X

Integritetspolicy

Vi tar hand om din personliga information

En Bättre upplevelse

För att kunna erbjuda våra produkter och tjänster samlar vi in ​​personuppgifter fortlöpande. Data som gör upplevelsen med vår webbplats och interaktionen med dig bättre. Vi får lättare att förstå din situation och dina behov, så att vi kan sätta ihop den mest optimala lösningen för dig.

Vad är GDPR?

Allmän uppgiftsskyddsförordning (GDPR) är en EU-lag som syftar till att förbättra skyddet för företagens personuppgifter och kundens personuppgifter.

100% transparens skapar säkerhet

Det är viktigt för oss att du känner dig trygg i vår databehandling – att vi skyddar din integritet och att du känner till dina rättigheter. Hos Collectia behandlar vi all information konfidentiellt och i enlighet med lagstiftningen. Vi vill vara transparenta och berätta vilka data vi behandlar och varför. Om du vill veta mer om hur vi skyddar dina uppgifter, vänligen kontakta oss på gdpr@collectia.dk.
Collectia behandlar personuppgifter om sina klienters kunder i enlighet med instruktioner från respektive klient. Med klient avses i detta fall den som är fordringsägare. Collectia är i personuppgiftslagens mening personuppgiftsbiträde i förhållande till klienten, som i sin tur är personuppgiftsansvarig.De uppgifter som kan komma att behandlas är exempelvis för- och efternamn, adress, personnummer, e-postadress, IP-adress, telefonnummer och betalnings- och orderinformation från fordringsägaren. I vissa fall registreras även uppgifter om kunders ekonomiska förhållanden och betalningsförmåga som kan framkomma av genomförda kreditupplysningar. Dessutom registreras hur mycket respektive kund är skyldig att betala fördelat på kapital, ränta och kostnader. Om fordran förblir obetald efter vidtagna inkassoåtgärder kan även uppgifter kring eventuella åtgärder hos Kronofogdemyndigheten och svenska domstolar behandlas.
Syftet med behandlingen är att säkerställa att Collectia kan genomföra en säker identifiering av kunder för att möjliggöra en inkassoprocess i enlighet med inkassolagens bestämmelser och i överensstämmelse med god inkassosed. Uppgifterna kan komma att lämnas ut till domstolar eller andra myndigheter för rättsliga och/eller exekutiva åtgärder. Om kunden flyttar utomlands kan de registrerade uppgifterna även komma att överlämnas till utländska inkassoombud.

Personuppgifterna har ursprungligen inhämtats av fordringsägaren i samband med fordrans uppkomst. Dessa uppgifter kommer Collectia tillhanda och registreras hos bolaget i samband med att inkassouppdrag mottas. Uppgifterna kan sedan komma att uppdateras och kompletteras genom inhämtning av information från myndigheter, kreditupplysningsföretag eller informationshanteringsföretag.

Personer vars personuppgifter är registrerade hos Collectia har rätt att en gång per år kostnadsfritt få tillgång till de personuppgifter som behandlas. En sådan begäran skall göras skriftligen till Collectia. Eventuellt felaktiga personuppgifter kan korrigeras genom en skriftlig begäran ställd till Collectia.

Hos oss på Collectia är det viktigt att våra kunder alltid har tillit till oss.
I denna persondatapolicy kan du läsa mer om hur vi behandlar personuppgifter.

1. Bakgrund

Det har i EU och Danmark införts nya regler med ”Europa-Parlamentets och Rådets förordning (EU) 2016/679” för hantering av personuppgifter. Reglerna är på många områden en fortsättning av befintlig lagstiftning, men på några områden är reglerna väsentligt åtstramade.

2. Ändamål

Ändamålet med denna persondatapolicy, hädanefter även benämnt datapolicy, är att fastställa ramarna för behandling av personuppgifter i Collectia A/S, hädanefter benämnt Collectia. Vidare har datapolicyn som ändamål att säkra en löpande kontroll med överensstämmelse av krav i gällande lagstiftning.

