Integritetspolicy för inkassoverksamheten

Det är viktigt för oss på Alektum Group att respektera integriteten hos alla personer vi kommer i kontakt med och särskilt att vara transparenta om vår behandling av personuppgifter. Vid det fall att vi behandlar just dina personuppgifter så vill vi att du känner dig trygg med vår behandling och vi välkomnar därför dig att läsa denna Integritetspolicy som ger dig mer information om hur vi behandlar personuppgifter.

Kontakta oss

Om du har frågor kring vår personuppgiftsbehandling eller om du vill nyttja någon av dina rättigheter så hittar du våra kontaktuppgifter här:

Alektum Group AB

Postadress: Nils Ericsonsgatan 17, 404 23 Göteborg, Box 111 08
Telefon vxl: 031-730 60 75
E-postadress till dataskyddsombud: dataprotection@alektumgroup.com

Innehåll

1. Varför denna Integritetspolicy?
2. Vem ansvarar för behandlingen av dina personuppgifter?
3. Så här behandlar vi dina personuppgifter
3.1. Har du fått en betalningspåminnelse från oss?
3.2. Har du fått ett inkassokrav?
3.3. Hur går inkassoprocessen till?
3.3.1. Ärendeimport
3.3.2. Brevutskick
3.3.3. Inkassoåtgärder
3.3.3.1. Vår behandling i samband med enkätundersökningar – NKI (”Nöjd Kund Index”)
3.3.4. Crossborder-inkasso
3.3.5. Kronofogden – betalningsföreläggande och verkställighet/utmätning
3.3.6. Delgivning
3.3.7. Behandling av särskilda kategorier av personuppgifter
4. Vår personuppgiftsbehandling vid köp av obetalda fordringar
4.1. Personuppgiftsbehandling vid portföljanalys
4.2. Överföring av personuppgifter till ursprunglig borgenär
5. Arbetar du för en av våra klienter?
6. Med oss är du trygg – vi skyddar alltid dina personuppgifter
7. Så länge kommer vi att spara dina personuppgifter
8. Vem delar vi dina personuppgifter med?
8.1. Våra kunder och ursprunglig borgenär
8.2. Leverantörer och underleverantörer
8.3. Alektumkoncernen och andra inkassobolag
8.4. Förvaltare, god man eller en person som innehar fullmakt från dig
8.5. Myndigheter och domstolar
9. Kommer mina personuppgifter att föras över till ett annat land?
10. Du har kontrollen över dina personuppgifter – det här är dina rättigheter
11. Är du missnöjd med vår personuppgiftsbehandling?

1. Varför denna Integritetspolicy?

Den allmänna dataskyddsförordningen, förordning (EU) 2016/679, även kallad ”GDPR” avser att skydda fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter samt fastställer bestämmelser om det fria flödet av personuppgifter. Denna Integritetspolicy innehåller därför information om hur vi skyddar och i övrigt behandlar dina personuppgifter och hur vi tillvaratar dina rättigheter i enlighet med GDPR.

2. Vem ansvarar för behandlingen av dina personuppgifter?

Vi, Alektum Group AB (org.nr. 556331-1678), är personuppgiftsansvariga när vi utför inkassouppdrag för våra kunder såväl som när vi inkasserar fordringar som vi övertagit och därmed vidtar inkassoåtgärder på för vår egen räkning.  Detta innebär att om du fått ett inkassokrav från oss med anledning av att vi har inlett ett inkassoärende om dig så ansvarar vi för behandlingen av dina personuppgifter under hela det ärendet, oavsett om vi utför uppdraget för vår egen eller vår kunds räkning.

3. Så här behandlar vi dina personuppgifter

3.1. Har du fått en betalningspåminnelse från oss?

Det förekommer att vi skickar betalningspåminnelser på uppdrag av våra kunder. Det är viktigt att påpeka att detta inte innebär att vi inlett ett inkassoärende om dig samt att vi i dessa fall behandlar dina personuppgifter enbart enligt vår kunds instruktion och att vi därmed agerar som vår kunds personuppgiftsbiträde. Det är alltså vår kund, den part som anges som fordringsägare på den betalningspåminnelse som tillställts dig, som i dessa fall är personuppgiftsansvarig och ansvarar för behandlingen av dina personuppgifter. Detta innebär bl.a. också att vi utför vårt uppdrag på den lagliga grund som valts av vår kund.

