GDPR STOCKHOLM SALTSPA

 

  1. Stockholm Saltspa är ansvarig av registerhållning av sina kunder/patienter. En hyresgäst som hyr plats/rum hos Stockholm Saltspa och driver separat verksamhet i lokalen, är själv ansvarig över registerhållning av sina kunder/patienter. Ett extern firma, Bokadirekt AB, används för bokningar.  Bokadirekt AB agerar som personupptgiftsbiträde på dessa uppdrag. Bokadirekt har därför uppdaterat sina allmänna villkor med en Personuppgiftsbiträdesavtal som gör Bokadirekt personuppgiftsbiträde.
  2. Stockholm Saltspa AB är ej ansvarig över hyresgästens kunddatabas eller hantering av det. Stockholm Saltspa ser till, för Stockholm Saltspa att:

    – Att obehöriga inte har tillgång till Stockholm Saltspats Bokadirekt-konto
    – Att det inte förs anteckningar som innehåller känsliga uppgifter utan grund
    – Att det finns en policy för varför och hur länge det finns grund att spara kunders/patienters personuppgifter. Denna Policy för Stockholm Saltspa är 5 år. Naturligtvist kan kunden själv välja att bli inaktiv genom att meddela Stockholm Saltspa om detta eller bli glömd/avregistrerad genom att avregistrera sig själv efter ett informationsbrev har skickats ut.

    En person blir inaktiv om det inte finns en bokning på 5 år. Kunddatabas kontrolleras den 15e varje månad och inaktiva kunder på 5 år eller mer raderas. Detta görs av ägaren Riikka Hoffrén senast den 15e dag i varje månad.

Varför 5 år? Stockholm Saltspa anser att p.g.a. en stor variation av olika bokningsmöjligheter (så som företagsbokningar, födelsedagsfester, möhippor eller dylikt – som inte bokas in varje år) kan tiden mellan besöken gå upp till 5år för en del av kunder.

  1. En kund/patient har också rätt att bli “bortglömd”. Detta innebär att Stockholm Saltspa, på kund/patients uppmaning inom rimlig tid, normalt maximalt 1 månad*, måste radera kund/patients personuppgifter från kundregister och bekräfta detta.

 

Observera: Stockholm Saltspa sparar ej uppgifterna någonstans utanför Bokadirekts sytem så länge Stockolm Saltspa anväder utav Bokadirekts tjänster för bokning. Policyn kommer uppdateras med samma grund ifall en annan leverantör av bokningssystem skaffas i framtiden.

* Om det är extra komplicerat eller många inkomna fall kan den tiden förlängas med två månader, men då måste man meddela att ärendet är försenat och varför till den registrerade inom den första månaden.

  1. o.m. att personuppgiftslagen övergår i datakyddsförordningen så försvinner det allmänna kravet på samtycke. Det byts ut mot starkare krav på information och öppenhet kring behandling där man i samband med att uppgifter hämtas in till sitt register måste berätta vilka uppgifter som sparas för vilka ändamål och hur länge man tänkt lagra dem. Uppgifterna får sedan inte användas i andra ändamål. Stockholm Saltspa AB använder de uppgifter som kunden lämnat in vid bokningen; oftast är det för-och efternamn, telefonnummer samt en e-postadress. Uppgifterna används för bokningsbekräftelsen, påminnelsen, avbokningar information eller marknadsföring.

 

  1. För vissa uppgifter så kan samtycke fortfarande användas som grund för insamling och behandling, (för att stärka sina argument för varför behandlingen är laglig). Samtycket måste dock vara meningsfullt och de uppgifter som lagras på bas av samtycke måste omedelbart kunna raderas om samtycket dras tillbaka. Bokadirekt gör bedömningen att explicit samtycke inte krävs i ett ”standardanvändande” av tjänsten. Standardskrivningen för villkor vid bokning kommer ge Stockholm Saltspa AB rätten att kommunicera med kund/patient för att kunna påminna om och fullfölja bokningen samt i marknadsföringssyfte.

 

  1. Stockholm Saltspa AB lagrar ej uppgifterna någon annanstans utanför leverantören av bokningssystem. Ifall bokninssystemets leverantör byts från bokadirekt till en annan leverantör, överförs uppgifterna till ett nytt system med fortsatt samma policy som ovan nämt. Ett centralt begrepp i dataskyddsförordningen är det som kallas ”Privacy by Design” vilket innebär att en verksamhets system och rutiner ska ta hänsyn till och respektera integriteten hos de personer som berörs av dem. Bokadirekt egna IT-system skyddar uppgifterna med säkra inlogg, kryptering och standardmetoder för säkra IT-system.

 

  1. Lagring av personuppgifter av Bokadirekt: Bokadirekt driftas i Amazon AWS anläggningar på Irland och i Tyskland.