GDPR gällande Hagabadet
GDPR gällande Hagabadet
Hur Hagabadet arbetar med GDPR och ePrivacy 2
Ordförklaring 2
Vilka personuppgifter behandlar Hagabadet? 2
Medlemmar 2
Spa och behandlingsgäster 3
Kurser och event 3
Sjukgymnastik 3
Intresserade av Hälsa 3
Presentkortsservice 4
Känsliga uppgifter 4
Personuppgiftsbiträdeslista 5
Säkerhetsrutiner 6
Grundläggande rättigheter 6
Marknadsföring – begreppsförklaring 7
Mail och mobiltelefoner 9
Hur Hagabadet arbetar med GDPR och ePrivacy
Ordförklaring
Dataskyddsförordningen (GDPR)
Dataskyddsförordningen, eller GDPR som den också kallas, innehåller regler om hur man får behandla personuppgifter. Förordningen börjar gälla den 25 maj 2018 och ersätter då personuppgiftslagen (PuL).
Anonymiseras
Anonymisering innebär i de flesta fall att samtliga uppgifter på personer raderas. Samtliga som finns i Hagabadets register och inte gjort någon transaktion inom 36 månader raderas automatiskt. Om personer har gett samtycke till direktmarknadsföring överförs mobilnummer och e-mail till en separat lista enbart för utskick.
De som har en skuld, presentkort, värdekort eller blivit nekad tillträde till Hagabadet blir också anonymiserade men om de försöker blir kunder igen så reagerar systemet dvs de hamnar i en spärrlista. Denna spärrlista styrs av behörig personal på Hagabadet. Den som blivit avstängd på Hagabadet för exempelvis olämpligt beteende kan därför inte försöka bli medlem/kund igen efter anonymisering. Anonymisering innebär således i detta fall att ingen annan än behörig personal, i nuläget Hagabadets ledningsgrupp, kan se uppgifterna på en person.
Vilka personuppgifter behandlar Hagabadet?
Hagabadet behandlar och lagrar personuppgifter och syftet är att erbjuda trygghet, säkert och samtidigt erbjuda relevant närliggande information om hälsa och arbetet med förebyggande friskvård. Uppgifterna kan också användas för direktmarknadsföring och för att tillhandahålla tjänster och produkter samt administrera kontakt med våra kunder.
Det är helt olika hur Hagabadet sparar och lagrar uppgifter beroende på vilken tjänst som används. Vissa uppgifter sparas bara med namn och epost och/eller mobil och på vissa så sparar Hagabadet namn, telefonnummer, adress, personnummer, e-post, bankkontouppgifter (om personen väljer att dela upp sina betalning via autogiro).
I vissa särskilda fall där kunden ger sitt samtycke sparar vi information om tex biometriska data som ålder, kön, vikt, hälsostatus, skador mm. Detta sker i en begränsad omfattning och enbart för dem som samtycker till det. Detta sker dock i mycket liten omfattning av Hagabadets totala erbjudande.
Medlemmar
Hagabadet arbetar med en medlemstruktur där en person blir medlem för kortare eller längre tid. Denne persons medlemskap är individuellt och samtliga skriver på ett medlemsavtal och därmed godkänner våra villkor för att vara medlem. I dessa villkor står det att Hagabadet ges rätten att lagra uppgifter samt ett samtycke att göra marknadsföring. Dessa villkor följer tidigare datalagstiftning och har funnits i många år på Hagabadet.
Efter medlemstidens upphörande sparar Hagabadet medlemmens uppgifter då tidigare medlemmar har rabatter och förmåner som de kan tillskansa sig då de väljer att bli medlemmar igen. Vår erfarenhet visar att medlemmar som varit borta längre än 36 månader ej längre är att betrakta som ”före detta” medlem och skall därför tas bort ur våra register. Vi sparar således samtliga uppgifter på en medlem under 36 månader och sedan blir de anonymiserade.
Ändamålet med att spara uppgifter under 36 månader är således att säkerställa att rätt kund får rätt behandling enligt deras tidigare historik. Många medlemmar har varit medlemmar under tio år men tagit en paus på grund av
utlandsjobb, flytt mm och när de kommer tillbaka vill de fortfarande veta sin statistik, sina förmåner mm som de hade när de var medlemmar. Det är ofta inte en önskan utan ett krav från kunden.