De personuppgifter som vi behandlar om dig i detta stadie är i huvudsak: namn, personnummer, kontakt- och adressuppgifter, uppgifter om den obetalda fordran, fakturan som ligger till grund för fordran samt eventuella delbetalningar.

Om du vill veta mer om hur dina personuppgifter behandlas i detta skede, exempelvis för vilka ändamål behandlingen sker eller vilka rättigheter du har, så ber vi dig att i första hand vända dig till vår kund, det vill säga din fordringsägare och avtalspart. Kontaktuppgifter till denne framgår av avtalet du ingått eller originalfakturan du erhållit från fordringsägaren.

3.2. Har du fått ett inkassokrav?

Om du har fått ett inkassokrav från oss så innebär det att vi, i egenskap av inkassobolag, vidtar inkassoåtgärder mot dig för att inkassera en ännu obetald fordran  för vår egen eller vår kunds räkning. Med inkassoåtgärder avses alla de åtgärder vi vidtar för att på ett effektivt sätt uppnå betalning eller annan fullgörelse, fastställelse av fordran och/eller verkställighet, samt kunna fakturera och redovisa detta på ett lagenligt sätt. Det kan bl. a. vara utskick av inkassokrav och andra kravbrev, administration av uppgörelser, hantera betalningar, kommunicera med dig som gäldenär eller ett eventuellt ombud, kontakter med myndighet eller annan part och/eller åtgärder för fastställande av fordran inklusive processer vid domstol samt verkställighet.

Under inkassoprocessen är vi, som tidigare beskrivits, personuppgiftsansvariga vilket bl.a. innebär att det är vi som bestämmer för vilka ändamål dina personuppgifter behandlas och hur behandlingen ska gå till samt vilken laglig grund behandlingen ska ske på. Inom ramen för denna process behandlar vi uppgifter om dig för att du har en förfallen fordran till oss eller till någon av våra kunder, det vill säga för indrivning av den förfallna fordran. Möjligheten att kunna driva in en förfallen fordran anses vara väsentlig för att flödet av betalningar i ett samhälle ska fungera. Bl.a. med anledning av den samhällsviktiga funktion som inkassoverksamhet därmed utgör sker vår personuppgiftsbehandling i denna del främst på grundval av allmänt intresse, enligt art 6.1 (e) i GDPR.

3.3. Hur går inkassoprocessen till?

För att göra inkassosprocessen, och därmed också vår personuppgiftsbehandling, mer transparent så beskriver vi i det nedanstående inkassoprocessen översiktligt och stegvis med fokus på vår hantering av dina personuppgifter.

Schematisk bild över vår inkassoprocess:

3.3.1. Ärendeimport

När vi mottar ett inkassouppdrag från vår kund eller när vi övertar ett inkassoärende som vi köpt mottar vi även sådan information om dig i egenskap av gäldenär som är nödvändig för att vi ska kunna inkassera en ännu utestående fordran från dig. Informationen som vi erhåller är i huvudsak: namn, personnummer, kontakt- och adressuppgifter, uppgifter om den obetalda fordran, omständigheter kring köpet, fakturan som ligger till grund för fordran samt eventuella delbetalningar eller bestridanden. Agerar du som ombud för en gäldenär, t.ex. i egenskap av god man eller förvaltare, hanteras även ditt namn, kontakt- och adressuppgifter och eventuella andra kontaktuppgifter, som exempelvis e-postadress, samt uppgift om själva förvaltarskapet. Bär du solidariskt ansvar för en gäldenär såsom bolagsman eller borgensman så behandlar vi samma uppgifter om dig som för en gäldenär samt uppgift om själva borgensåtagandet. All behandling av de personuppgifter som här beskrivits grundas på den lagliga grunden allmänt intresse, art. 6.1 (e) i GDPR.

