Personuppgiftsbehandling SSG
Personuppgiftsbehandling SSG
Personuppgiftsansvarig: Skjöld/Xxxxxx&Xxxxxxxx Leg. Opt HB
Xxxxxxxxxx 0
201 20 Malmö
040-79550
Dataskyddsombud: Verksamhetsansvarig; Xxx Xxxxxxxx
Skjöld/Xxxxxx&Xxxxxxxx Leg opt 040-79550
Personuppgiftsbiträden: - Klarsynt i Sverige AB/Optiserve AB
• Linsboxen/IndigoLighthouse via avtal med Klarsynt i Sverige AB
• Ninetech via avtal med Klarsynt i Sverige AB
• Avtalsleverantörer via avtal med Klarsynt i Sverige AB
- Visma Spcs
- Fortnox
- Alla övriga leverantörer
För Xxxxxx/Xxxxxx&Xxxxxxxx är din personliga integritet och skyddet för dina personuppgifter viktigt. Skjöld/Xxxxxx&Xxxxxxxx följer alla vid var tid gällande lagar och regler för personuppgiftsskydd. Xxxxxx/Xxxxxx&Xxxxxxxx persondatapolicy avser att informera dig om vilken slags information som Skjöld/Xxxxxx&Xxxxxxxx samlar in och hur informationen används.
Denna persondatapolicy beskriver hur Skjöld/Xxxxxx&Xxxxxxxx, xxx.xx 969688-2621, med adress Xxxxxxxxxx 0, 0 xxx, 000 00 Xxxxx behandlar dina personuppgifter och de rättigheter du har i samband med detta enligt GDPR.
Roller hos Xxxxxx/Xxxxxx&Xxxxxxxx:
- Administratör (delägare, som också är optiker)
o Fakturering till privatpersoner och företag
o Upprättande av journal
o Redigering av journal
- Optiker
o Upprättande av journal
o Redigering av journal
- Optikerassistent
o Tillgång till utvalda delar av journalsystemet
- Receptionist/säljare
o Tillgång att läsa och ändra personuppgifter
o Tillgång till köphistorik
o Tillgång till upprättande av nytt köp (glaskorrektion samt order, direktköp i kassa)
- Ekonomiansvarig
o Lönearbete
o Hantering av leverantörsfakturor
o Bokföring och redovisning
- Personalansvarig
o Upprättande av anställningskontrakt med anställda
Alla roller, undantaget ekonomiansvarig som inte har tillgång till journalsystemet, lyder under patientdatalagen (PDL) och har tystnadsplikt. Alla anställda har skriftligen vidtaget att de lyder under dessa förhållningsregler.
Journalsystemet är lokalt baserat och säkerheten sköts med biträde av Ninetech AB. Automatisk backup sker dagligen och minst 5 generationer av säkerhetskopior sparas. För säkerhetskopiering används Microsoft Azure som administreras av Ninetech AB. Inga uppgifter lämnas vidare från dem till tredje part. Se personuppgiftsbiträdesavtal.
Brandvägg och antivirusprogram finns installerat på alla enheter på företaget och uppdateras löpande.