3. Utsträckning

Denna datapolicy återfinns i hela Collectia, samt för samarbetspartners som utför uppdrag å våra vägnar. Policyn sätter ramarna för hur vi behandlar personuppgifter om kunder, medarbetare, leverantörer, samarbetspartners och andra.

4. Definitioner

I denna datapolicy används följande definitioner:

  • Personuppgifter är varje form av information om en fysisk person, som antingen i sig själv identifierar, eller som kan vara med om att identifiera personen. Det är tal om all information, som direkt eller indirekt, kan identifiera en person. Även en kombination av olika information kan bidra till att identifiera en person. Information som endast särskilt invigda personer skulle kunna identifiera en given person utifrån, är även dessa, personuppgifter.
  • Den registrerade är den fysiska person som personuppgifterna vidrör, ex. kunder, medarbetare, leverantörer, samarbetspartners och andra.
  • Behandling av personuppgifter ska tolkas brett. Begreppet ”behandling” täcker varje åtgärd eller en rad åtgärder, som personuppgifter objektifierar. Det kan ex. vara insamling, registrering, organisering, systematisering, lagring, ändring, sökning, förmedling och radering.
  • Dataansvarig är den person eller organisation som själv eller tillsammans med andra avgör i vilken utsträckning och med vilka hjälpmedel det får vidtas behandling av personuppgifter.
  • Databehandlare är den som behandlar personuppgifter å den dataansvarigas vägnar – dvs. arbetar på instruktion av den dataansvariga.
  • Risk för den registrerade, är risken för att den registrerade blir utsatt för en fysisk, materiell eller immateriell skada, inklusive förlorad kontroll över sina personuppgifter, begränsning av sina rättigheter, särbehandling, identitetstöld, finansiella förluster och sociala konsekvenser, så som skada av anseende.
  • Försiktighetsåtgärder (även kallat säkerhetskontroller) täcker både tekniska och organisatoriska försiktighetsåtgärder. Tekniska försiktighetsåtgärder är bland annat antivirusprogram och brandväggar, som säkrar att obehöriga inte kan få åtkomst till IT-system med personuppgifter. Organisatoriska försiktighetsåtgärder består bland annat i, att våra medarbetare är instruerade i och utbildade till att hantera behandlingen av personuppgifterna korrekt och säkert.
  • Collectia är en modern IT-verksamhet med fokus på indrivning. Fördelarna som Collectia tillhandahåller, inkluderar bl.a. utskick av fakturor, påminnelser, inkassovarsel, administration av avbetalningsplaner, inkassoservice, samt rättslig handläggning.

5. Collectias insamling av personuppgifter

Collectia samlar in och mottar bl.a. personuppgifter på följande sätt:

  • från den registrerade själv (inklusive direktion, ägare, medarbetare)
  • i förbindelse med den registrerades anmälan av nyhetsbrev
  • från en part i ärendet
  • via diverse register såsom RKI, CPR-registret, CVR-registret och liknande register
  • via sociala medier, reklam- och analysutbyten och diverse offentliga tillgängliga databaser/register
  • via browsercookies vid användning av Collectias hemsida (Läs mer om vår politik för hantering av cookies på följande länk https://collectia.dk/infocenter/cookiepolitik/)

6. Collectias behandling av personuppgifter

Före ett kundavtal kan det vara diverse diskussioner per mail, telefon eller via chat. Collectia behandlar även uppgifter för användning till värdering av kundens behov och därmed till värdering av korrekt produktval. I den förbindelse behandlar Collectia bl.a. följande uppgifter:

  • Namn på verksamhet och namn på eventuella kontaktpersoner i verksamheten
  • Adress till verksamhet
  • E-mail
  • Telefonnummer