3.3.2. Brevutskick

Under detta skede i processen skickas ett inkassokrav till dig. I inkassokravet finns betalningsuppgifter samt en tidsfrist för när betalning senast ska vara oss tillhanda för att undvika ytterligare inkassoåtgärder. Uppgifter som behandlas om dig i samband med brevutskick är namn, kontaktuppgifter och skulduppgifter. Vid brevutskick delas uppgifterna med den leverantör som vi vid var tillfälle anlitat för att printa och posta brev, dvs. en extern part. Det är viktigt att vi har korrekta kontaktuppgifter till dig eftersom brev annars riskerar att inte komma fram och att vi begränsas i vår kommunikation med dig. För att säkerställa att vi har korrekta och aktuella kontaktuppgifter uppdaterar vi löpande adressuppgifter mot folkbokföringsregistret. Vi använder oss även då av en extern leverantör som får del av namn, adress, telefonnummer, personnummer för att kunna tillhandahålla tjänsten i fråga.

3.3.3. Inkassoåtgärder

Vid det fall att inkassoärendet fortfarande är obetalt efter att inkassofristen löpt ut, vidtas ytterligare inkassoåtgärder. Det innebär att vi tar kontakt med dig via telefon, brev, mail eller SMS. Uppgifter som behandlas om dig i detta skede är samma uppgifter som under avsnitt 3.1.

Om vi kontaktar dig via telefon kommer ditt samtal att spelas in i kvalitets- och utbildningssyfte. Detta gör vi för att kunna hjälpa dig på bästa sätt och för att förbättra kvalitén på vårt arbete. Samtalen kommer sparas i 30 dagar och endast ett fåtal personer inom organisationen har behörighet att lyssna på samtalen. Personuppgiftsbehandlingen i denna del grundas på vårt berättigade intresse, art. 6 (f) i GDPR, av att kunna kvalitetssäkra vårt arbete och för att utbilda vår personal.

Du kan som gäldenär kontakta oss när helst under inkassoprocessen om du vill diskutera ärendet, sätta upp en eventuell avbetalningsplan eller om du vill bestrida det krav som riktas mot dig. För det fall du bestrider kravet och vi anser att betalningsskyldighet fortfarande föreligger så innebär detta att ärendet är tvistigt. Vi kan i detta fall anlita en advokatbyrå för att föra vår talan. Uppgifter om ärendet och dina personuppgifter delas i sådant fall med den advokatbyrå som vi vid vart tillfälle anlitar, dvs. en tredje part. När ärendet överlämnas till advokatbyrån går personuppgiftsansvariet över till dem, dvs. de är ensamt personuppgiftsansvariga för deras behandling av dina personuppgifter så länge de hanterar ärendet hos sig. För information om hur personuppgifterna närmare hanteras i detta skede, för vilka ändamål och vilka rättigheter du har, ber vi dig därför att vända dig till dem i egenskap av personuppgiftsansvarig.

För att inte påföra dig onödiga eller alltför påträngande inkassoåtgärder behöver vi bedöma vilken åtgärd som är mest lämpad att vidta i varje enskilt ärende. För att göra denna bedömning behöver vi bl.a. behandla uppgifter om din ekonomiska situation, levnadsförhållanden, övriga skulder och eventuella utmätningar. Av den anledningen samlar vi in sådan ekonomisk information och skuldinformation från Kronofogden samt kreditupplysningsbolag, dvs. externa parter och leverantörer, som för att ha möjlighet att tillhanda oss med uppgifter behandlar personuppgifter om dig. Utifrån inhämtade uppgifter bestämmer vi sedan exempelvis vilket typ av kravbrev som ska skickas, om vi ska vidta rättsliga åtgärder såsom att ansöka om betalningsföreläggande, starta process vid domstol eller ansöka om verkställighet. I vissa fall bestäms detta med hjälp av automatiska metoder med inslag av profilering. Det innebär att beslut om åtgärd tas automatiskt efter förutbestämda variabler snarare än att en handläggare manuellt tar beslut i varje enskilt ärende. I dessa fall samkörs informationen vi har mot ett internt regelverk som vi skapat varpå vi erhåller ett utfall med ett åtgärdsförslag. Utifrån den information som inhämtas av dig görs således en bedömning om dina betalningsmöjligheter. Eftersom det automatiserade beslutet inte har några rättsliga följder som i betydande grad påverkar dig omfattas inte dessa automatiska processer av art. 22 i GDPR (för mer information, vänligen se uppförandekoden för behandling av personuppgifter i inkassoverksamhet från branschorganisationen Svensk Inkasso samt prop. 2017/18:120, s 46 f). Processerna syftar till att identifiera den minst ingripande indrivningsåtgärden och är en del av inkassoförfarandet och således en naturlig del i utförandet av inkassoprocessen.