Medlemmar som har en förfallen skuld, ett värdekort, missbrukat sitt medlemskap eller på annat sätt har en koppling till oss sparar vi tills vi inte har en relation med medlemmen längre. Dessa medlemmar anonymiseras dock vilket gör att endast kontrollerande behörig instans på Hagabadet kan se detta. Behörig instans är ledningsgrupp på Hagabadet.
Uppgifterna sparas i vårt affärssystem BRP System
Spa och behandlingsgäster
Spa och behandlingsgäster som besöker oss lämnar sina personuppgifter till oss vid bokning då vi behöver veta vilka som är i vår verksamhet av olika trygghetsskäl såsom brand, sjukdom mm samt att Hagabadet enligt villkor kan debitera personen om de inte dyker upp på avtalad tid.
Många som besöker vår spa och behandlingsverksamhet gör det av olika hälsoskäl och många av dem är återkommande gäster. De får ofta rekommendationer som innebär att de behöver tex massage eller behandlingar över lång tid för att bli friskare och uppnå full potential i sitt liv.
Ändamålet är att ha historik över de hälsoåtgärder vi genomfört så att vi undviker felbehandlingar, att kunden har sina specifika önskemål/krav och att kunden känner att vi gjort vad vi kan för att de skall mål bättre och vara friskare. Det är också vanligt att en person gör några uppföljande besök och sedan känner sig frisk men kommer tillbaka efter några år och då är det viktigt att vi har historik så vi vet vad vi gjorde tidigare år samt att kunden känner att vi vet vad vi gör. Det är förödande för en kundrelation om vi inte har kontroll över den historik som kunden har.
Spa och behandlingsgäster anser Hagabadet att de har en relation med och ett legitimt intresse att spara uppgifter och samtliga som besöker oss har genomfört en bokning, betalar inträde mm, godkänner också att vi sparar deras personuppgifter via information före, under och efter bokning samt att de gett samtycke till marknadsföring.
Vi sparar dessa uppgifter i 36 månader och sedan blir dessa anonymiserade.
Kurser och event
Hagabadet genomför många livsstilsrelaterade kurser och event där målet är att minska ohälsan och skapa förutsättningar för en hög livskvalitet. I samtliga kurser och event får deltagarna ge samtycke att vi sparar deras uppgifter för tex relevant information om nästkommande kurser och event. Kurser kan vara av olika längd över tid och vissa kurser är återkommande vilket gör att vi anser att det är relevant för oss att spara deltagarnas uppgifter över tid.
Vi sparar deras uppgifter under 36 månader i vårt affärssystem och därefter blir deltagarna anonymiserade.
Sjukgymnastik
Hagabadet utför sjukgymnastik och vi sparar där personuppgifter i ett särskilt journalhanteringsprogram som endast sjukgymnaster har tillgång till samt i vårt affärssystem. Sjukgymnastik kan vara en lång process och det är viktigt för framtida behandlingar att sjukgymnasterna har relevant historik. Personuppgifter sparas därför i 36 månader i vårt affärssystem för att sedan bli anonymiserade. Journalhantering kring patienter styrs av annan lagstiftning och sparas så länge som lagen kräver.
Intresserade av Hälsa
Hagabadet arbetar intensivt med att få fler människor till god hälsa och arbeta med preventivt hälsoarbete. Detta sker genom insamlande av personuppgifter på flera olika sätt. Genom annonser, reklam, aktiviteter på gator och torg, websidor, formulär, sociala media mm sker ett intensivt arbete att hitta och identifiera människor som behöver våra olika tjänster inom hälsoområdet.
Varje individ som lämnar sina personuppgifter till oss behandlas i vårt affärssystem och där ligger de kvar tills individen väljer att vi skall ta bort dem ur registern. Det är frivilligt att anmäla sig för individen och på flera olika sätt ger individen sitt samtycke till att de registreras. När individen lämnar sina uppgifter får de också en bekräftelse på att de är registrerade. I all kommunikation som skickas till individen lämnas möjlighet att avregistrera sig eller att bli raderad ur Hagabadets register.
Före den 25 maj 2018 har ett flertal individer frivilligt lämnat sina personuppgifter till Hagabadet och då har de klart och tydligt informerats om att Hagabadet följer gällande datalagsstiftning och att de genom att lämna ifrån sig sina uppgifter också ger sitt samtycke att vi registrera dem i vårt affärssystem samt marknadsföring. De har också fått information om att de när som helst kan välja att bli borttagna ur registret. De har också via websida, webbokning, webbetalningar samt bokningsbekräftelser blivit informerade om att de kommer att bli registrerade i vårt register och därigenom ger sitt samtycke till lagring av personuppgifter samt marknadsföring.