Vid ingående av samarbetsavtal, inklusive kundavtal, behandlar Collectia en lång rad upplysningar som säkrar att det blir levererat en korrekt förmån, och att både kunden, samarbetspartnern samt dennes kontaktpersoner blir korrekt identifierade. Upplysningar används också till att säkra anpassning av kommunikation, samt till förbättring och utveckling av service. Collectia behandlar bl.a. följande uppgifter:

  • Namn på verksamhet och eventuella kontaktpersoner, inklusive verksamhetsansvariga och registrerade med personligt ansvar
  • CVR-nummer
  • CPR-nummer på personer med personligt ansvar
  • Adress till verksamhet och eventuell verksamhetsansvarig, samt registrerade med personligt ansvar
  • E-mail
  • Telefonnummer
  • Bank- och betalningsuppgifter
  • Verksamhetens bransch
  • Verksamhetens räkenskaper som finns tillgängliga i offentliga register

För att säkra att det blir levererat en riktig och tillfredsställande service samt sker korrekt fakturering, behandlar Collectia löpande en rad uppgifter.

  • Alle ovan nämnda (under punkt 6) listade upplysningar
  • Diverse förfrågningar som kan innehålla personuppgifter
  • Anonymiserade data för användning av rapporter, statistik m.m.
  • Betalningshistorik

7. Roller och ansvar

Nedanstående schema ger en överblick över roller och ansvar i Collectia. Ledning och medarbetare är förpliktigade till att handla i enlighet med nedanstående, i förhållande till överenskommelse av gällande regler för beskydd av personuppgifter.

Grupp / funktion Roller og ansvar
Högsta ledning/ Direktionen Det er den øverste ledelse/direktionen, der har det endelige ansvar for, at Collectia efterlever gældende regler for beskyttelse af personoplysninger, herunder Persondataforordningen. Den øverste ledelses/direktionens rolle er at foretage dokumenterede ledelsesmæssige beslutninger om beskyttelsen af personoplysninger i Collectia.
Daglig ledare Den dagliga ledaren är ansvarig för att syftet med behandling av personuppgifter innanför dennes affärsenhet, samt att riktlinjerna till stöd av policyn, är kommunicerade klart och tydligt till medarbetarna.
Persondatakoordinator team Teamets roll är att utarbeta policy och riktlinjer för skydd av personuppgifter, kommunicera dessa och medverka till implementering härav.
Systemägare Systemägaren har ansvaret för driften och vidhållande av div. system som behandlar personuppgifter.
Dataägare Dataägare är medarbetare som inte är DPO eller ledare, men som har en koordinerande roll i förhållande till att implementera de säkerhetsåtgärder som är värderade, och som är behov av det i förhållande till skydd av personuppgifter. Dataägare är typiska medarbetare, som är ansvariga för en affärsenhet. De har därmed ansvaret för de säkerhetsåtgärder som skall implementeras i deras enhet. De är likaså ansvariga för de personuppgifter som behandlas i enheten.
Medarbetare Medarbetare som behandlar personuppgifter är ansvariga för att bekanta sig med föremålen för behandlingen, och de riktlinjer som är relevanta för utförandet av deras arbete.

8. Ansva

Vi tar alltid på oss ansvaret när vi behandlar personuppgifter. Det gör vi bl.a. genom att dokumentera:

  • de beslut vi tar
  • de åtgärder och insatser vi utför
  • de riktlinjer och kontroller vi implementerar om behandlingen av personuppgifter.

Vidare ser vi aktivt till att hålla oss uppdaterade i enlighet med denna persondatapolicy, samt kraven i underliggande riktlinjer:

  1. Klassificering och grundprinciperna för behandling av personuppgifter
  2. Laglig behandling av personuppgifter
  3. Överföring av uppgifter till länder utanför EU/ES
  4. Förteckningar över behandlingsåtgärder
  5. Registrerades rättigheter
  6. Dataansvarig- och databehandlaransvar
  7. Registrerades riskvärdering
  8. Konsekvensanalys
  9. Behandlingssäkerhet av personuppgifter
  10. Brist i persondatasäkerheten

Såvitt det kommer nya riktlinjer, är ledning och medarbetare ansvariga för att göra sig bekanta med dessa, om det är relevant för utförandet av deras arbete.

