Personuppgifterna har ursprungligen inhämtats av fordringsägaren i samband med fordrans uppkomst. Dessa uppgifter kommer Collectia tillhanda och registreras hos bolaget i samband med att inkassouppdrag mottas. Uppgifterna kan sedan komma att uppdateras och kompletteras genom inhämtning av information från myndigheter, kreditupplysningsföretag eller informationshanteringsföretag.
Vid ingående av samarbetsavtal, inklusive kundavtal, behandlar Collectia en lång rad upplysningar som säkrar att det blir levererat en korrekt förmån, och att både kunden, samarbetspartnern samt dennes kontaktpersoner blir korrekt identifierade. Upplysningar används också till att säkra anpassning av kommunikation, samt till förbättring och utveckling av service. Collectia behandlar bl.a. följande uppgifter:
För att säkra att det blir levererat en riktig och tillfredsställande service samt sker korrekt fakturering, behandlar Collectia löpande en rad uppgifter.
| Grupp / funktion | Roller og ansvar |
| Högsta ledning/ Direktionen | Det er den øverste ledelse/direktionen, der har det endelige ansvar for, at Collectia efterlever gældende regler for beskyttelse af personoplysninger, herunder Persondataforordningen. Den øverste ledelses/direktionens rolle er at foretage dokumenterede ledelsesmæssige beslutninger om beskyttelsen af personoplysninger i Collectia. |
| Daglig ledare | Den dagliga ledaren är ansvarig för att syftet med behandling av personuppgifter innanför dennes affärsenhet, samt att riktlinjerna till stöd av policyn, är kommunicerade klart och tydligt till medarbetarna. |
| Persondatakoordinator team | Teamets roll är att utarbeta policy och riktlinjer för skydd av personuppgifter, kommunicera dessa och medverka till implementering härav. |
| Systemägare | Systemägaren har ansvaret för driften och vidhållande av div. system som behandlar personuppgifter. |
| Dataägare | Dataägare är medarbetare som inte är DPO eller ledare, men som har en koordinerande roll i förhållande till att implementera de säkerhetsåtgärder som är värderade, och som är behov av det i förhållande till skydd av personuppgifter. Dataägare är typiska medarbetare, som är ansvariga för en affärsenhet. De har därmed ansvaret för de säkerhetsåtgärder som skall implementeras i deras enhet. De är likaså ansvariga för de personuppgifter som behandlas i enheten. |
| Medarbetare | Medarbetare som behandlar personuppgifter är ansvariga för att bekanta sig med föremålen för behandlingen, och de riktlinjer som är relevanta för utförandet av deras arbete. |
Vidare ser vi aktivt till att hålla oss uppdaterade i enlighet med denna persondatapolicy, samt kraven i underliggande riktlinjer:
Såvitt det kommer nya riktlinjer, är ledning och medarbetare ansvariga för att göra sig bekanta med dessa, om det är relevant för utförandet av deras arbete.
| Syftet är att sätta de huvudsakliga ramar för hur vi behandlar personuppgifter väl. |
I Collectia har vi tagit beslut om att klassificera personuppgifter när vi behandlar dessa.
Klassifikationen har bl.a. betydning när vi värderar vilken behandlingsgrund som gör en behandling laglig, då vi skiljer mellan behandling av vanliga och känsliga personuppgifter. Vidare använder vi klassifikationen, när vi värderar, designar och implementerar tekniska och organisatoriska säkerhetsåtgärder och kontroller för att beskydda personuppgifterna. Klassifikationsmodellen är förklarad i ”Riktlinje för klassifikation och grundprinciperna för behandling av personuppgifter”.
Vi behandlar personuppgifter i enlighet med de gällande reglerna i förordningen på området. Det betyder bland annat att vi endast behandlar personuppgifter till lagenliga, rimliga och legitima ändamål som vi kan dokumentera.
Vi samlar in, sparar och behandlar endast personuppgifter som är nödvändiga för att uppfylla kravet för syftet med behandlingen. Vi ser därför aktivt till att minimera insamlingen och behandlingen av personuppgifter till det mest nödvändiga.
Vi begränsar behandlingen av personuppgifter så att vi inte behandlar dem på ett sätt som är oförenligt med det ursprungliga ändamålet. Vidare säkrar vi att personuppgifterna inte sparas under en längre tidsperiod än nödvändigt för att uppfylla syftet med behandlingen. När personuppgifterna inte längre är nödvändiga, säkrar vi, att de antingen raderas i enlighet med våra regler, eller att det sker andra tekniska och organisatoriska åtgärder som exempelvis anonymisering, således att den registrerade inte längre kan identifieras utifrån uppgifterna.