Hagabadet har aldrig någonsin köpt personuppgifter och samtliga som finns i Hagabadets register har en relation med Hagabadet på något sätt och ger Hagabadet legitimt intresse att inneha personuppgifter.
De allra flesta som frivilligt lämnat sina personuppgifter gör det via formulär där vi också på ett lättförståeligt sätt informerar hur vi arbetar med personuppgifter.
Hagabadet har verkat på marknaden sedan 1997 i sin nuvarande bolagsform och genom åren har många passerat genom dörrarna. Många av dessa finns i vårt affärsystem och är till stor nytta och glädje för återkommande gäster. Vi får ofta frågan om vi kan se att de varit medlemmar sedan öppning, eller att de var medlemmar under några år på 2000 talet men också från behandlingskunder som vill bli bekräftade genom att vi känner till att de varit hos oss vid många tillfällen. Med nya GDPR kommer vi att anonymisera samtliga personer som vi anser inte har en aktiv relation med oss och anonymisera samtliga som är registrerade före 2015-05-24.
Presentkortsservice
Vid försäljning av presentkort får den som köper en möjlighet att lämna namn, telefonnummer och mail om de vill att vi skall påminna dem om att presentkortet är på väg att nå sin giltighetstid. De får då också möjligheten att lämna namn och mobilnummer till den som skall få presentkortet. Denne person ger således INTE sitt tillstånd att registreras i vårt datasystem och omständigheterna kring att man skall få en present eller julklapp gör att personen inte ens vet om att den registreras. Således ges inget samtycke från den som får presentpaketet men Hagabadet anser att ändamålet helgar medlen för individens bästa. Den som lämnar ut sin väns kontaktuppgifter får med sig information som de lämnar till sin vän för att vännen skall veta var de är registrerade.
Vi hamnar således i en prekär situation mellan kunden som köpt presentkortet, kunden som får presentkortet och Hagabadet. Hagabadet gör därför en intresseavvägning och sparar denna personuppgift tills kunden använt sitt presentkort för att på så sätt påminna kunden om att de har ett presentkort som är på väg att gå ut. Vi tar också hänsyn till att den som köper ett presentkort och frivilligt lämnar uppgifter till den som skall få det, har en sådan personlig relation att de anser det skäligt och till och med nödvändigt att påminna om presentkortet. De som inte använder sina presentkort trots påminnelse tas bort sex månader efter att deras presentkort utgått då de inte längre kan reaktiveras och därefter anonymiseras
Känsliga uppgifter
Hagabadet får in uppgifter som tex biometriska data som vikt, ålder, skadehistorik mm men det är av ringa omfattning. Hagabadet för in dessa uppgifter i systemet av det huvudsakliga skälet att vem som helst av våra tränare skall kunna ta del av informationen för att hjälpa kunden vid eventuell sjukdom på plats eller om ordinarie personal är frånvarande och någon behöver rycka in. Detta är nödvändigt för kundens hälsotillstånd vid besöket. En uppgift kan tex vara ”smärta i axel”, haft en stroke för sex år sedan” och liknande och Hagabadet anser att detta är en känslig uppgift.
Information om uppgifter som anses känsliga styrs av behörigheter och endast behörig personal kan se dessa uppgifter dvs tränare, sjukgymnaster mm.
Alla som lämnar uppgifter som kan anses vara känsliga skriver på ett dokument om samtycke vid registrering. Kunden kan när som helst återkalla sitt samtycke och då raderas samtliga känsliga uppgifter.
Personuppgiftsansvarig
Hagabadet är personuppgiftsansvarig som bestämmer vilka uppgifter som skall sparas, hur de behandlas och vad uppgifterna skall användas till. All kommunikation kring GDPR skall vara skriftlig och skickas per post till personuppgiftsansvarig
Hagabadet AB Att/ekonomiavdelning Xxxxx Xxxxxxxxx 0
41301 Göteborg
Personuppgiftsbiträdeslista
Hagabadet har ett flertal personuppgiftsbiträden för att kunna utföra många tjänster för Hagabadets räkning och där Hagabadet har skrivit avtal med samtliga.
Hagabadet delar personuppgifter med dessa personuppgiftsbiträden som i sin tur har skrivit avtal om att inte ge tredje part någon information om personer samt använder samtliga uppgifter med sekretess.
