GDPR för WaiterAid - FoodFriends

GDPR för WaiterAid

Var förvaras den information som WaiterAid sparar?
Informationen sparas säkert hos Hetzner i Tyskland.

Hur gör WaiterAid för att lagra information enligt GDPR?
Enligt GDPR får organisationer endast lagra information om någon har gett sitt samtycke. WaiterAid lagrar endast information efter att individen gett sitt samtycke. Då personinformation är nödvändig för att veta vem som skall ha en bokning sparas förnamn, efternamn, epostadress och telefonnummer när man bokar ett bord.

Vem delar WaiterAid informationen med?
WaiterAid delar inte sin data externt. När en gäst bokar kan de samtidigt ha samtyckt att finnas med i BokaBords register (BokaBord är en del av FoodFriends AB som även driver WaiterAid). Detta betyder att informationen kommer lagras hos BokaBord. Skulle en gäst av misstag ange att de vill ha information finns en tydlig länk i alla mail som skickas med möjlighet att avprenumerera utskick. Om en gäst avprenumererar kommer inga fler mail att skickas till den gästen, såvida denne inte återigen anger att de vill ha nyhetsbrev från BokaBord.

Hur länge sparar WaiterAid informationen?
Enligt GDPR måste organisationer veta hur länge de ska spara informationen. Så WaiterAid har bestämt sig för att spara personuppgifter i 18 månader efter det att en bokning har ägt rum. Detta innebär att vi kommer radera inaktiva användare efter 18 månader.

Hur kan man ändra eller lägga till i gästdatabasen?
Det kan göras direkt i WaiterAid. Notera att användare i WaiterAid tilldelas olika behörigheter, och att särskild behörighet behövs för att ändra i gästinformationen.

När och hur tas information bort?
Information kan raderas antingen av dig eller av oss. Gäster kan kontakta restaurangen direkt eller [email protected] för att få sina uppgifter borttagna.

Hur jobbar WaiterAid med back up och säkerhet för sin information?
WaiterAid har automatiserad backup som sker var fjärde timme.

Vad händer med den informationen som WaiterAid har lagrat om vi avslutar vårt samarbete?
Informationen raderas 12 månader efter kontraktet löper ut. Vi sparar den i 12 månader utifall att samarbetet skulle återupptas.

Vi behöver särskild medgivande för att kunna använda personuppgifter i marknadsföringssyfte. Kommer den funktionen finnas med när vi lägger till nya gäster?
Vi har redan tagit bort det automatiska medgivandet. Vi har påbörjat arbetet med att lägga till en tydlig funktion där kunden kan välja om den vill godkänna marknadskommunikation.

Måste vi uppdatera företagets integritetspolicy (Privacy Policy)?
Om ni redan har en integritetspolicy kommer ni behöva uppdatera den så att den är förenlig med GDPR. Om du inte redan har en måste du skapa en. Om du skickar vidare personuppgifter till en tredjepart som gör dina mailtuskick, måste du ange detta i din integritetspolicy.

Måste vi radera personuppgifterna om en gäst bokar av?
Nej det är inte nödvändigt.Om de har samtyckt till att få nyhetsbrev gäller detta medgivande även om de har bokat av.

Vi är en grupp restauranger, vad gäller för oss?
Ni får inte använda personuppgifter från en gäst som har bokat på en av restaurangerna för marknadsföring på en av de andra restaurangerna för det har de inte godkänt. Du får endast skicka marknadsföring om de godkänt det. Ju mer specifik du är i dina alternativ mot kunden, desto bättre. Vi rekommenderar att du skickar separat marknadsföring till de olika restaurangerna.

Är bekräftelsemail fortfarande OK att skicka?
Ja. De klassas som servicemail och faller inom ramen för vad som är godkänt enligt GDPR.

Får vi skicka uppföljningsmail efter besöket?
Ja. I WaiterAids integritetspolicy står det tydligt att vi inte bara använder personuppgifter för att genomföra bokningar, utan även för ”skicka information om produkter och tjänster, inklusive bokningsbekräftelser och uppdateringar, kvitton, teknisk information, säkerhetsvarningar, kundtjänst samt administrativa meddelanden.”

Måste vi radera vår marknadsföringsdatabas?
Vi rekommenderar att du ser över din databas, börja med att uppdatera dina godkännanden. För att vara på den säkra sidan vore det klokt att maila alla som engagerat sig i ditt företag och be dem uppdatera sina marknadsföringspreferenser. Välj alla som på något sätt engagerat sig med dina utskick, antingen öppnat eller klickat sig vidare från utskicken. Kontakta inte dem som redan avsagt sig kommunikation från dig.

WA följer bestämmelserna för när personuppgifter får samlas in. Personuppgifter får bara samlas in för ”särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål”, säger förordningen. Alltså, uppgifter som samlas in för ett visst syfte, får inte sedan användas för helt andra syften.
Man måste också ha stöd i förordningen för att hantera personuppgifter. Det finns ett par olika ”rättsliga grunder” som företag kan använda. De viktigaste är:

SAMTYCKE
Ett annat alternativ är att be personen ifråga att få registrera uppgifter om honom/henne. Det kallas för att få personens samtycke. Ett samtycke är enligt förordningen ”varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne”. På litet enklare svenska: man måste få tydlig information om vilka uppgifter som samlas in och vad de ska användas till, för att man sedan ska kunna ge sitt godkännande.