Ifall personuppgifterna är oriktiga eller ofullständiga/saknas i enlighet med det syfte de behandlas för, säkerställer vi att dessa uppdateras eller raderas.
Kraven för grundprinciperna för behandling av personuppgifter är förklarade i ”Riktlinjer om klassifikation och grundprinciperna för behandling av personuppgifter”.
| Syftet är att säkra att vi endast behandlar personuppgifter lagligt.
Dataskyddsförordningens artikel 6–10 |
Vi försäkrar oss om att det är en lovlig grund när vi behandlar personupplysningar. Minst en av följande grunder för behandling av personuppgifter skall därmed göras gällande.
Grund för allmänna personuppgifter:
Grunden för känsliga personuppgifter (skiljer sig från grunden för allmänna personuppgifter):
Såvida behandlingen vidtas på bakgrund av ett inhämtat samtycke från den registrerade, säkrar vi att samtycket är avlagt frivilligt och är formulerat i ett lätt förståeligt språk så att den registrerade inte är i tvivel om vad det ges samtycke till. Vidare säkrar vi att samtycket är avlagt genom en aktiv handling, således att den registrerade tex. skall klicka ok, skriva under eller liknande, för att acceptera samtycket.
Därutöver säkrar vi att den registrerade blir upplyst om att samtycket alltid kan återkallas.
Kraven för behandlingsgrunden, härunder samtycke, är förklarat i ”Riktlinjer om laglig behandling av personuppgifter”.
| Syftet är att säkra att det inte överförs personuppgifter till länder utanför EU/EES utan att vi har en laglig grund för detta.
Dataskyddsförordningens artikel 44-50 |
Vi överför endast personuppgifter till länder utanför EU och EES (Det Europeiska Ekonomiska Samarbetet, såvida vi har en laglig, rimlig och legitim grund för detta, och vi kan säkra en tillräcklig skyddsnivå.
Kraven för överföring av personuppgifter till länder utanför EU och EES är förklarade i ”Riktlinjer om överföring av personuppgifter till länder utanför EU och EES”.
| Syftet är att säkra att vi för de nödvändiga förteckningarna över behandlingsåtgärder som kan ställas tillgängliga för Datainspektionen vid eventuell tillsyn. Vidare är syftet att säkra att det ligger en grund för värdering av risken vid behandling av de registrerades personuppgifter.
Dataskyddsförordningens artikel 30 |
Vi för en förteckning över de personuppgifter vi behandlar, och ser aktivt till att hålla förteckningen uppdaterad. För att säkra att förteckningen uppdateras löpande, har vi utnämnt några ansvariga (Charlotte Møller, Charlotte Boysen, Nico Løje og Julie Boldsen) hos Collectia, som står for underhållandet av förteckningen. Förteckningen används bl.a. som en del av dokumentationsplikten ifall Datainspektionen kommer för kontroll, samt som grund för värdering av risk för den registrerade vid behandling av dennes personuppgifter.
Medarbetare som behandlar personuppgifterna är förpliktigade till att underrätta de ansvariga (Charlotte Møller, Charlotte Boysen, Nico Løje og Julie Boldsen) om ändringar och liknande i förhållande till det sätt som personuppgifter behandlas.
Kraven för utarbetningen av förteckningen är förklarade i ”Riktlinjer för förteckning över behandlingsåtgärder”.
| Syftet är att säkra att behandlingen av personuppgifter tillgodoser den registrerades rätt till att kontrollera när, hur och i vilken omfattning dennes personuppgifter blir behandlade, samt vem den registrerade önskar har åtkomst till dennes personuppgifter.
Dataskyddsförordningens artikel 12-23 |
Vi säkrar den registrerades rättigheter vid bl.a. att behandla dennes personuppgifter på ett öppet och upplyst sätt. Det betyder att vi upplyser den registrerade om att vi behandlar dennes personuppgifter, samt på vilket sätt, så att den registrerade har möjlighet för att göra sina rättigheter gällande.
Utöver detta hjälper vi den registrerade med att utöva sina rättigheter, och vi hanterar den registrerades begäran om att göra sina rättigheter gällande oavsett om vi skal tillgodose den registrerades begäran eller ej. När vi kommunicerar med den registrerade, gör vi det i en kortfattad form och i ett klart och lättförståeligt språk.
Nedanför listas vilka rättigheter vi hjälper den registrerade med, ifall de begär det:
Utifall att vi tar beslut som betydligt påverkar den registrerade, säkrar vi att ett sådant beslut inte uteslutande är taget vid en automatisk behandling eller profilering.
Vi vidarebefordrar inte personuppgifter till samarbetspartners eller andra externa organisationer, med mindre den registrerade har gett samtycke till detta, eller vi är rättsligt förpliktigade till att vidaresända personuppgifter.
