Dataskyddsförordningen GDPR medför ändringar i OK Indrivning:s verksamhet

EU:s nya dataskyddsförordning GDPR (General Data Protection Regulation) börjar tillämpas den 25 maj 2018.

ok perintä

EU:s nya dataskyddsförordning GDPR (General Data Protection Regulation) börjar tillämpas den 25 maj 2018. Syftet med att förnya dataskyddet är bland annat att öka öppenheten vid hanteringen av personuppgifter, att stärka de registrerade personernas rättigheter samt att uppdatera dataskyddsreglerna att motsvara dagens hanteringssituationer. Vi sammanställde de viktigaste punkterna som påverkar vår verksamhet samt vårt samarbete med såväl uppdragsgivare som med kunderna.

De ändringar som dataskyddsförordningen kräver vad gäller de dokument och tillvägagångssätt vi använder, är ännu inte i början av år 2018 helt klara.

1. Vi kommer överens med uppdragsgivaren om hanteringen av personuppgifter

Dataskyddsförordningen ställer nya krav på alla som deltar i hanteringen av personuppgifter samt på avtal mellan företag och de serviceproducenter som hanterar personuppgifter. I praktiken bedöms behovet av att uppdatera våra avtal enligt vilka tjänster vi producerar till uppdragsgivaren.

Vad gäller inkasso- och påminnelsetjänster är vår roll registeransvarig och vi ansvarar för dataskyddsförpliktelser i enlighet med detta. Då det gäller fakturerings- och delbetalningstjänsten fungerar vi som handläggare av personuppgifter och kundföretaget som registeransvarig.

I de avtal vi har tecknat med våra uppdragsgivare nämns ingenting om hanteringen av personuppgifter. Därför kommer vi att under våren 2018 uppdatera avtalsvillkoren för våra tjänster i alla ikraftvarande avtal och sända ut ett ändringsförslag till alla våra uppdragsgivare. Förfarandet förutsätter inga åtgärder av våra uppdragsgivare.

2. Avtalsvillkoren och tidsramen för nya samarbetsavtal

I bilagan till samarbetsavtalet avtalas bland annat om personuppgifternas användningsändamål, konfidentiella hantering, dataskydd, användningen av underleverantörer, upphörande av uppgifternas hantering samt rätten att revidera vår verksamhet.

Vi sköter om de nödvändiga uppdateringarna av nuvarande samarbetsavtal och säkerställer att alla avtal är uppdaterade när förordningen börjar tillämpas i maj 2018.

3. Vi säkerställer att all hantering av uppgifter sker i enlighet med dataskyddsförordningen

Vi säkerställer att hanteringen av personuppgifter sker på ett ansvarsfullt sätt i enlighet med dataskyddsförordningen och Finlands lag. Principerna för och de interna regler som berör dataskyddet har nedtecknats i vår dataskyddspolicy och det regelverk som berör hanteringen av personuppgifter. Dessa inkluderar även utbildningspraxis för att främja de anställdas kunskaper om dataskydd.

En omsorgsfull dokumentering av verksamhetsprinciperna och -modellerna utgör en central del i förverkligandet av dataskyddsförordningen. Som en del av vårt eget GDPR-projekt går vi för närvarande igenom våra nuvarande tillvägagångssätt och instruktioner, och vid behov kommer innehållet i dessa att preciseras. I framtiden följs förverkligandet av dataskydd upp regelbundet.

En för uppgiften separat utsedd dataskyddsansvarig (Data Protection Officer) kommer att ansvara för att verksamheten sker i enlighet med dataskyddsförordningen och hen har som sitt stöd en dataskyddsgrupp bestående av centrala aktörer inom ändringsadministrationen. Vi säkerställer att personalen är medveten om dataskyddet, arbetar i enlighet med instruktionerna och är beredd att ta tag i avvikelser genom att erbjuda introduktioner och regelbunden dataskyddsutbildning.

4. Informationsskyldighet samt register- och hanteringsbeskrivningar

Den person vars uppgifter hanteras har rätt att få kännedom om hanteringen av de uppgifter som rör honom eller henne. I enlighet med dataskyddsförordningen ansvarar i första hand den registeransvariga för att informationsskyldigheten uppfylls.