ProReNata- sjukgymnastjournalprogram
Exorlive – Övningsprogram för personliga tränare. Baserat i Norge och därmed utanför EU. Hagabadet undviker därmed att lägga in personuppgifter i dessa program utan använder programmet som en ren övningsbank för tränare. Om/När Hagabadet väljer att lägga in personuppgifter i Exorlive kommer Hagabadet begära ett speciellt samtycke.
BRP Systems – Affärssystem för fakturering, kundhantering, inpassering, medlemskontroll
Facebook/Instagram – sociala media plattform där Hagabadet laddar upp mailadresser för att ge mer relevant information om Hagabadets hälsotjänster
Google – Digital plattform där Hagabadet laddar upp mailadresser för att göra diverse marknadsaktiviter och för en mer relevant marknadsföring kring Hagabadets hälsotjänster
Mailchimp – plattform för e-post som är integrerad i BRP Systems
Tanita – Ett verktyg för att mäta personliga biometriska data som används för att göra uppföljning på de kunder som väljer att göra en sådan här mätning. Detta sker enbart för dem som väljer att göra det och med ett personligt underskrivet samtycke.
Fit 3d – Ett frivilligt verktyg för att mäta nulägesstatus där kunden får en 360 graders bild av sig själv med biometriska data där kunden sedan får kontinuerlig uppföljning. Endast de som gör denna frivilliga mätning registreras samt att de ger ett skriftligt samtycke. Fit3D är ett amerikanskt företag och namn, mailadress och biometiska data kommer därför föras över till Fit3D där Fit3D har förbundit sig att iakta sekretess och att inte föra personuppgifter vidare till tredje part.
Hogia ekonomi – Fakturor
Hogia lön – Medarbetare
Quinyx – tidsbokningssystem för medarbetare
Netono – företag som erbjuder serverlösningar som är specialister för BRP Systems.
Excel – Vissa processer inom Hagabadet använder personuppgifter i excel. Tex den som genomgår vårt program ”Hagabadet runt på 30 dagar” registreras i excel för uppföljningsprogram och statistik. Endast den som genomför programmet ”Hagabadet runt på 30 dagar” frivilligt, registreras i excel. Det som registreras är endast förnamn och efternamn.
Säkerhetsrutiner
Hagabadet förstår att personuppgifter är känsliga uppgifter och tar detta med stort allvar. Vid eventuellt dataintrång kommer åtgärder kraftigt vidtas och anmälas inom 72 timmar.
Hagabadet kommer också att säkerställa personer som arbetar med vårt register arbetar med full konfidentiellitet dvs Hagabadets medarbetare kommer inte att sprida personuppgifter vidare till tredje part eller ens inom företaget.
Det är också Hagabadets policy att ingen medarbetare använder uppgifterna på ett kränkande sätt eller skriver kränkande, personliga åsikter om personen.
Vid eventuella misstankar om dataintrång skall alltid VD kontaktas omedelbart som vidtar nödvändiga åtgärder tillsammans med operatör av systemet hos serverleverantör.
Grundläggande rättigheter
Privatpersoner har flera grundläggande rättigheter i enlighet med GDPR som tex rätten att få sina uppgifter raderade.
Hagabadet har en process för hur detta skall fungera.
Medlem som vill bli raderad före den automatiska anonymiseringen – Denna process kan endast ske av ekonomiavdelning på grund av kontroll mot ekonomisystem. Medlem kommer oavsett att bli anonymiserad men hamnar i en lista som är en sk spärrlista, dvs medlemmar som på något sätt misskött sig kan inte anmäla sig igen eller bli kund. Dock kan Hagabadets medarbetare med erforderlig behörighet söka upp kund.
Medlem som inte vill ha kommunikation med oss - Bocka i rutorna att denna kund inte vill ha sms eller mail från oss så slipper de få mer kommunikation från Hagabadet. Medlem kan också göra en sk Optout dvs själv välja att frånsäga sig marknadsföring från Hagabadet genom enkla steg antingen direkt i mail eller via websida.
Övriga gäster som vill bli raderade – Även denna process skall hanteras av ekonomiavdelningen på grund av risken för obetalda fakturor, värdekort mm.
Övriga gäster som inte vill ha kommunikation med oss – Kontaktuppgifter avseende kommunikation raderas omedelbart
Hagabadet lagrar information om samtliga personer som på något sätt haft en relation med Hagabadet. Efter 36 månader raderas samtliga uppgifter förutom för de personer som gett sitt samtycke till att Hagabadet gör direktmarknadsföring. Då sparas endast mail och mobilnummer. Allt annat raderas.