I de fall vi har vidaresänt personuppgifter till bolag utanför Collectia, säkrar vi att dessa bolag informeras om varje rättning, radering eller begränsning, som det vidtagits åtgärder för.
Kraven för den registrerades rättigheter är förklarade i ”Riktlinjer för den registrerades rättigheter”
Vi strävar efter att svara inom 1 månad efter mottagandet av din begäran.
Vi ber dig uppmärksamma, att du av säkerhetsmässiga orsaker kan komma att verifiera din identitet innan din begäran kan behandlas.
| Syftet är att säkra att det är tydligt huruvida vi är dataansvariga eller databehandlare i förhållande till alla behandlingar av personuppgifter. Dessutom är syftet att säkra att det finns en överblick över vilka databehandlare som används, och att det har ingåtts databehandlingsavtal med dem.
Dataskyddsförordningens artikel 24-29 |
När vi behandlar personuppgifter värderar vi när vi är dataansvariga, databehandlare eller har delat ansvar (gemensam dataansvarig).
Såvitt vi är dataansvariga, säkrar vi att alla databehandlare vi använder, kan ställa de nödvändiga säkerhetsgarantierna för behandling av personuppgifter. Dessutom säkrar vi, att de är instruerade i hur de får behandla personuppgifter å våra vägnar, samt att det har ingåtts ett databehandlaravtal som lever upp till kraven i de gällande reglerna.
Såvitt vi är databehandlare, säkrar vi att vi endast behandlar personuppgifter under instruktion från den dataansvarige.
Dessutom säkrar vi att vi inte använder oss av andra databehandlare (underdatabehandlare), utan att vi har fått detta godkänt av den dataansvarige.
Såvitt vi har fått ett skriftligt godkännande från den dataansvarige, säkrar vi att vi underrättar den dataansvarige, om vi planerar att byta ut använda databehandlare, eller ingå avtal med nya, således att den dataansvarige får möjlighet att bestrida sådana ändringar.
Såvitt den dataansvarige har godkänt att vi använder andra databehandlare (underdatabehandlare), säkrar vi att de som minimum lever upp till de krav som den dataansvarige har ställt.
Om vi är gemensamt dataansvariga med en annan organisation, säkrar vi, att vi har fastlagt det delade ansvaret i förhållande till överensstämmelse av gällande regler på området. Vi säkrar även att de förpliktelser vi har gentemot den registrerade uppfylls, inklusive vem som gör upplysningarna tillgängliga för den registrerade, samt att detta sker på ett öppet och upplyst sätt. Den registrerade kan dock fritt välja vilken dataansvarig denna vill utöva sina rättigheter emot.
Kraven som ställs på dataansvariga och databehandlare, är förklarade i ”Riktlinjer om dataansvariga och databehandlare”.
| Syftet är att identifiera potentiella risker för den registrerade vid behandling av dennes personuppgifter. |
När vi behandlar personuppgifter, värderar vi riskerna för den registrerade vid behandlingen av dennes personuppgifter. Vi utför värderingen på bakgrund av de behandlingsåtgärder vi gör, inklusive använda system, således att vi får en samlad överblick över riskerna. Riskerna är beräknade och identifierade på bakgrund av en möjlig konsekvens för den registrerade vid behandlingen av dennes personuppgifter, samt sannolikheten för att konsekvensen inträffar.
Riskvärderingen är dokumenterad och godkännes av den högsta ledningen.
Metoden för värdering av risker för registrerade vid behandling av personuppgifter är förklarad i ”Riktlinjer om registrerades riskvärdering”.
| Syftet är att säkra att det görs en konsekvensanalys på förhand för behandling av personuppgifter som sannolikt innebär hög risk för den registrerade, och att det därmed identifieras tilltag, som kan reducera denna risk.
Dataskyddsförordningens artikel 35+36 |
Om det är värderat i registrerades riskvärdering, att en behandling av personuppgifter sannolikt kan innebära hög risk för de registrerades rättigheter eller frihetsrättigheter, utför vi en konsekvensanalys. Konsekvensanalysen skall hjälpa med att fastställa de åtgärder vi tänker kan möta dessa risker. Om de påtänkta tekniska och organisatoriska säkerhetsåtgärderna inte kan möta riskerna i tillräckligt omfång, rådgör vi hos Datainspektionen, innan vi utför någon behandling av personuppgifter.
Kraven för utarbetning av konsekvensanalyser är förklarade i ”Riktlinjer om konsekvensanalys”
| Syftet är att säkra att det är tillräcklig säkerhet vid behandling av personuppgifter som täcker de identifierade riskerna i risk- och konsekvensanalysen.
