Dataskydd – För kunder

OK Indrivning Ab förbinder sig till att skydda de registrerades rättigheter och värna om deras personuppgifter. I denna dataskyddsbeskrivning redogörs det för hur OK Indrivning Ab samlar in, använder, lagrar och skyddar dina personuppgifter.

Denna dataskyddsbeskrivning innehåller den information som ska tillhandahållas enligt artikel 14 i den allmänna dataskyddsförordningen (EU 2016/679); när personuppgifterna inte har erhållits från den registrerade.

1. Registeransvarig

OK Indrivning Ab
FO-nummer: 0873725-0
Tegelbruksgatan 7 A
65100 Vasa

2. Kontaktperson i registerärenden

Dataskyddsansvarig Jenni Vainionpää
OK Indrivning Ab
Tegelbruksgatan 7 A
65100 Vasa
privacy@okperinta.fi

3. Registrets namn

OK Indrivning Ab:s kundregister

4. Rättsgrund och ändamålet med behandlingen av personuppgifter

Behandlingsgrunden enligt EU:s allmänna dataskyddsförordning är fullgörande av avtalet (artikel 6.1.b)) och den registeransvariges berättigade intressen (artikel 6.1.f)). Bolaget utövar tillståndspliktig yrkesmässig indrivningsverksamhet som stadgas i lagen, varvid behandlingen av personuppgifter på ovan nämnda grunder kan anses vara ändamålsenlig.

Ändamålet med behandlingen av personuppgifter är indrivning av en fordran som är grundad på ett skuldförhållande.

5. Kategorier av registrerade

Kategorierna av registrerade består av indrivningsregistrets kunder.

I indrivningsregistret kan även sparas andra personuppgifter som direkt hänför sig till indrivningsuppdragen. Sådana är bl.a. personuppgifter för uppdragsgivaren, myndigheter och personer som är berättigade att representera.

6. Uppgiftsinnehållet i registret

Namnuppgifter
Personbeteckning
Adressuppgifter

Modersmål

Telefonnummer
E-postadress
Samtalsinspelningar
Uppgifter som uppdragsgivaren har meddelat och som är nödvändiga för att sköta uppdraget
Personliga kreditupplysningar och andra nödvändiga uppgifter som fås från offentliga register och som är nödvändiga för att sköta uppdraget
Uppgifter om fordran och betalningen av den
Uppgifter om indrivningsåtgärderna
Andra uppgifter som är nödvändiga för att sköta uppdraget

7. Regelmässiga uppgiftskällor

Den första registreringen av personuppgifter görs i regel utgående från uppgifter som mottagits av uppdragsgivaren.

Personuppgifter kan även insamlas från den registrerade, domstolar, utmätningsmyndigheter, rättsregistercentralen, kreditupplysningsregistret, skatteförvaltningen, magistraterna, befolkningsregistercentralen, tjänsteleverantörer som erbjuder nummerupplysningstjänster och från polismyndigheterna. Bolaget konstaterar att syftet med ovanstående förteckning inte är att vara uttömmande.

8. Regelmässiga mottagargrupper

Ur registret utlämnas uppgifter inom de gränser som uppdragsavtalen och den gällande lagstiftningen tillåter och förpliktar bland annat till uppdragsgivare, registrerade, domstolar, utmätningsmyndigheter, kreditupplysningsföretag, befolkningsregistercentralen, magistraten, tjänsteleverantörer som erbjuder nummerupplysningstjänster, polismyndigheterna och till rättsregistercentralen. Bolaget konstaterar att syftet med ovanstående förteckning inte är att vara uttömmande.

Vid behandlingen av personuppgifter kan den registeransvarige dessutom använda utomstående underleverantör eller leverantör som tillhandahåller programvarutjänster och som behandlar personuppgifterna för den registeransvariges räkning. Den registeransvarige ansvarar även då för att personuppgifterna behandlas lagenligt.

9. Översändande av uppgifter utanför EU eller EES

Vi behandlar i regel dina personuppgifter inom Europeiska ekonomiska samarbetsområdet (EES-området). Personuppgiftsbiträden som agerar på uppdrag av bolaget och deras underordnade personuppgiftsbiträden kan dock vara belägna och/eller överföra personuppgifter utanför Europeiska ekonomiska samarbetsområdet. Inom koncernbolagen kan personuppgifter dessutom överföras för bedömning av fordringar som köps utanför Europeiska ekonomiska samarbetsområdet och för koncernens revisioner.

Eftersom vi kan bli tvungna att överföra personuppgifter till länder utanför Europeiska ekonomiska samarbetsområdet (EES) eller till länder med olika dataskyddslagstiftning kommer vi att vidta åtgärder för att skydda dina personuppgifter, inklusive

– Kommissionens beslut om likvärdighet: Om EU-kommissionen fastställer att ett land har ett adekvat dataskydd kan vi överföra personuppgifter dit utan ytterligare skyddsåtgärder, inklusive EU:s och USA:s ramverk för dataskydd (EU-U.S. Data Privacy Framework)
– EU:s och USA:s ramverk för dataskydd (EU-U.S. Data Privacy Framework): Dataöverföringar från Europeiska ekonomiska samarbetsområdet (EES) till USA har godkänts av Europeiska kommissionen i enlighet med EU-USA:s ramverk för dataskydd. Enligt detta ramverk kan dina personuppgifter överföras till deltagande amerikanska företag utan ytterligare skyddsåtgärder.
– Standardavtalsklausuler: Vi kan använda dessa klausuler som godkänts av Europeiska kommissionen för att säkerställa att dina personuppgifter är säkra när de överförs utanför EES.

