovuttaa yrityksestä ulos VAIN asiakkaan luvalla, mielellään kirjallisella suostumuksella tai asianomaisen itse läsnä ollessa, sekä tietyin ehdoin ja perustelluista syistä:

  1. Asiakkaalle itselleen luovutetaan häntä koskevat tiedot lain hengen mukaisesti hänen niitä kirjallisesti pyytäessä, kerran vuodessa, ellei tietojen luovuttamisesta kieltäytymiseen ole erityisen perusteltua ja painavaa syytä, jotka on määritelty laissa ja tietosuoja-asetuksissa. Yhteistyötahojen kautta saapuneet, asiakkaan potilastietoja tai muuta häntä koskevaa arkaluontoista tietoa sisältävät asiakirjat palautetaan asiakkaalle, mieluiten henkilökohtaisesti, heti palvelun päättyessä, tai asiakkaan pyynnöstä postitse kirjeenä. Tätä edeltävästi asiakirjoja käsitellään ja säilytetään erityistä huolellisuutta noudattaen yrityksen kotiosoitteessa, lukitussa kassakaapissa. Asiakkaiden tietoja EI KOSKAAN luovuteta suoramarkkinointiin eikä muille kolmansille osapuolille, joista ei asiakkaan kanssa ole erikseen sovittu.
  2. Asiakasprosessin haltijalle (kunnan, kaupungin, kuntayhtymän, sairaanhoitopiirin tmv:n tahon virallinen, nimetty edustaja) asiakkaan tietoja luovutetaan hänen luvallaan ja ennakkoon sovitulla tavalla, esim. asiakasta yhdessä tavattaessa, sähköpostitse ja/tai puhelimitse ilman asiakkaan tunnistetietoja (lukuunottamatta salattu turvaposti) sekä tarvittaessa kirjallisella lausunnolla. Lausunnon toimittamisesta sovitaan em. vastuuhenkilön kanssa erikseen, kuten esim. toimitus henkilökohtaisesti, suljetussa kuoressa kyseessä olevan viraston palvelupisteen kautta tai postikirjeenä.
  3. Yrityksen kirjapitoon luovutetaan sovitun aikataulun mukaisesti aina lain edellyttämät ja kirjanpidon kannalta välttämättömät tiedot (esim. kopiot laskuista ja koonnit tilaajille toimitetuista palveluista), jotka voivat sisältää myös rekisteriin kuuluvia asiakastietoja, kuten esim. asiakkaan etu- ja sukunimet, kotikunta ja lähettävä taho. 
  4. Poliisiviranomaisen niin vaatiessa yritys on velvollinen luovuttamaan rekisteristään kaikki siltä vaaditut asiakastiedot viipymättä ja tietoturvasäännöksiä noudattaen.

8. Tietojen luovutus EU:n ja ETA:n ulkopuolelle?

Mitään yrityksen asiakasrekisteriin koottuja tietoja ei ole tarpeen siirtää EU:n tai ETA:n ulkopuolelle. Yrityksen mahdollisesti myöhemmin siirtyessä sähköisiin kirjanpidon ja verkkolaskutuksen palveluihin näitä palveluita tuottavat osapuolet ovat sitoutuneet jo tahollaan tietosuoja-asetusten mukaisiin tietojen suojauksiin myös niiden palvelinten osalta, jotka mahdollisesti sijaitsevat EU:n tai ETA:n ulkopuolella.  