Dataskyddsförordningens artikel 32 og 25 |
Vi säkrar, att det upprätthålls en tillräcklig säkerhetsnivå både tekniskt och organisatorisk vid behandling av personuppgifter.
Baserat på den utarbetade riskanalysen och konsekvensanalysen, definierar vi vilken säkerhetsnivå och vilka säkerhetsåtgärder som skall implementeras för att säkra en tillräcklig skyddsnivå när vi behandlar personuppgifter.
I förbindelse med det överväger vi följande förhållanden:
Vi omvärderar löpande proceduren för säkerhetsåtgärder, och vid ändringar testas och utvärderas säkerheten, för att säkra att säkerhetsnivån fortsatt är tillräcklig.
Vi försäkrar oss om att lösningar som används till behandling av personuppgifter är designade, så att de reducerar graden av intrång i den registrerades privatliv.
Dessutom säkrar vi att lösningar som används till behandling av personuppgifter, har säkerhetsinställningar påslagna som standard, således att det inte inhämtas eller behandlas flera personuppgifter än vad som är nödvändigt för behandlingens syfte, samt att personuppgifter inte sparas i en längre tid än nödvändigt.
Vi försäkrar oss även om att personuppgifter inte ställs för tillgänglighet för andra, utan att det har varit en fysisk person involverad, vilket betyder att utlämnande av personuppgifter till andra inte får ske automatiskt, exempelvis till följd av en process.
Kraven som säkrar tillräcklig säkerhet vid behandling av personuppgifter, är förklarade i ”Riktlinje för säker behandling av personuppgifter”
| Syftet är att säkra att brott mot datasäkerheten hanteras korrekt, inklusive att det sker en anmälan till Datainspektionen, samt att den registrerade underrättas i det fall brottet har stor konsekvens för den registrerade.
Dataskyddsförordningens artikel 33 og 34 |
Ifall det skulle ske ett brott mot persondatasäkerheten, anmäler vi det utan vidare dröjsmål och senast 72 timmar efter vi har upptäckt det, till Datainspektionen. Om det är osannolikt att brottet innebär en risk för de registrerades rättigheter eller frihetsrättigheter, är vi inte förpliktigade till att anmäla det.
Ifall brottet sannolikt kommer innebära hög risk för de registrerades rättigheter eller frihetsrättigheter, underrättar vi dessutom de registrerade om brottet utan onödiga dröjsmål och upplyser om vad konsekvensen för dem är.
Kraven som säkrar en korrekt hantering av brott mot persondatasäkerheten är förklarade i ”Riktlinjer för brott mot datasäkerheten”.
| Syftet är, att det är utsett en person, som har uppgiften att utarbeta en policy och riktlinjer, kommunicera dessa och medverka till implementering härav. |
Collectia är i enlighet med de gällande regler inte förpliktigade till at utse en datakyddsrådgivare. Men då vi tar ansvar för behandlingen av personuppgifter, har vi valt att utse ett PDK-team. PDK-teamet har ansvaret för att säkra att Collectia är bekanta med och vidhåller de vid den tiden gällande regler på dataskyddssområdet. PDK-teamet har utöver det, det övergripande ansvaret för att de nödvändiga policys och riktlinjer är utarbetade, kommunicerade och implementerade hos Collectia.
Medarbetare som är i tvivel om innehållet i denna persondatapolicy eller riktlinjerna om hur personuppgifter skall behandlas, hur de registrerades rättigheter skall efterlevas eller liknande, skall vid varje tillfälle kontakta PDK-teamet. PDK-teamet kan dessutom delta som specialister i projekt med personuppgifter.
Kontaktuppgifter till PDK:
Navn: GDPR Team (Mogens Pedersen, Charlotte Møller, Nanna Fabild og Julie Boldsen)
E-mail: gdpr@collectia.dk
Telefonnr.: +45 77 30 14 00
PDK-teamets roll, inklusive uppgifter och ansvar, är förklarat i ”Riktlinjer för PDK”.
| Syftet är att säkra att eventuell tillsyn och förfrågningar från Datainspektionen hanteras korrekt, inklusive att Datainspektionen får rätt dokumentation.
Dataskyddsförordningens kapitel VI |
Om Datainspektionen skulle utföra tillsyn eller inkomma med förfrågan till Collectia, försäkrar sig den högsta ledningen om att de får den efterfrågade och rätta informationen, inklusive förteckningarna över behandlingsåtgärder.
Dessutom säkrar vi att vi vid varje tillfälle håller de tidsfrister som Datainspektionen har ställt i förbindelse med tillsyn eller en förfrågan.
Om du önskar att klaga till Datainspektionen, kan de kontaktas här; https://www.datatilsynet.dk/generelt-om-databeskyttelse/klage-til-datatilsynet/