9. Klassifikation och grundprinciper för behandling av personuppgifter

Syftet är att sätta de huvudsakliga ramar för hur vi behandlar personuppgifter väl.

Dataskyddsförordningens artikel 5 och 9

9.1. Klassifikation av personuppgifter

I Collectia har vi tagit beslut om att klassificera personuppgifter när vi behandlar dessa.

Klassifikationen har bl.a. betydning när vi värderar vilken behandlingsgrund som gör en behandling laglig, då vi skiljer mellan behandling av vanliga och känsliga personuppgifter. Vidare använder vi klassifikationen, när vi värderar, designar och implementerar tekniska och organisatoriska säkerhetsåtgärder och kontroller för att beskydda personuppgifterna. Klassifikationsmodellen är förklarad i ”Riktlinje för klassifikation och grundprinciperna för behandling av personuppgifter”.

9.2.Grundprinciperna för behandling av personuppgifter

Vi behandlar personuppgifter i enlighet med de gällande reglerna i förordningen på området. Det betyder bland annat att vi endast behandlar personuppgifter till lagenliga, rimliga och legitima ändamål som vi kan dokumentera.

Vi samlar in, sparar och behandlar endast personuppgifter som är nödvändiga för att uppfylla kravet för syftet med behandlingen. Vi ser därför aktivt till att minimera insamlingen och behandlingen av personuppgifter till det mest nödvändiga.

Vi begränsar behandlingen av personuppgifter så att vi inte behandlar dem på ett sätt som är oförenligt med det ursprungliga ändamålet. Vidare säkrar vi att personuppgifterna inte sparas under en längre tidsperiod än nödvändigt för att uppfylla syftet med behandlingen. När personuppgifterna inte längre är nödvändiga, säkrar vi, att de antingen raderas i enlighet med våra regler, eller att det sker andra tekniska och organisatoriska åtgärder som exempelvis anonymisering, således att den registrerade inte längre kan identifieras utifrån uppgifterna.

Ifall personuppgifterna är oriktiga eller ofullständiga/saknas i enlighet med det syfte de behandlas för, säkerställer vi att dessa uppdateras eller raderas.

Kraven för grundprinciperna för behandling av personuppgifter är förklarade i ”Riktlinjer om klassifikation och grundprinciperna för behandling av personuppgifter”.

10. Laglig behandling av personuppgifter

Syftet är att säkra att vi endast behandlar personuppgifter lagligt.

Dataskyddsförordningens artikel 6–10

Vi försäkrar oss om att det är en lovlig grund när vi behandlar personupplysningar. Minst en av följande grunder för behandling av personuppgifter skall därmed göras gällande.

Grund för allmänna personuppgifter:

  • Samtycke – den registrerade har gett samtycke till behandling av personuppgifter.
  • Kontrakt – behandlingen är nödvändig för att kunna uppfylla eller ingå ett kontrakt som den registrerade är en del av.
  • Rättslig förpliktelse – behandlingen är nödvändig för att följa en rättslig förpliktelse.
  • Vitala intressen – behandlingen är nödvändig för att beskydda den registrerades vitala intressen.
  • Intressebalans – behandlingen är nödvändig för att förfölja ett legitimt intresse.

Grunden för känsliga personuppgifter (skiljer sig från grunden för allmänna personuppgifter):

  • Samtycke – den registrerade har gett uttryckligt samtycke till behandling av personuppgifter.
  • Vitala intressen – behandlingen är nödvändig för att skydda den registrerade eller en annan persons vitala intressen i tillfällen där vederbörande är oförmögen till att själv avge samtycke till behandlingen.
  • Offentliggörande av registrerade – den registrerade har själv offentliggjort personuppgifterna.
  • Lagligt krav – behandlingen är relevant i förbindelse med ett lagligt krav.