3.3.3.1.Vår behandling i samband med enkätundersökningar – NKI (”Nöjd Kund Index”)

Vi är måna om att du ska vara nöjd med den service vi ger dig och vi önskar därför din feedback kring hur du upplevt kontakten med oss. I syfte att förbättra vår service genomför vi därför periodvis kundnöjdhetsenkäter där du, efter att varit i ett telefonsamtal med oss, kan komma att få ett sms innehållande en länk som tar dig till en sida där du får möjlighet att ge oss feedback. Undersökningen i sig är anonym på så sätt att inga personuppgifter kommer att samlas in genom dina svar. Vi kommer dock att behöva behandla vissa personuppgifter om dig, som exempelvis telefonnummer, för att kunna skicka smset med länken till enkäten till dig. För denna aktivitet agerar vi egenskap av personuppgiftsansvarig och vår lagliga grund för behandlingen är vårt berättigade intresse, art. 6 1. (f) i GDPR, av att kunna förbättra våra tjänster och service. Informationen som samlas in i denna del är också fokuserad kring vår hantering av ditt ärende och vår kommunikation i det ärendet.

3.3.4.  Crossborder-inkasso

För det fall du bor i eller flyttar till ett annat land än det land där vi inlett ett inkassoärende mot dig anlitar vi ett inkassoombud med verksamhet i det land du befinner dig i. Personuppgifter om dig och inkassoärendet som sådant kommer då att delas med inkassoombudet, en extern part. När vi lämnat över ärendet är vi inte längre personuppgiftsansvariga för behandlingen. Om du vill veta mer hur dina personuppgifter behandlas i sådant fall så ber vi dig att kontakta ditt nya inkassoombud.

3.3.5. Kronofogden – betalningsföreläggande och verkställighet/utmätning

Om betalning uteblivit efter inkassoåtgärder kan ärendet skickas till Kronofogden genom en ansökan om betalningsföreläggande. Vi delar då dina personuppgifter inklusive kvarstående skuld med Kronofogden. Kronofogden kan då komma att fastställa skulden genom ett utslag. När skulden är fastställd kan utslaget användas för utmätning. Om du vill veta mer om hur processen kring betalningsförelägganden går till kan du läsa mer om detta på Kronofogdens hemsida; www.kronofogden.se.

3.3.6. Delgivning

Delgivning, dvs. att delge dig vissa handlingar, kan bli aktuellt vid flera olika tillfällen inom inkassoprocessen. Vid dessa fall kommer vi att överföra personuppgifter om dig till en delgivningsbyrå. Då denna behandling är ett naturligt inslag i inkassoprocessen sker denna överföring av personuppgifter på grundval av allmänt intresse, art. 6.1 (e) i GDPR i likhet med övrig behandling som sker inom ramen för inkassoverksamheten. Vi vill också påpeka delgivningsbyråer är ensamt personuppgiftsansvariga för deras personuppgiftsbehandlingar och det är därför direkt till delgivningsbyrån du ska vända dig angående frågor kring personuppgiftsbehandling i själva delgivningsförfarandet.

3.3.7. Behandling av särskilda kategorier av personuppgifter

Vi kan komma att behandla särskilda kategorier av personuppgifter s.k. ”känsliga personuppgifter” som exempelvis uppgift om förvaltarskap eller att du som en del i ett bestridande anfört vissa uppgifter om din hälsa, även om vi infört rutiner för att denna behandling ska vara så begränsad som möjligt. I de fall detta sker behandlar vi dessa uppgifter på grundval av att det får anses nödvändig för att fastställa, göra gällande eller försvara ett rättsligt anspråk i enlighet med art. 9.2 (f) i GDPR eller på grundval av att det får anses nödvändigt av hänsyn till ett viktigt allmänt intresse kan ske med hänvisning till nationell rätt, art. 9.2 (g) i GDPR. Det senare får anses vara laglig grund för de fall vi behandlar uppgift om förvaltarskap då vi enligt inkassolag och god inkassosed är ålagda att endast kommunicera med förvaltare i de fal där en sådan finns utsedd.