INTRESSEAVVÄGNING
Det är också möjligt att hantera personuppgifter efter en så kallad intresseavvägning om företaget kan visa att dess intresse av att hantera uppgifterna väger tyngre än den enskildes rätt till privat liv. Enligt personuppgiftslagen, som gäller i skrivande stund, kan företag i många fall använda intresseavvägning som grund för att hantera personuppgifter
som används vid marknadsföring och direktreklam. OBS! Man får inte skicka direktreklam till någon som sagt nej till det.

För att följa GDPR får en organisation endast lagra/bearbeta den data som är nödvändig för
-En laglig process (som att leverera en tjänst)
-Som någon har samtyckt till att ge. Detta är vad WaiterAid gör.

Delas informationen utanför WaiterAid?
WaiterAid delar inte information externt, men om en gäst bokar genom tredje part kan de ha godkänt tredje parts marknadsföringsvillkor. Det innebär att information kommer lagras även på deras system.

Hur länge lagras informationen?
Huvuddragen i GDPR är att du måste veta hur länge du har lagrat information, så WaiterAid har beslutat att lagra data i 18 månader. Det innebär att vi kommer radera prenumeranter efter 18 månaders inaktivitet. Vi hjälper dig att skapa din egen lagringspolicy. Beroende på typ av etablissemang kan företags policys komma att se annorlunda ut. Om en gäst gör en ny bokning kommer historiken på äldre bokningar att sparas. Däremot kan gästen be om att bli borttagen.

Kan man ändra/komplettera informationen?
Ja, via ändra gäst i WaiterAid. WaiterAid erbjuder ett rollbaserat behörighetssystem så du kan styra vilka anställda som kan uppdatera information.

När och hur raderas informationen?
Information kan raderas på begäran, antingen av dig eller av oss. Inaktiva gäster raderar efter 18 månader.

Vad använder WaiterAid för säkerthetskopieringsalternativ för lagrad information?
Vigör dagliga backuper för detta ändamål. Utöver dagliga backuper gör vi även backup en gång i veckan respektive en gång i månaden.

Vi behöver ett uttryckligt samtycke till användandet av personuppgifter i marknadsföringssyfte. Kommer det finnas en inställning för detta när man lägger till nya gäster?
Det stämmer att ni behöver ett uttryckligt godkännande för marknadsföring till enskilda personer. Vi har redan tagit bort de automatiska inställningarna från våra widgets som en del av att bli GDPR-kompatibel. Det kommer att finnas tydliga och separata opt-ins för WaiterAid och restauranger för samtycke. Detta arbete pågår och kommer att levereras under de kommande månaderna.

Måste vi uppdatera restaurangens integritetspolicy?
Om ni redan har en integritetspolicy måste den uppdateras för att bli förenlig med GDPR. Om ni inte redan har en privacy policy måste ni skapa en. Om ni vidarebefordrar gästinformation till tredje part för i e-postmarknadsföringssyfte måste denna information ingå i din privacy policy. WaiterAid har en standard privacy policy för restauranger som finns tillgänglig. Helst bör du länka privacy policyn från alla widgets du har, och i alla e-postmarknadsföringsmeddelanden du skickar.

Måste vi radera personuppgifterna om en gäst bokar av?
Om du hämtar e-post från systemet och en gäst avbryter behöver inte deras information tas bort från systemet. Om de samtyckt till marknadskommunikation kan du skicka reklam till dem även om de bokat av.

Vi är del av en restauranggrupp. Hur ska vi göra?
Om en gäst bokade en av restaurangerna i en grupp kan du inte använda deras uppgifter för att marknadsföra andra restauranger i gruppen. Detta eftersom de endast har godkänt marknadsföring från den restaurangen där de gjort sin bokning. Du får endast skicka marknadsföring till dem om de godkänt marknadsföring från restaurangen. Ju mer specifika du gör dina alternativ för gäster som ska godkänna reklam desto bättre. Vi rekommenderar dig att skilja din marknadsföring mellan restaurangerna. Under de närmsta månaderna kommer vi att skapa ett verktyg för att hjälpa dig med detta.

Går det fortfarande bra att skicka bekräftelsemail?
Bekräftelsemail är klassade som servicemail och dessa typer av mail går fortfarande bra att skicka enligt GDPR. Det ses som ett bekräftelsemail som du får efter att du har gjort ett köp online.

Får vi skicka uppföljning-på-besöket-mail?
Du får skicka ett mail till en gäst för att följa upp besöket på restaurangen. I Waiter Aids privacy policy beskrivs hur information används. Waiter Aid använder inte enbart personlig information för bordsbokning utan även för att skicka email till gäster med information om våra produkter och tjänster, inklusive bokningsbekräftelser och uppdateringar, kvitton, uppdateringar, tekniska meddelanden, säkerhetsvarningar samt support- och administrativa meddelanden.

Vi berättar också att vi kommer ”be om din feedback på de tjänster vi tillhandahåller” samt ”samla in data, inklusive utan begränsning från dig, i syfte att förbättra bokningstjänsten och ge feedback till restaurangen”.

Precis som bekräftelsemail klassificeras detta som ett servicemail och denna typ av bekräftelsemail är fortfarande okej att skicka enligt GDPR. Som restaurang måste du även inkludera information om uppföljning-på-besöket-mail i dina villkor.

Måste jag radera min marknadsföringsdatabas?
Vi rekommenderar att du börjar på nytt med din databas, men det behöver inte innebära att du helt och hållet tar bort den. Börja med att uppdatera dina opt-ins. En lågriskstrategi är