Samtycke

Såvida behandlingen vidtas på bakgrund av ett inhämtat samtycke från den registrerade, säkrar vi att samtycket är avlagt frivilligt och är formulerat i ett lätt förståeligt språk så att den registrerade inte är i tvivel om vad det ges samtycke till. Vidare säkrar vi att samtycket är avlagt genom en aktiv handling, således att den registrerade tex. skall klicka ok, skriva under eller liknande, för att acceptera samtycket.

Därutöver säkrar vi att den registrerade blir upplyst om att samtycket alltid kan återkallas.

Kraven för behandlingsgrunden, härunder samtycke, är förklarat i ”Riktlinjer om laglig behandling av personuppgifter”.

11. Överföring av personuppgifter till länder utanför EU och EES (tredjeländer)

Syftet är att säkra att det inte överförs personuppgifter till länder utanför EU/EES utan att vi har en laglig grund för detta.

Dataskyddsförordningens artikel 44-50

Vi överför endast personuppgifter till länder utanför EU och EES (Det Europeiska Ekonomiska Samarbetet, såvida vi har en laglig, rimlig och legitim grund för detta, och vi kan säkra en tillräcklig skyddsnivå.

Kraven för överföring av personuppgifter till länder utanför EU och EES är förklarade i ”Riktlinjer om överföring av personuppgifter till länder utanför EU och EES”.

12. Förteckning över behandlingsåtgärder

Syftet är att säkra att vi för de nödvändiga förteckningarna över behandlingsåtgärder som kan ställas tillgängliga för Datainspektionen vid eventuell tillsyn. Vidare är syftet att säkra att det ligger en grund för värdering av risken vid behandling av de registrerades personuppgifter.

Dataskyddsförordningens artikel 30

Vi för en förteckning över de personuppgifter vi behandlar, och ser aktivt till att hålla förteckningen uppdaterad. För att säkra att förteckningen uppdateras löpande, har vi utnämnt några ansvariga (Charlotte Møller, Charlotte Boysen, Nico Løje og Julie Boldsen) hos Collectia, som står for underhållandet av förteckningen. Förteckningen används bl.a. som en del av dokumentationsplikten ifall Datainspektionen kommer för kontroll, samt som grund för värdering av risk för den registrerade vid behandling av dennes personuppgifter.

Medarbetare som behandlar personuppgifterna är förpliktigade till att underrätta de ansvariga (Charlotte Møller, Charlotte Boysen, Nico Løje og Julie Boldsen) om ändringar och liknande i förhållande till det sätt som personuppgifter behandlas.

Kraven för utarbetningen av förteckningen är förklarade i ”Riktlinjer för förteckning över behandlingsåtgärder”.

13. Den registrerades rättigheter

Syftet är att säkra att behandlingen av personuppgifter tillgodoser den registrerades rätt till att kontrollera när, hur och i vilken omfattning dennes personuppgifter blir behandlade, samt vem den registrerade önskar har åtkomst till dennes personuppgifter.

Dataskyddsförordningens artikel 12-23

Vi säkrar den registrerades rättigheter vid bl.a. att behandla dennes personuppgifter på ett öppet och upplyst sätt. Det betyder att vi upplyser den registrerade om att vi behandlar dennes personuppgifter, samt på vilket sätt, så att den registrerade har möjlighet för att göra sina rättigheter gällande.

Utöver detta hjälper vi den registrerade med att utöva sina rättigheter, och vi hanterar den registrerades begäran om att göra sina rättigheter gällande oavsett om vi skal tillgodose den registrerades begäran eller ej. När vi kommunicerar med den registrerade, gör vi det i en kortfattad form och i ett klart och lättförståeligt språk.