4. Vår personuppgiftsbehandling vid köp av obetalda fordringar

4.1. Personuppgiftsbehandling vid portföljanalys

Som redan påpekats i det ovanstående så utför vi inkassoåtgärder i ärenden som vi driver både i egenskap av ombud för våra kunder men också för vår egen räkning genom att vi regelbundet förvärvar obetalda fordringar. Denna typ av förvärv sker vanligtvis genom att vi förvärvar fordringsportföljer som inkluderar ett stort antal ännu obetalda fordringar. Inför ett sådant förvärv krävs det att vi analyserar varje enskild portfölj för att avgöra vilket pris vi vill betala för den. Inom ramen för denna analys kan vi behandla personuppgifter som namn, personnummer, adress, fakturauppgifter och skulduppgifter. Personuppgifterna som analyserar levereras av säljaren av fordringsportföljen, vilket i de flesta fall är den ursprungliga borgenären till fordringarna. Syftet med personuppgiftsbehandlingen är att värdera skuldportföljen i fråga och för att begränsa den ekonomiska risk som vi tar på oss till följd av ett eventuellt portföljköp. Personuppgiftsbehandlingen i denna del grundas på vårt berättigade intresse, art. 6 (f) i GDPR, av näringsfrihet – dvs. vårt berättigade intresse av att kunna bedriva fri och konkurrensutsatt affärsverksamhet – och för att skydda våra ekonomiska intressen inom ramen för denna näringsfrihet.

4.2. Överföring av personuppgifter till ursprunglig borgenär

I vissa fall överför vi dina personuppgifter tillbaka till din ursprungliga borgenär efter det att vi köpt ärendet. De personuppgifter vi delar i dessa fall kan vara namn, personnummer, eventuell kvarstående skuld eller uppgift om att du erlagt betalning för din skuld. Ändamålet med denna överföring av personuppgifter är att ge den ursprungliga borgenären information om huruvida den fordran som borgenären i fråga en gång hade på dig (innan den övertogs av oss) kvarstår eller inte. Den lagliga grunden för behandlingen är även i detta fall vårt och den ursprungliga borgenärens berättigade intresse, art. 6 (f) i GDPR, av näringsfrihet – dvs. vårt och den ursprungliga borgenärens berättigade intresse av att kunna bedriva fri och konkurrensutsatt affärsverksamhet – och för att skydda våra ekonomiska intressen inom ramen för denna näringsfrihet genom att begränsa framtida eventuella ekonomiska förluster. Vår och den ursprungliga borgenärens berättigade intresse för denna behandling inkluderar även att, så långt det är möjligt, motverka överskuldsättning i samhället. Detta kan bestå i att den ursprungliga borgenären ämnar neka framtida köp så länge som tidigare fordringar förblir obetalda, vilket i ett större perspektiv får anses positivt för att begränsa både individuell överskuldsättning såväl som överskuldsättningen generellt i samhället – det är då nödvändigt för att uppfylla detta ändamål att den ursprungliga borgenären får information om huruvida en fordran som övertagits av oss kvarstår eller inte.

5. Arbetar du för en av våra klienter?

Vi hanterar personuppgifter om dig om du är kontaktperson och/eller bolagsman hos någon av våra kunder eller om du är kontaktperson hos prospekt, det vill säga hos ett bolag som vi vill ska bli vår kund. Vi behandlar då personuppgifter i form av namn, telefonnummer, position i företaget samt eventuella noteringar från möten. Uppgifterna används för att administrera kontakten oss emellan samt för utförandet av ett eventuellt avtal, behandlingen utförs då på grundval av avtal, art. 6.1 (b) i GDPR. Vi behandlar även personuppgifterna för redovisnings- och faktureringsändamål. Behandlingen utförs då på grundval av rättslig förpliktelse, art. 6.1 (c) i GDPR. Om du är kontaktperson hos prospekts behandlas dina personuppgifter på grundval av vårt berättigade intresse, artikel 6.1 (f) i GDPR. Vi har ett berättigat intresse att marknadsföra våra tjänster och bearbeta potentiella kundrelationer.