I reception:
- Tvåfaktorsautentisering krävs för tillgång till journalsystemet
- Lösenordsskyddad skärmsläckare används på samtliga arbetsstationer
- Personuppgifter insamlas i syfte att upprätta journal (endast innehållande nedanstående)
• Personnr
• Namn (hämtas från folkbokföringen om pat är över 18 år och vill uppge fullständigt personnr)
• Adress (hämtas från folkbokföringen om pat är över 18 år och vill uppge fullständigt personnr)
• Telefonnr
• Mailadress
- Endast dessa uppgifter samt uppgifter om köp/produkter kan ses och redigeras av receptionspersonal/säljare
- Receptionspersonal/säljare upprättar glaskorrektion efter ordination från optiker samt säljordrar som innehåller; namn, kundnr, styrkor, glas, glasbehandling, båge
o Dessa förvaras väl avskilt och ej tillgängligt för allmänheten/kunder
▪ På verkstad och i skåp med dörrar
o Pappersversion av ordrar och glaskorrektioner makuleras så snart köpet är avslutat
- Vid ett hemlån upprättas hemlånsorder som förvaras i pärm i receptionen under hemlånet
o Så snart bågarna är återlämnade makuleras ordern
I undersökningsrum
- Tvåfaktorsautentisering krävs för tillgång till journalsystemet
- Lösenordsskyddad skärmsläckare används på samtliga arbetsstationer
- Personuppgifter verifieras med ID kontroll i syfte att upprätta journal
o Yrke kan läggas till i syfte arbetsställning/situation
o Företag kan läggas till i syfte befintliga företagsavtal
- Endast optiker och optikerassistenter kan skriva, läsa och redigera uppgifter i journalen.
- Optikerassistenter har tillgång till utvalda delar av journalsystemet.
Personuppgifterna används för, vid senaste undersökningstillfälle, mellan optiker och patient gemensamt överenskommen återkallning. Personen väljer om återkallning önskas via mail, brev eller sms
Personen kallas och påminns 2 ggr. Central återkallning sköts av inköpssamarbetesorganisationen Klarsynt i Sverige AB/Optiserve AB. Efter detta påminns 1 gång från Xxxxxx/Xxxxxx&Xxxxxxxx. Därefter kallas personen inte mer utan får själv ta kontakt.
Ingen marknadsföring sker från Klarsynt i Sverige AB/Optiserve AB direkt till våra patienter/kunder. Inga uppgifter lämnas vidare från dem till tredje part. Se personuppgiftsbiträdesavtal.
INSAMLING AV UPPGIFTER OM DIG
Skjöld/Xxxxxx&Xxxxxxxx samlar in uppgifter om dig på olika sätt, däribland genom att:
• Du bokar tid för en synundersökning online.
• Du skickar ett meddelande till en av våra anslutna butiker och blir registrerad som kund i syfte att genomgå syntest och/eller köpa våra produkter eller tjänster.
• Du ingår ett abonnemangsavtal med Skjöld/Xxxxxx&Xxxxxxxx
• Du anmäler dig till vårt nyhetsbrev eller övrig marknadsföring
MOTTAGARE AV DINA PERSONUPPGIFTER
Skjöld/Xxxxxx&Xxxxxxxx har behov av att lämna ut dina personuppgifter till tredje parter som behandlar personuppgifter för Skjöld/Xxxxxx&Xxxxxxxx räkning. Då sker det enligt avtal (se ”personuppgiftsbiträden” och den tredje parten får endast agera enligt Xxxxxx/Xxxxxx&Xxxxxxxx skriftliga instruktioner. Dessa tredje parter får inte använda dina personuppgifter i egna syften eller i något annat syfte än att bistå Skjöld/Xxxxxx&Xxxxxxxx.
I den omfattning som Xxxxxx/Xxxxxx&Xxxxxxxx lämnar ut dina uppgifter till andra tredje parter, för att dessa ska använda uppgifterna i egna syften, kommer detta endast att ske i enlighet med gällande regler för dataskydd och, om det krävs, med ditt föregående samtycke.
Journaluppgifter måste i enlighet med journalföringslagen/patientdatalagen (PDL) sparas i 10 år efter senaste notering.
Registret i journalsystemet ”tvättas” löpande mot folkbokföringsregistret för att ha de korrekta uppdaterade personuppgifterna. Då uppdateras:
- Namn
- adress
Ingen marknadsföring sker direkt via sms.
Personuppgifter (namn, adress, personnr, kontonr, styrkor, linstyp) skickas till extern part (IndigoLighthouse/Linsboxen) vid uppstart av linsabonnemang samt vid varje linskontroll för uppdatering/ändring av befintligt abonnemang.