Nedanför listas vilka rättigheter vi hjälper den registrerade med, ifall de begär det:

  • Insikt i de behandlingar av personuppgifter vi har om denne
  • Rättelse utifall att personuppgifterna är felaktiga eller saknas
  • Radering av de personuppgifter vi behandlar (se avsnitt 14 ”Radering av data”)
  • Begränsning av behandling av personuppgifter
  • Utlämning av personuppgifter eller överföring internt eller till externt bolag
  • Behandling av bestridan mot behandling av personuppgifter.

Utifall att vi tar beslut som betydligt påverkar den registrerade, säkrar vi att ett sådant beslut inte uteslutande är taget vid en automatisk behandling eller profilering.

Vi vidarebefordrar inte personuppgifter till samarbetspartners eller andra externa organisationer, med mindre den registrerade har gett samtycke till detta, eller vi är rättsligt förpliktigade till att vidaresända personuppgifter.

I de fall vi har vidaresänt personuppgifter till bolag utanför Collectia, säkrar vi att dessa bolag informeras om varje rättning, radering eller begränsning, som det vidtagits åtgärder för.

Kraven för den registrerades rättigheter är förklarade i ”Riktlinjer för den registrerades rättigheter”

14. Radering av data

Önskar du använda dina rättigheter enligt ovanstående avsnitt, ombeds du skicka ett mail till gdpr@collectia.dk.

Vi strävar efter att svara inom 1 månad efter mottagandet av din begäran.

Vi ber dig uppmärksamma, att du av säkerhetsmässiga orsaker kan komma att verifiera din identitet innan din begäran kan behandlas.

15. Dataansvarig och databehandlare

Syftet är att säkra att det är tydligt huruvida vi är dataansvariga eller databehandlare i förhållande till alla behandlingar av personuppgifter. Dessutom är syftet att säkra att det finns en överblick över vilka databehandlare som används, och att det har ingåtts databehandlingsavtal med dem.

Dataskyddsförordningens artikel 24-29

När vi behandlar personuppgifter värderar vi när vi är dataansvariga, databehandlare eller har delat ansvar (gemensam dataansvarig).

15.1. Dataansvarig

Såvitt vi är dataansvariga, säkrar vi att alla databehandlare vi använder, kan ställa de nödvändiga säkerhetsgarantierna för behandling av personuppgifter. Dessutom säkrar vi, att de är instruerade i hur de får behandla personuppgifter å våra vägnar, samt att det har ingåtts ett databehandlaravtal som lever upp till kraven i de gällande reglerna.

15.2. Databehandlare

Såvitt vi är databehandlare, säkrar vi att vi endast behandlar personuppgifter under instruktion från den dataansvarige.

Dessutom säkrar vi att vi inte använder oss av andra databehandlare (underdatabehandlare), utan att vi har fått detta godkänt av den dataansvarige.

Såvitt vi har fått ett skriftligt godkännande från den dataansvarige, säkrar vi att vi underrättar den dataansvarige, om vi planerar att byta ut använda databehandlare, eller ingå avtal med nya, således att den dataansvarige får möjlighet att bestrida sådana ändringar.

Såvitt den dataansvarige har godkänt att vi använder andra databehandlare (underdatabehandlare), säkrar vi att de som minimum lever upp till de krav som den dataansvarige har ställt.

15.3. Gemensam dataansvarig

Om vi är gemensamt dataansvariga med en annan organisation, säkrar vi, att vi har fastlagt det delade ansvaret i förhållande till överensstämmelse av gällande regler på området. Vi säkrar även att de förpliktelser vi har gentemot den registrerade uppfylls, inklusive vem som gör upplysningarna tillgängliga för den registrerade, samt att detta sker på ett öppet och upplyst sätt. Den registrerade kan dock fritt välja vilken dataansvarig denna vill utöva sina rättigheter emot.