6. Med oss är du trygg – vi skyddar alltid dina personuppgifter

Oavsett om vi är personuppgiftsansvariga eller agerar på uppdrag av vår kund i egenskap av personuppgiftsbiträde så är vi alltid skyldiga att skydda de personuppgifter som vi behandlar, detta gäller även om vi låter en extern part utföra hela eller delar av behandlingen. Det är viktigt att påpeka att vi aldrig delar personuppgifter med externa parter om det inte är för att utföra vårt uppdrag och uppfylla det ändamål för vilket vi samlat in personuppgifterna i fråga eller för att vi är skyldiga till detta enligt lag. Dessutom lyder vi som inkassobolag under lagstadgad tystnadsplikt enl. inkassolagen vilket innebär att vi inte obehörigen får röja eller utnyttja information om enskildas personliga förhållanden eller om yrkes- eller affärshemligheter.

Vi är också noga med att begränsa spridningen av personuppgifter internt hos på Alektum Group genom behörighetsstyrning, dvs. endast de medarbetare som behöver ha tillgång till personuppgifter för att utföra sina arbetsuppgifter har tillgång till dem.

Vidare ser vi till att våra IT-system och andra platser där vi lagrar personuppgifter skyddas mot att obehöriga personer ska kunna komma åt informationen, exempelvis genom brandväggar, virusskydd, höga lösenordskrav, loggning i system och så vidare.

När vi behöver överföra personuppgifter mellan oss och en part utanför vår miljö, exempelvis vår kund, ser vi alltid till att använda ett säkert överföringssätt.

Slutligen ser vi till att säkerhetskopiera våra system genom backuper för att undvika att viktig information om dig förloras. Endast auktoriserad IT-personal har tillgång till de datacenter där backuperna finns.

7. Så länge kommer vi att spara dina personuppgifter

I enlighet med art. 5 i GDPR (principen om lagringsminimering) behandlar vi inte personuppgifter under en längre tid än vad som är nödvändigt för att uppfylla det ändamål för vilket vi samlade in personuppgifterna i fråga. Tiden för lagring varierar därför utifrån vilket ändamål som personuppgiftsbehandlingen avser uppfylla. Nedan beskrivs hur vi hanterar lagringstider utifrån respektive huvudsakligt ändamål.

Personuppgifter som vi har samlat in under ett inkassoärende, eller i samband med en analys av en fordringsportfölj i enlighet med avsnitt 4 och som vi sen vidtar inkassoåtgärder på, sparas i minst 6 månader och maximalt i 36 månader efter att inkassoärendet avslutats. Lagringstiden grundas på riktlinjer från de Allmänna Råd för inkasso (”Tillämpning av inkassolagen”) som Integritetsskyddsmyndigheten tagit fram samt uppförandekoden för behandling av personuppgifter i inkassoverksamhet från branschorganisationen Svensk Inkasso.

Personuppgifter som har samlats in inom ramen för vår påminnelsehantering sparas under den tid som den personuppgiftsansvarige (vår kund) valt. Eftersom vi är personuppgiftsbiträden i påminnelsehanteringsprocessen är det inte vi utan den personuppgiftsansvarige som bestämmer lagringstiden för dessa uppgifter. Vanligtvis lagras dock uppgifterna i 1 år efter avslutat ärende.

Personuppgifter rörande kunder lagras så länge som det är nödvändigt för kundrelationen och personuppgifter som rör prospekts lagras under den tid prospektet är aktuellt. För att vi inte ska ha gamla uppgifter om våra kunder och prospekts uppdateras samtliga uppgifter var tredje år.

Personuppgifter som är nödvändiga för fakturering och redovisning inom ramen för bokföringsändamål behandlar vi alltid fram till och med det sjunde (7) året efter utgången av det kalenderår då räkenskapsåret avslutades.

Personuppgifter som finns i våra backuper lagras maximalt i 30 dagar.

8. Vem delar vi dina personuppgifter med?

Vi har redan i tidigare avsnitt, framför allt genom det processflöde vi beskrivit i avsnitt 3.3, gett information om flera av de typer av tredje parter som vi delar dina personuppgifter med beroende på var i processen behandlingen sker. För att vara extra transparenta kring vilka tredje parter eller kategorier av tredje parter som vi delar dina personuppgifter med sammanställer vi även här en lista över dessa.

