Viktig information om salongens hantering av kundinformation i Wavy Business, och era rättigheter och skyldigheter gentemot era kunder och ev. anställda.
Vad är GDPR, vad är syftet med den?
Dataskyddsförordningen, förkortad till GDPR på engelska, börjar gälla den 25 maj 2018. Den ersätter den svenska Personuppgiftslagen, PUL. Så här skriver Tillväxtverket i sin tolkning av regelverket:
GDPR ska stärka enskilda personers rättigheter över hur företag, myndigheter och organisationer får samla in och använda deras personuppgifter.
GDPR innebär att samma regler för hur personuppgifter får hanteras ska gälla i hela EU.
Dataskyddsförordningen ställer strängare krav på hur företag får samla in och använda personuppgifter. Om du som företagare bryter mot reglerna i förordningen så riskerar du kännbara böter. Därför är det viktigt att känna till vilka regler som gäller när du använder personuppgifter i företaget.
Detta är ett omfattande regelverk, och att det kommer ta flera år innan praxis är väldefinierad. Det innebär att vi kan behöva uppdatera detta dokument så småningom - vi håller dig förstås informerad.
Vad du behöver veta
Det är viktigt att förstå att salongen (det juridiska företaget) är ansvarigt för hur personuppgifter om era kunder, och ev. anställda, hanteras.
I korthet behöver detta inte innebära några större förändringar för hur du hanterar kundinformation i Wavy Business idag. Vi kommer göra några mindre förändringar i Wavy Business för att göra det enkelt för dig att följa lagen, och för att göra det tydligt för era kunder vilka rättigheter de har.
Det är förstås ert ansvar att tolka och följa GDPR. Det är följande är tänkt som ett stöd till er, och är vårt förslag till tolkning. Nedan föreslår vi att ni använder oss på Wavy för att hantera kunders eventuella begäran om utdrag/radering osv, men givetvis kan ni välja att hantera det på annat sätt.
De centrala delarna som vi menar att ni behöver känna till:
Ditt företag är Personuppgiftsansvarigt och ansvarar därmed för de kunduppgifter som ni lagrar. Som systemleverantör till er är Wavy ett Personuppgiftsbiträde som behandlar personuppgifter för er räkning.
Med personuppgifter menas namn, telefonnummer, färgrecept, foton och andra uppgifter som gör det möjligt att identifiera en fysisk person.
Samla inte in fler personuppgifter än vad som behövs. Samla inte in personuppgifter ”därför att det kan vara bra att ha”. Använd sunt förnuft, och spara bara sådan information som ni behöver för att kunna fullfölja ert åtagande mot kunden. Bokningar, telefonnummer, färgrecept, information om hårkvalitet, produktköp och liknande är förstås nödvändigt att spara i er yrkesutövning.
Det är uttryckligen förbjudet att lagra personuppgifter som “avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning” (det finns undantag när detta får lagras, t.ex för hälso- och sjukvårdverksamheter).
Kunderna ska få information om vem som ansvarar för personuppgifterna med kontaktuppgift (dvs till Salongen), vad som behandlas och varför, hur länge uppgifterna sparas, och att det går att radera och korrigera uppgifterna. Detta kommer att framgå av en uppdatering av Villkorstexten som finns tillgänglig när kunderna bokar genom Wavy och genom en länk på salongens bokningssida.
En kund har rättighet att få tillgång till de uppgifter som lagrats om hen i systemet, inom 30 dagar. Wavy kan hantera en sådan begäran om att få ut informationen. Antingen kan de be er direkt på salongen, och ni kan då enklast bara be oss i chatten, så skickar vi uppgifterna till kunden. Eller så kan kunden kontakta oss direkt via SMS till vårt supportnummer, och då kommer vi först höra av oss till er innan vi skickar ut något. Det kommer att framgå av kundens Villkorstext för tjänsten hur hen gör.
Kunden kommer då att kunna se sitt namn, telefonnummer och sin bokningshistorik. Däremot lämnar vi inte ut färgrecept och annan info ni skrivit i kommentarsfälten till kunderna eftersom färgrecept, bedömningar av hårkvalitet, och liknande är resultat av er yrkesskicklighet och utgör därmed en affärshemlighet. Det innebär i praktiken att det som står i infofälten inte lämnas ut till kund av oss.En kund har rätt att bli “bortglömd”, dvs raderad ur systemet. Vi kommer sätta upp en automatisk radering av kunder som varit inaktiva i förslagsvis mer än två år från och med den 25 maj 2018, dvs inte fått någon ny bokning eller anteckning den 25 maj 2020. Vi raderar då kunden ur ert kundregister och tar bort hens namn från alla gamla bokningar (bokningarna finns kvar så att ni kan se dem i er kalender men då utan namn på kunden). Hör av dig om ni menar att ni bör ha en annan tid än två år.
En kund kan även själv begära att bli raderad, och det hanteras precis som ovan, dvs vi hjälper till att lösa det på er begäran. Vi raderar hen från systemet inklusive samtliga bokningar, under förutsättning att det inte finns några framtida bokningar på kunden.
En kund har rätt att tacka nej till att få marknadsföring från er (vi kan göra utskick på SMS till era kunder åt er). Denna rättighet framgår av Villkorstexten och där framgår att hen bara behöver anmäla att de inte vill ha marknadsföring i framtiden, via ett SMS till vårt supportnummer. Bokningspåminnelser är förstås inte marknadsföring, och omfattas inte av denna begränsning.
Vad du behöver göra
Ni bör vara noga med vad ni skriver i infofälten. Även om kunderna inte kommer att se vad det står är det alltså inte förenligt med GDPR att ha med något annat är det ni behöver för att uppfylla ert åtagande mot kunden.
GDPR omfattar även epost, facebook och andra digitala verktyg, så det är förstås viktigt att inte spara olämplig kundinformation där heller.
All information till era kunder om deras rättigheter osv, kommer alltså att finnas i den uppdaterade Villkorstexten som kunderna hittar i Wavy. Och om kunderna vill få ut information, radera sig eller tacka nej till marknadsföring, så hanterar vi det - ni behöver inte göra någonting, men självklart kan ni välja att agera annorlunda. GDPR är som sagt salongens ansvar.
Har du några frågor eller funderingar så finns vi i chatten som vanligt! Vi kommer att uppdatera detta dokument om/när det kommer några nyheter.