Samtliga som på något sätt använt Hagabadet har på olika sätt, xxxx, formulär, bokning av någon av våra tjänster, varit på event, köpt presentkort och lämnat personuppgifter har medgett samtycke att Hagabadet gör direktmarknadsföring.
• Rätt att återkalla samtycke (den enskilde har rätt att närsomhelst återkalla det samtycke som du lämnat angående Hagabadets behandling av dina personuppgifter) – Notera att det ska vara lika lätt att återkalla samtycke som det var att erhålla det. Att återkalla ett samtycke kan ske på olika sätt. Antingen via länk direkt i mail eller via vår websida xxxx://xxxxxxxxx.xx/xxxxx.xxx?xxx000
Hagabadets systemleverantör klarar tyvärr inte av att automatiskt radera mobilnummer vilket gör att den som inte vill ha sms längre måste gå in på websidan xxxx://xxxxxxxxx.xx/xxxxx.xxx?xxx000 och där ange namn och nummer. I ett flertal fall har någon lämnat fel mobilnummer vilket tyvärr kan innebära att någon som aldrig varit på Hagabadet kan få sms. Därför är det viktigt att alltid lägga med länk i alla smsutskick och där fråga efter mobilnummer.
• Rätt att få felaktiga uppgifter rättade. Detta skall vara enkelt och kan skötas från reception/via mail eller telefon.
• Rätt till tillgång till uppgifter (få en kopia av de uppgifter Hagabadet behandlar om dem)
På grund av att vissa personer varit kunder till Hagabadet under 20 år och varje aktivitet som tex olika gruppträningspass sparas i systemet kan det innebära att volymen information är mycket stor. Den som vill få tillgång till sina uppgifter skall därför först anmäla via mail till xxxxxxxxxx@xxxxxxxxx.xx att de vill ha uppgifter som är lagrade, därefter bokas en tid för utlämning av uppgifter mot uppvisande av legitimation. Utlämning av uppgifter kan ske via papper, USB minne eller på annat sätt lämnas ut.
Utlämning av personuppgifter lämnas aldrig ut via mail då detta inte anses tillräckligt tryggt och säkert.
• Rätt till begränsning av behandling (om exempelvis Hagabadet behandlar felaktiga uppgifter om en person kan denne begära en begränsning av behandlingen av uppgifter under den tid det tar att rätta dessa uppgifter),
• Rätt till dataportabilitet (dvs. rätt att få sina uppgifter överförda till en annan tjänsteleverantör – avser personuppgifter som den enskilde själv lämnat, när behandlingen grundar sig på samtycke och behandlingen sker automatiserat),
• Rätt att göra invändningar (den enskildes rätt att invända mot behandling som grundas på intresseavvägning eller behandling för direkt marknadsföring)
• Rätt att klaga till Datainspektionen (om den enskilde anser att Hagabadet behandlar uppgifter felaktigt).
Marknadsföring – begreppsförklaring
Det råder för närvarande stor förvirring kring GDPR och direktmarknadsföring som tex mailutskick. Nedan text är att betrakta som en förklaring av olika begrepp.
Först kan nämnas att marknadsaktiviteter inte bara är exklusivt genom samtycke och dessutom inte reglerade av GDPR utan genom ePrivacy Directive.
När man gör direktmarknadsföring till kunder och potentiella kunder är det två specifika legala instrument att beakta, (i) GDPR och (ii) e-Privacy Directive (ePD)
GDPR reglerar processen kring personliga data och i termer av marknadsföring, data som ligger till grund och pinpointar dina aktiviteter. Hur man kommunicerar med existerande och potentiella kunder genom elektroniska media så är aktiviteterna reglerade genom ePD
Vad betyder detta? Först måste man försäkra sig om att man samlar in, lagrar och använder personlig data i enlighet med GDPR och när man skickar ut att det sker i enlighet med ePD.
Det finns två legala motiv för att samla in och processa personliga data; antingen genom samtycke från personen eller som ett legitimt intresse för företaget.
Direktmarknadsföring baserat på legitimt intresse
GDPR hävdar specifikt att direktmarknadsföring kan vara ansett som ett legitimt intresse. Samtidigt så finns det också ett krav att datasubjektet har absolut rätt att begära att undvika direktmarknadsföring.
I de flesta fall, för att harmonisera med ePD i syfte att göra direktmarknadsföring måste man antingen ha en existerande relation ”i ett sammanhang som försäljning av produkt eller tjänst” eller ett samtycke. Vad menas då med legitimt intresse?