Vad gäller tjänsterna ansvarar vi som registeransvarig för information som rör våra egna uppgifter, såsom att upprätthålla registerbeskrivningen samt beskrivningen om hanteringen av uppgifter, vilken ska vara upprättad för myndigheterna.

Vad gäller faktureringstjänsten hör informationsskyldigheten, inklusive upprätthållandet av registerbeskrivningen, till kundföretaget. I egenskap av handläggare för fakturerings- och kunduppgifter upprätthåller vi dock en beskrivning som rör hanteringen av uppgifter och som på begäran överlämnas till myndigheterna.

5. Den registrerades rätt att ta bort sina egna uppgifter från vårt personregister

Hanteringen av personuppgifter då det gäller våra tjänster grundar sig på det som nämns i dataskyddsförordningen, vanligtvis i samarbetsavtalet eller för att fullgöra ett rättmätigt intresse. I dessa fall har personen i princip inte rätt att ta bort sina uppgifter.

Om det framkommer att det inte finns någon grund för hantering av personuppgifter, till exempel på grund av en felaktig beställning eller ett felaktigt inkassouppdrag, tar vi bort uppgifterna efter att den registrerade har inlämnat en reklamation, såvida uppgifterna inte redan har tagits bort.

6. Den registrerades insynsrätt

Den person vars uppgifter hanteras, har rätt att få ut sina egna uppgifter av den registeransvariga. Vad gäller inkasso samt fakturerings- och delbetalningstjänsten kan begäran riktas direkt till vår kundtjänst. I enlighet med dataskyddsförordningen ska uppgifterna levereras till personen i fråga inom en månad. I de fall då vi hanterar uppgifter för en företagskunds räkning, såsom i faktureringstjänsten, styr vi på överenskommet sätt begäran om uppgifterna till vår företagskund, som är den registeransvariga.

Dataskyddsförordningen ger även personen rätt att i vissa fall överföra sina egna uppgifter till en annan registeransvarig. För den registeransvariga betyder detta att uppgifterna måste lagras i ett sådant format som gör det möjligt att överföra dem. Rätten att överföra uppgifter gäller sådana uppgifter som hanteras automatiskt i faktureringen samt faktura- och delbetalningstjänsten. Rätten att överföra uppgifter gäller inte för personuppgifter som hanteras inom inkasso.

7. Vi säkerställer att även våra underleverantörer hanterar personuppgifter i enlighet med kraven

Vi ansvarar för våra underleverantörers verksamhet på samma sätt som för vår egen. Vi kommer alltid överens om hanteringen av personuppgifter i enlighet med dataskyddsförordningen och med hjälp av avtal förpliktigar vi våra samarbetspartner att agera i enlighet med förordningen. Vi övervakar även våra underleverantörers verksamhet med hjälp av kvalitetsrevideringar.

8. Rätt till kvalitetsrevision i dataskyddsfrågor

Våra uppdragsgivare och samarbetspartners har rätt att revidera hanteringen av personuppgifter och dataskyddet vad gäller vår verksamhet och våra inkassoprocesser. Detaljerna i revideringarna avtalas alltid i serviceavtalets avtalsvillkor.

9. Vi har förberett oss på personuppgiftsbrott och rapportering av dessa

Till följd av den nya förordningen har var och en rätt att utan ogrundat dröjsmål få kännedom om ifall hens personuppgifter eventuellt kan ha råkat i fel händer. Ett företag som fungerar som registeransvarig är även skyldigt att meddela myndigheterna om personuppgiftsbrott inom 72 timmar efter det att brottet har upptäckts.

Vi har förberett oss på att hantera eventuella personuppgiftsbrott enligt en verksamhetsmodell som har utarbetats för detta ändamål och som uppfyller kraven i dataskyddsförordningen. I rollen som uppgiftsbehandlare ansvarar vi även för att det företag, vars kunduppgifter det är frågan om, utan dröjsmål får information om ett eventuellt hot mot integritetsskyddet för att företaget ska kunna uppfylla sina egna förpliktelser som registeransvarig.