Kraven som ställs på dataansvariga och databehandlare, är förklarade i ”Riktlinjer om dataansvariga och databehandlare”.

16. Registrerades riskvärdering

Syftet är att identifiera potentiella risker för den registrerade vid behandling av dennes personuppgifter.

När vi behandlar personuppgifter, värderar vi riskerna för den registrerade vid behandlingen av dennes personuppgifter. Vi utför värderingen på bakgrund av de behandlingsåtgärder vi gör, inklusive använda system, således att vi får en samlad överblick över riskerna. Riskerna är beräknade och identifierade på bakgrund av en möjlig konsekvens för den registrerade vid behandlingen av dennes personuppgifter, samt sannolikheten för att konsekvensen inträffar.

Riskvärderingen är dokumenterad och godkännes av den högsta ledningen.

Metoden för värdering av risker för registrerade vid behandling av personuppgifter är förklarad i ”Riktlinjer om registrerades riskvärdering”.

17. Konsekvensanalys

Syftet är att säkra att det görs en konsekvensanalys på förhand för behandling av personuppgifter som sannolikt innebär hög risk för den registrerade, och att det därmed identifieras tilltag, som kan reducera denna risk.

Dataskyddsförordningens artikel 35+36

Om det är värderat i registrerades riskvärdering, att en behandling av personuppgifter sannolikt kan innebära hög risk för de registrerades rättigheter eller frihetsrättigheter, utför vi en konsekvensanalys. Konsekvensanalysen skall hjälpa med att fastställa de åtgärder vi tänker kan möta dessa risker. Om de påtänkta tekniska och organisatoriska säkerhetsåtgärderna inte kan möta riskerna i tillräckligt omfång, rådgör vi hos Datainspektionen, innan vi utför någon behandling av personuppgifter.

Kraven för utarbetning av konsekvensanalyser är förklarade i ”Riktlinjer om konsekvensanalys”

18. Behandlingssäkerhet

Syftet är att säkra att det är tillräcklig säkerhet vid behandling av personuppgifter som täcker de identifierade riskerna i risk- och konsekvensanalysen.

Dataskyddsförordningens artikel 32 og 25

Vi säkrar, att det upprätthålls en tillräcklig säkerhetsnivå både tekniskt och organisatorisk vid behandling av personuppgifter.

18.1. Säkerhetsstyrning

Baserat på den utarbetade riskanalysen och konsekvensanalysen, definierar vi vilken säkerhetsnivå och vilka säkerhetsåtgärder som skall implementeras för att säkra en tillräcklig skyddsnivå när vi behandlar personuppgifter.

I förbindelse med det överväger vi följande förhållanden:

  • Användandet av pseudo anonymitet, kryptering och anonymisering.
  • Säkrandet av förtrolighet och integritet.
  • Systemens tillgänglighet och motståndskraft (robusthet).
  • Möjligheten för att kunna skapa tillgänglighet och åtkomst till behandlade personuppgifter inom rimlig tid (backup).
  • De identifierade risker, som behandling av personuppgifter innebär såsom av olyckshändelse eller olovlig tillintetgörande, förlust, ändring eller icke-auktoriserad vidarebefordran, eller åtkomst till de behandlade personuppgifter som kan leda till fysisk, materiell eller immateriell skada.

Vi omvärderar löpande proceduren för säkerhetsåtgärder, och vid ändringar testas och utvärderas säkerheten, för att säkra att säkerhetsnivån fortsatt är tillräcklig.

18.2. Privacy by design/default

Vi försäkrar oss om att lösningar som används till behandling av personuppgifter är designade, så att de reducerar graden av intrång i den registrerades privatliv.

Dessutom säkrar vi att lösningar som används till behandling av personuppgifter, har säkerhetsinställningar påslagna som standard, således att det inte inhämtas eller behandlas flera personuppgifter än vad som är nödvändigt för behandlingens syfte, samt att personuppgifter inte sparas i en längre tid än nödvändigt.