8.1. Våra kunder och ursprunglig borgenär

I de fall vi utför inkassoåtgärder i egenskap av ombud för vår kunds (din avtalsparts) räkning delar vi alltid dina personuppgifter tillbaka till den kunden. Detta sker på grundval av allmänt intresse, enligt art 6.1 (e) i GDPR, då det får anses falla inom det ursprungliga ändamålet med vår personuppgiftsbehandling att vi som inkassobolag ska kunna kommunicera med vår uppdragsgivare.

I vissa fall överför vi även dina personuppgifter tillbaka till din ursprungliga borgenär efter det att vi köpt ärendet. Detta sker i så fall på grundval av vårt och den ursprungliga borgenärens berättigade intresse, art. 6 (f) i GDPR, vilket vi redan redogjort för i avsnitt 4.2.

8.2. Leverantörer och underleverantörer

Leverantörer och underleverantörer kan vara bolag som endast har rätt att behandla de personuppgifter de mottar från oss för vår räkning, så kallade personuppgiftsbiträden. Vi behöver i vissa delar av våra processer få tillgång till tjänster och funktionalitet från andra företag som vi inte själva kan erbjuda för att ha möjlighet att utföra våra tjänster och uppfylla våra ändamål med vår personuppgiftsbehandling. Dessa företag utför sin personuppgiftsbehandling på den lagliga grund som vi anger – vilket huvudsakligen är allmänt intresse, enligt art 6.1 (e) i GDPR eller berättigade intresse, art. 6 (f) i GDPR, beroende på vilken process som avses.

Exempel på sådana leverantörer och underleverantörer som behandlar personuppgifter för vår räkning, i egenskap av personuppgiftsbiträden, är:

  • mjukvaru- och datalagringsleverantörer,
  • IT-support och systemleverantörer,
  • betalningsutföringsleverantörer,
  • utskrifts- och posttjänsteleverantörer,
  • SMS-tjänsteleverantörer och
  • Informationstjänsteleverantörer (för uppdatering av adressuppgifter i våra register).

I andra fall är våra leverantörer ensamt personuppgiftsansvariga för deras egna personuppgiftsbehandlingar, detta innebär bl.a. att deras behandling sker för ett ändamål de själva bestämmer samt att de avgör på vilken laglig grund deras behandlingar utförs. Vår överföring av personuppgifter sker med anledning av att vi, i vissa delar av våra processer, behöver få tillgång till tjänster och funktionalitet från andra företag som vi inte själva kan erbjuda för att ha möjlighet att utföra våra tjänster och uppfylla våra ändamål med vår personuppgiftsbehandling. De lagliga grunder som här kan bli aktuella, beroende på situation, är allmänt intresse, enligt art 6.1 (e) i GDPR, berättigade intresse, art. 6 (f) i GDPR. I samband med rättsliga processer kan särskilda kategorier av personuppgifter komma att behandlas, exempelvis om hälsouppgifter inkluderas i ett bestridande från dig, dessa uppgifter kan då komma att överföras till en advokatbyrå. Behandlingen får då anses nödvändig för att fastställa, göra gällande eller försvara ett rättsligt anspråk i enlighet med art. 9.2 (f) i GDPR.

Exempel på sådana leverantörer och underleverantörer som behandlar personuppgifter för vår räkning, men i egenskap av personuppgiftsansvariga, är:

  • advokatbyråer,
  • kreditupplysningsbyråer och
  • delgivningsbyråer.

8.3. Alektumkoncernen och andra inkassobolag

Vid exempelvis crossborder-inkasso, som beskrivits i det ovanstående, kan vi komma att överföra personuppgifter mellan företag inom Alektumkoncernen eller andra inkassobolag för att fortsätta att driva in en obetald fordran om du flyttar till ett annat land än Sverige. Dessa bolag är själva personuppgiftsansvariga för deras egna tjänsteutförande och har därmed en egen laglig grund för deras behandling av dina personuppgifter. Vår behandling och överföringen som sådan sker inom ramen för vårt ursprungliga ändamål att driva in en obetald fordran och på den lagliga grunden allmänt intresse, enligt art 6.1 (e) i GDPR.