Enligt ePD, om företaget har samlat in elektroniska kontaktuppgifter (email, mobilnummer etc) på ett datasubjekt i samband med försäljning, företagsrelaterade aktiviteter (inkluderat offerter) är det att betrakta som en existerande relation. Genom detta är det möjligt att göra marknadsföring av produkter och tjänster som härrör till orginalförsäljningen (man kan inte marknadsföra försäkringar till någon som köpt en skönhetsprodukt) förutsatt att datasubjektet har en enkel möjlighet att tacka nej till fortsatt marknadsföring via direktmarknadsföring. Dessa regler gäller för email och sms.
För telefonsamtal gäller många olika nationella lagar inom EU och därför är det viktigt att datasubjektet gett sitt samtycke till företaget att använda direktmarknadsföring om datasubjektet förs in i ett register. Men, direktmarknadsföring via telefon kan förekomma om det lokala landets lagar tillåter det. Hagabadet får in namn och telefonnummer från befintliga medlemmar som kommer med telefonnummer till deras vänner, familj mm och vill att vi ringer upp dem för att motivera dem till en god hälsa. Hagabadet arbetar då med telefonsamtal och är inte ”vänner, familjemedlemmen” intresserade så slutar Hagabadet att ringa.
Direktmarknadsföring baserat på samtycke
Samtycke innebär att:
• Det måste vara frivilligt att ge
• Det måste ges för ett specifikt syfte
• Personen måste förstå vad det är de ger samtycke till
Samtycke kan inte inhämtas som ett krav för att tillgodose sig tjänsten om det är inte är en förutsättning för tjänsten. Hagabadet erbjuder tex gratis yoga men för att få vara med är det en förutsättning att anmäla sig och skicka in en anmälan vilket Hagabadet då anser inte går under regeln om samtycke ÄVEN om Hagabadet ÄVEN säger till personen att de genom att anmäla sig också ger samtycke till att vi marknadsför inom området hälsa.
Hagabadet anser att denna anmälan faller under legitimt intresse och en intresseavvägning sker hur vi behandlar dessa personuppgifter.
Hagabadet erbjuder tex också gratis föreläsningar med professorer, läkare mm inom hälsa och även här krävs en anmälan vilket också ger oss legitimt intresse men deltagaren får på flera ställen under anmälan också ge sitt samtycke till marknadsföring. Hagabadet har inte specifikt använt en sk klickbox vid dessa tillfällen så Hagabadet kan inte ge bevis på att deltagaren faktiskt förstått vad de ger samtycke till men å andra sidan anser Hagabadet att det föreligger ett legitimt intresse för Hagabadet att veta vilka det är som deltager på event och föreläsningar då deltagareantalet ofta är begränsat. Genom att anmäla sig, boka och sedan deltaga på dessa event och föreläsningar har vi ett legitimt intresse att informera om de olika hälsoerbjudanden Hagabadet erbjuder.
Hagabadet kommer att införa en sk klickbox i varje aktivitetet för att säkerställa att alla framtida deltagare förstår på ett enkelt och tydligt sätt vad de ger samtycke till.
Summering av ovan text.
Alla som på något sätt kommer i kontakt med Hagabadet, antingen via besök, provträning, köp av presentkort, tävlingar, arrangemang eller liknande hamnar i vår lista för direktmarknadsföring, antingen som ett så kallat legitimt intresse eller via samtycke. Vi sparar personuppgifter i maximalt 36 månader, sedan raderas uppgifterna
automatiskt förutom för mail och mobilnummer som hamnar i vår distributionslista för marknadsföring. För att tas bort krävs att personen själv väljer att klicka på en länk i mail (som alltid följer med) eller via vår websida.
Mail och mobiltelefoner
Hagabadet får ofta in personuppgifter via mail och sms på olika sätt då många kunder kommunicerar via dessa kanaler. När så sker skall omedelbart efter att syftet med mail och sms uppfyllts uppgifterna raderas ur respektive telefon. Ingen medarbetare skall ha uppgifter i sina företagstelefoner eller privata telefoner.
Personuppgifter i en sk kontaktlista i mobiltelefon omfattas ej dvs en personlig tränare kan skicka och ta emot meddelanden med sin klient som tidigare. Känsliga uppgifter om tex hälsa, biometri mm skall omedelbart raderas.
Göteborg den 14 maj 2018 Xxxxx Xxxxxxxxx
VD Hagabadet