Vi försäkrar oss även om att personuppgifter inte ställs för tillgänglighet för andra, utan att det har varit en fysisk person involverad, vilket betyder att utlämnande av personuppgifter till andra inte får ske automatiskt, exempelvis till följd av en process.

Kraven som säkrar tillräcklig säkerhet vid behandling av personuppgifter, är förklarade i ”Riktlinje för säker behandling av personuppgifter”

19. Brott mot persondatasäkerhet

Syftet är att säkra att brott mot datasäkerheten hanteras korrekt, inklusive att det sker en anmälan till Datainspektionen, samt att den registrerade underrättas i det fall brottet har stor konsekvens för den registrerade.

Dataskyddsförordningens artikel 33 og 34

19.1. Anmälan till Datainspektionen

Ifall det skulle ske ett brott mot persondatasäkerheten, anmäler vi det utan vidare dröjsmål och senast 72 timmar efter vi har upptäckt det, till Datainspektionen. Om det är osannolikt att brottet innebär en risk för de registrerades rättigheter eller frihetsrättigheter, är vi inte förpliktigade till att anmäla det.

19.2. Underrättelse till den registrerade

Ifall brottet sannolikt kommer innebära hög risk för de registrerades rättigheter eller frihetsrättigheter, underrättar vi dessutom de registrerade om brottet utan onödiga dröjsmål och upplyser om vad konsekvensen för dem är.

Kraven som säkrar en korrekt hantering av brott mot persondatasäkerheten är förklarade i ”Riktlinjer för brott mot datasäkerheten”.

20. Persondatakoordinator (PDK)

Syftet är, att det är utsett en person, som har uppgiften att utarbeta en policy och riktlinjer, kommunicera dessa och medverka till implementering härav.

Collectia är i enlighet med de gällande regler inte förpliktigade till at utse en datakyddsrådgivare. Men då vi tar ansvar för behandlingen av personuppgifter, har vi valt att utse ett PDK-team. PDK-teamet har ansvaret för att säkra att Collectia är bekanta med och vidhåller de vid den tiden gällande regler på dataskyddssområdet. PDK-teamet har utöver det, det övergripande ansvaret för att de nödvändiga policys och riktlinjer är utarbetade, kommunicerade och implementerade hos Collectia.

Medarbetare som är i tvivel om innehållet i denna persondatapolicy eller riktlinjerna om hur personuppgifter skall behandlas, hur de registrerades rättigheter skall efterlevas eller liknande, skall vid varje tillfälle kontakta PDK-teamet. PDK-teamet kan dessutom delta som specialister i projekt med personuppgifter.

Kontaktuppgifter till PDK:

Navn: GDPR Team (Mogens Pedersen, Charlotte Møller, Nanna Fabild og Julie Boldsen)

E-mail: gdpr@collectia.dk

Telefonnr.: +45 77 30 14 00

PDK-teamets roll, inklusive uppgifter och ansvar, är förklarat i ”Riktlinjer för PDK”.

21. Kontakten till Datainspektionen

Syftet är att säkra att eventuell tillsyn och förfrågningar från Datainspektionen hanteras korrekt, inklusive att Datainspektionen får rätt dokumentation.

Dataskyddsförordningens kapitel VI

Om Datainspektionen skulle utföra tillsyn eller inkomma med förfrågan till Collectia, försäkrar sig den högsta ledningen om att de får den efterfrågade och rätta informationen, inklusive förteckningarna över behandlingsåtgärder.

Dessutom säkrar vi att vi vid varje tillfälle håller de tidsfrister som Datainspektionen har ställt i förbindelse med tillsyn eller en förfrågan.

Om du önskar att klaga till Datainspektionen, kan de kontaktas här; https://www.datatilsynet.dk/generelt-om-databeskyttelse/klage-til-datatilsynet/