9. Kuinka yrityksen käyttämät ja tallentamat asiakastiedot on suojattu?

  1. Manuaalisesti asiakastapaamisista ja asiakasta koskevista verkostotapaamisista kootut muistiinpanot kirjataan siten, etteivät ne sisällä asiakkaan tunnistetietoja ja ole näin tietojen kohteena olevaan asiakkaaseen yhdistettävissä. Nämä, kuten muutkin asiakkaista manuaaliset saadut ja kootut tiedot säilytetään yrityksessä niille erikseen varatussa lukitussa kaapissa/tallelokerossa. Kenelläkään muulla henkilöllä ei ole tähän pääsyä, kuten ei muutoinkaan yrityksen asiakasrekisterin sisältämiin tietoihin. Vain tilapäisesti asiakastietoja sisältävät asiakirjat voivat kulkea yrityksen tietosuojavastaavan hallussa asiakkaan kotoa tai lähettävältä taholta yrityksen kotiosoitteeseen, hänen saatuaan ne esim. sopimuksen laatimisen, kotikäynnin tai hoito-/verkostoneuvottelun yhteydessä. Tuolloinkin tietosuojavastaava on sitoutunut noudattamaan asiakirjojen käsittelyssä ja hallussapidossaan erityistä huolellisuutta sekä varmistamaan toiminnallaan, etteivät ne missään vaiheessa jää vaille valvontaa tai päädy ulkopuolisten käsiin.  
  2. Sähköisesti laaditut ja kootut asiakastiedot sijaitsevat yrityksen asiakasrekisterissä salasanoilla vahvasti suojatuissa, kryptatuissa tiedostokansioissa tietokoneella, joka on avattavissa salasanan ja/tai sormenjälkitunnisteen kautta, ja jossa on tietoturvasäännökset täyttävät palomuuri- ja virussuojaukset. Em. tavalla suojattuja asiakastietoja ovat myös palvelut maksavien (muut kuin asiakas itse) tahojen laskutustiedot. Tiedostoista on otettu lisäksi varmuuskopiot ulkoiselle kovalevylle, joka on samoin suojattu omalla salasanallaan ja säilytetään yrityksen lukitussa kassakaapissa. Kaikki salasanat ovat ainoastaan yrityksen omistajan, eli asiakasrekisteristä vastaavan ja sitä ainoana henkilönä käyttävän tiedossa ja säilytetty siten, etteivät ne ole muiden tahojen saatavissa. Sähköisesti tallennetut asiakasta koskevat tiedot ja niiden varmuuskopiot poistetaan asiakasrekisteristä heti asiakassuhteen päätyttyä, ellei laki erikseen muuta edellytä. Mikäli asiakas on ohjautunut palveluun ostopalveluna maksusitoumuksen tai palvelusetelin kautta, luovutetaan kaikki asiakasta koskevat tiedot ko. palvelun päättyessä sen myöntäneelle ja siten myös maksavalle taholle sosiaalihuollon asiakaskirjalain 24§:n mukaisesti, joka määrittää palvelun tilaajan asiakasprosessin haltijaksi ja samalla ko. tietojen osalta viralliseksi rekisterinpitäjäksi. Sairaanhoitopiirin myöntämällä maksusitoumuksella palveluun ohjautuneiden asiakkaiden tietojen säilytyksestä on saatu erilliset ohjeet sairaanhoitopiirin hallinnon taholta. 
  3. Ryhmävalmennuksia sekä yrityksen tarjoamia muita ohjelmapalveluita (alv 24%, eivät lukeudu sosiaalipalveluihin) koskevat manuaaliset tiedot, kuten niitä varten laadittavat turvallisuussuunnitelmat, em. palveluita varten osallistujilta kerätyt ja toimintaan oleellisesti vaikuttavat terveystiedot (esim. tiedot erityisruoka-valioista ja toimintakyvyn rajoitteista) sekä lähiomaisten nimi- ja puhelinnumerotiedot säilytetään aiemmin mainitussa yrityksen lukitussa kassakaapissa, ja sähköisenä arkistoidut tiedot yrityksen sähköisessä asiakasrekisterissä. Näiden palveluiden toteutuksen ajan mahdollisten tapaturmien varalle tarvittavat tiedot kulkevat manuaalisina tapahtumista vastaavan yrittäjän hallussa ja jatkuvan valvonnan alla. Em. tiedot poistetaan yrityksen käytöstä välittömästi palvelun päätyttyä, manuaaliset asiakirjasilppurin avulla ja mahdollisesti sähköisenä tallennetut rekisteristä poistamalla.
  4. Yrityksen käyttämä(t) tietokone(et) on varustettu laajoilla tietoturvaohjelmistoilla sekä salatulla VPN-yhteydellä.
  5. Yrityksen puhelimeen tallennetut asiakkaan nimi-, osoite- ja puhelinnumerotiedot ovat salasanasuojauksen sekä sormenjälkitunnisteen takana, josta vastaa yksin yrittäjä puhelimen ainoana käyttäjänä. Puhelimessa on lisäksi asennettuna oma tietoturva-ohjelmistonsa.
  6. Yrityksen markkinointiin sekä viestintäkanavaksi tarjoamat internet-kotisivut yhteydenotto-lomakkeineen on tietoturvallisesti suojattu siten, että asiakkaiden jättäessä yritykselle niiden kautta tietojaan sähköisesti eivät ulkopuoliset tahot voi näitä tietoja haltuunsa saada. Tästä on merkkinä lukko-tunniste http//-osoitekentässä.
  7. Yrityksen kirjanpitoa varten laissa määritellyt säilytettävät tiedot, jotka sisältävät asiakkaiden tunnistetietoja, luovutetaan kirjanpitäjälle aina henkilökohtaisesti ja säilytetään myös lain vaatima aika yrityksen lukitussa kassakaapissa / tallelokerossa. Mikäli yrityksen kirjanpitoon tulee siirrettäväksi sähköisesti tallennettuja asiakastietoja, tapahtuu niiden siirtäminen vain yrittäjän toimesta, kirjanpitäjän kanssa erikseen sovittavalla, tietoturvallisella tavalla, johon kirjanpitäjä-yritys on luotettavalla tavalla todistanut sitoutuneensa. Yrityksen valitseman kirjanpitäjän on täytynyt siten osoittaa etukäteen käyttämiensä ohjelmistojen ja asiakasrekisteritietojen säilytyksen luotettavuus ja tietoturvamääräysten mukainen turvallisuus, kuten myös manuaalisen aineiston tietoturvallinen säilytys koko kirjanpidon ajan.

 

Asiakastietojen keräämistä, käsittelyä, säilyttämistä, suojaamista ja luovuttamista säätelevät Suomessa yhtäältä maamme oma lainsäädäntö siitä annettuine asetuksineen ja toisaalta uudistunut EU-tietosuoja-asetus (GDPR). Minulle GreenWings-palveluiden tarjoajana ja kehittäjänä on erityisen tärkeää, että asiakkaani voivat olla turvallisin mielin luovuttaessaan minulle palvelun toteuttamista varten tietoja itsestään ja/tai asiakkaistaan. Tästä lupauksesta kertoo seikkaperäisesti laatimani yllä oleva selonteko, yritykseni tietosuojaseloste. Epäselvissä tapauksissa pyydänkin asianosaisia ottamaan minuun suoraan yhteyttä asian selvittämiseksi pikimmiten, jotta suuremmilta haitoilta voitaisiin välttyä, ja epäkohdat saataisiin korjattua. Mikäli minulla yritykseni toiminnasta vastaavana syntyy epäily tietosuojaloukkauksesta tai vakavammasta tietomurrosta, tiedotan siitä asiakaskuntaani viipymättä asian tultua ilmi, kaikkia tiedottamisen kanavia maksimaalisesti hyödyntäen.

Kuopiossa, 6.4.2018,

Niina Liimatainen, GreenWings-yrittäjä ja yrityksen tietosuojavastaava

(tietosuojaseloste on päivitetty viimeksi 28.4.2019 tietosuojavastaavan toimesta)