För ytterligare information om överföringar, vänligen kontakta vårt dataskyddsombud på det sätt som anges i avsnitt 2.

10. Lagringstid för personuppgifter

Personuppgifterna sparas alltid så länge som det är nödvändigt för att sköta indrivningsuppdraget. Då uppdaterar bolaget den registrerades personuppgifter regelbundet för att säkerställa att uppgifterna är aktuella. Dessutom iakttas lagringstiderna för handlingar och uppgifter som gäller indrivningen och som gällande lagstiftning förutsätter. Lagringstiden kan bestämmas till exempel enligt de krav som god indrivningssed eller bokföringslagen ställt.

Bolaget lagrar de telefondiskussioner som förts med de registrerade under tre år efter att diskussionen har förts. Om fordran bestrids, kan samtalsinspelningen lagras tills dess att avgörandet i ärendet är lagakraftvunnet.

11. Profilering

Som en del av behandlingen kan bolaget även utnyttja personuppgifter i profileringssyfte. Profileringen görs i regel utgående från personuppgifter enligt uppdraget och andra tillgängliga offentliga uppgifter (t.ex. kreditupplysningar). Syftet med profileringen är att bedöma den registrerades betalningsbeteende, varvid den registeransvarige kan ställa profilen i relation till sina indrivningsåtgärder. Den profil som skapats av den registrerade kan jämföras med profiler som skapats för andra registrerade. Bolaget utövar inte automatiskt beslutsfattande som baserar sig på profilering och som har rättsliga eller annars betydande effekter för den registrerade.

12. Beskrivning av tekniska och organisatoriska säkerhetsåtgärder

Personuppgifterna behandlas omsorgsfullt. Personalen som behandlar den registrerades personuppgifter genomgår utbildning och därefter ordnas utbildningar varje år. Uppgifterna i registret kan endast behandlas av personer, som på grund av sina arbetsuppgifter har behörighet att göra det. Personer som behandlar personuppgifter har tystnadsplikt.

Bolaget behandlar den registrerades personuppgifter både som manuellt material och material i elektroniskt format.

Manuellt material

Manuellt material skannas till elektroniskt format och sparas som en del av registret. Därefter förstörs materialet genom att flytta det till en låst behållare avsedd för dataskyddsavfall. Manuellt material som bolaget inte kan förstöra (på grund av att originaldokumentet ska finnas kvar) förvaras i ett låst skåp. Endast de personer som arbetar i bolaget har tillträde till bolagets lokaler.

Material i elektroniskt format

Bolaget har vidtagit sådana tekniska och organisatoriska åtgärder som det ansetts vara nödvändiga för att skydda registret från obehörigt tillträde och användning. Sådana åtgärder är bland annat olika användarnamn och ordkombinationer samt skyddade anslutningar för informationsöverföring.

13. Kontrollrätt och rätt att få personuppgifterna korrigerade

Den registrerade har rätt att kontrollera uppgifter som sparats om honom eller henne i registret. Begäran ska framföras skriftligen och individualiserat så att bolaget kan försäkra sig om den registrerades identitet. Den registeransvarige kan vid behov begära att den som framfört begäran ska legitimera sig. Kontrollbegäran ska framföras till den dataskyddsansvarige (punkt 2). Kontrollbegäran kan framföras en gång per år utan kostnad, därefter debiterar bolaget 20 euro i administrationsavgift för det arbete som kontrollbegäran medför. Bolaget svarar den som framfört begäran inom ramarna för den tid som fastställts i den allmänna dataskyddsförordningen (i regel inom en månad från det att begäran framfördes).

Om den registrerade konstaterar att uppgifterna om honom eller henne är felaktiga, har den registrerade rätt att begära att uppgifterna korrigeras eller tas bort; om inte dessa uppgifter är nödvändiga för att sköta indrivningsuppgifterna. Den registeransvarige ska underrätta den som den registeransvarige har utlämnat den felaktiga uppgiften till eller den som den registeransvarige har mottagit den felaktiga uppgiften från om att uppgiften har korrigerats, om avisering inte är orimligt. Begäran om rättelse ska framföras till den dataskyddsansvarige (punkt 2).

14. Den registrerades övriga rättigheter

Den registrerade har rätt att begära att den registeransvarige begränsar behandlingen till exempel tills dess att den registeransvarige säkerställer att uppgifterna är korrekta. Den registrerade har rätt att när som helst motsätta sig direktmarknadsföring. Bolaget konstaterar att det inte bedriver direktmarknadsföring till kunderna i indrivningsregistret utifrån deras ställning. Bolaget kan dock utöva inriktad elektronisk marknadsföring till de kunder som besöker bolagets webbsidor och som gett sitt medgivande. Till denna del hänvisar bolaget till sin redogörelse gällande webbkakor (cookies).

Den registrerade har rätt att lämna in besvär till tillsynsmyndigheten om omständigheter som rör behandlingen av hans eller hennes personuppgifter.

15. Ändringar i dataskyddsbeskrivningen

Denna dataskyddsbeskrivning kan uppdateras, till exempel när bolaget ändrar sitt förfarande för behandling av personuppgifter och när myndigheternas anvisningar eller lagstiftningen ändrar. Denna dataskyddsbeskrivning har senast blivit uppdaterad den 11 november 2020. Den uppdaterade versionen publiceras på företagets hemsida inom tre dagar från uppdateringen. Tidigare versioner finns hos företaget.