Linsboxen skickar ut kallelser baserat på intervall, överenskommet mellan optiker och patient. De påminner 1 gång. Vi påminner därefter 2 gång till via sms och 1 gång via brev.
Ingen marknadsföring sker från Linsboxen gentemot våra patienter/kunder. Inga uppgifter lämnas vidare från dem till tredje part. Se personuppgiftsbiträdesavtal.
Personuppgifter (kundnr, styrkor, namn om uttryckligt medgivande givits) skickas till leverantör via EDI för beställning av glas och linser efter patientens/kundens önskemål och efter aktivt godkännande.
Ingen marknadsföring sker från leverantörer direkt till våra patienter/kunder. Inga uppgifter lämnas vidare från dem till tredje part. Se personuppgiftsbiträdesavtal.
Vid fakturering till privatpersoner eller företag skickas personuppgifter (namn, faktureringsadress alt. E-mail, köp) till Visma Spcs för skapande av faktura samt bokföring. Patientens namn framgår på faktura som skickas från Visma Spcs. Namnuppgifter på kundorder/faktura inkluderas enligt avtal med respektive företag och efter patientens godkännande.
Inga uppgifter skickas vidare från Visma Spcs i annat syfte än fakturering. Se personuppgiftsbiträdesavtal.
DINA RÄTTIGHETER
Skjöld/Xxxxxx&Xxxxxxxx har implementerat passande tekniska och organisatoriska säkerhetsåtgärder för att skydda dina uppgifter och för att garantera dina rättigheter.
Du har rätt att be Skjöld/Xxxxxx&Xxxxxxxx om att få insikt i dina personuppgifter samt att korrigera, radera eller begränsa användningarna av uppgifterna. Du har också rätt att komma med invändningar mot behandlingen av dina uppgifter. Om en sådan invändning är berättigad, får uppgifterna inte längre behandlas i dessa syften.
Under vissa omständigheter har du dessutom rätt till dataportabilitet. Det innebär att du kan be om att få de uppgifter du själv har lämnat till Skjöld/Skjöld&Grönvall, levererade i ett strukturerat, vanligt använt och maskinläsbart format. Om det är tekniskt möjligt kan du också be om att få uppgifterna överförda till en tredje part.
Du kan begära radering av personuppgifter vi behandlar om dig:
• Du invänder mot behandling för direktmarknadsföringsändamål.
• Personuppgifterna behandlas på ett olagligt sätt.
• Ifall de uppgifterna inte längre är nödvändiga för de ändamål för vilka de har samlats in eller behandlats.
• Du invänder mot en intresseavvägning vi har gjort baserat på berättigat intresse och ditt skäl för invändning väger tyngre än vårt berättigade intresse.
• Personuppgifterna måste raderas för att uppfylla en rättslig förpliktelse vi omfattas av.
Tänk på att vi kan ha rätt att neka din begäran ifall det finns legala skyldigheter som hindrar oss från att omedelbart radera vissa personuppgifter. Dessa skyldigheter kommer från patientdatalagen samt bokförings- och skattelagstiftning. Det kan också hända att behandlingen är nödvändig för att vi ska kunna fastställa, göra gällande eller försvara rättsliga anspråk. Skulle vi vara förhindrade att tillmötesgå en begäran om radering kommer vi istället att upphöra bearbeta personuppgifterna från att kunna användas till andra syften än det syfte som hindrar den begärda raderingen.
Om du vill klaga på behandlingen av dina personuppgifter, är du välkommen att vända dig till vårt dataskyddsombud (DPO) vars kontaktuppgifter du hittar ovan. Om de faktiska omständigheterna som du klagar på inte har lösts av Xxxxxx/Xxxxxx&Xxxxxxxx och du önskar att gå vidare med saken, kan du klaga till:
Datainspektionen Box 8114
104 20 Stockholm
E-post: xxxxxxxxxxxxxxxx@xxxxxxxxxxxxxxxx.xx. xxx.xxxxxxxxxxxxxxxx.xx