Vi kan också överföra dina personuppgifter inom Alektumkoncernen med anledning av att vi har vissa koncerninterna tjänster, dvs. att ett företag inom Alektumkoncernen kan utföra tjänster som andra företag i koncernen får del av på ett eller annat sätt. Det kan exempelvis röra sig om administration, support personaltjänster och/eller ledningsfunktioner. Vi har ett berättigade intresse, art. 6 (f) i GDPR, av att kunna få tillgång till och tillhandahålla dessa tjänster och funktionaliteter. Vi säkerställer att den behandling det här innebär är nödvändig för att fullfölja det intresset, och att vårt intresse väger tyngre än din rätt att inte få dina uppgifter behandlade för det här syftet.

8.4. Förvaltare, god man eller en person som innehar fullmakt från dig

Vi kan komma att dela dina personuppgifter med en person som av domstol utses till din förvaltare eller god man eller som har rätt att ta del av dessa enligt fullmakt från dig. Denna behandling eller överföring av personuppgifter kan då utförs på grundval av rättslig förpliktelse, art. 6.1 (c) i GDPR, med anledning av att vi som inkassobolag enligt lag ska bedriva vår verksamhet i enlighet med god inkassosed och det framgår av god inkassosed att all kommunikation ska ske med förvaltaren för de fall där det finns en sådan utsedd eller på grundval av allmänt intresse, enligt art 6.1 (e) i GDPR, då det får anses falla inom det ursprungliga ändamålet med vår personuppgiftsbehandlingen att vi som inkassobolag ska kunna kommunicera med dig som gäldenär eller din företrädare/ditt ombud för de fall där sådan finns.

8.5. Myndigheter och domstolar

Vi kan även komma att överföra dina personuppgifter till följande:

  • Domstolar,
  • Kronofogden,
  • Skatteverket och
  • Polisen

Delning av personuppgifter med myndigheter och domstolar görs med anledning att vi vill fastställa ett rättsligt anspråk eller begära verkställighet av en redan fastställd fordran, att vi rapporterar om inbetalda räntor till Skatteverket för att beräkna din skatt eller för att underlätta arbetet med att utreda eller motverka brott. Beroende på situation är de lagliga grunderna allmänt intresse, enligt art 6.1 (e) i GDPR, rättslig förpliktelse, art. 6.1 (c) i GDPR eller berättigade intresse, art. 6 (f) i GDPR.

9. Kommer mina personuppgifter att föras över till ett annat land?

Vi är ett svenskt inkassobolag och därmed kommer dina personuppgifter huvudsakligen att behandlas inom Sverige. Exempelvis sker all lagring av personuppgifter som behandlas i vårt huvudsakliga ärendehanteringssystem inom Sverige. I vissa fall använder vi oss av leverantörer som helt eller delvis, i egenskap av personuppgiftsbiträde eller via egna s.k. underbiträden, behandlar personuppgifter utanför Sverige. I dessa fall begränsar vi i största möjliga mån sådan behandling till EU/EES men överföring av personuppgifter kan i vissa situationer även ske utanför EU/EES, dvs. till ett tredje land. Det kan till exempel vara så att en leverantör har en supportfunktion placerad på flera olika platser runt om i världen för att säkerställa att supportfunktionen är tillgänglig 24 timmar om dygnet och att personuppgifter, vid hantering av ett eventuellt supportärende, då behandlas i ett tredje land. Även om personuppgiftsbehandlingen delvis sker i ett tredje land säkerställer vi alltid att samma höga skyddsnivå gäller för dina personuppgifter, i enlighet med GDPR. Vi vill också påpeka att dina rättigheter i förhållande till personuppgifterna, som beskrivs i avsnitt 10, påverkas inte av att uppgifterna överförs utanför EU/EES.

Skyddsåtgärder som vi använder vid överföring utanför EU/EES

Oavsett om det är vi eller någon av våra leverantörer som behandlar dina personuppgifter kommer vi att säkerställa en hög skyddsnivå vid ett överförande av dina uppgifter och att lämpliga skyddsåtgärder har vidtagits enligt gällande dataskyddskrav (såsom GDPR). Sådana lämpliga skyddsåtgärder inkluderar bland annat att säkerställa:

  • om EU-kommissionen har beslutat att det land utanför EU/EES till vilket dina personuppgifter överförs uppnår en “adekvat” skyddsnivå som motsvarar den skyddsnivå som GDPR ger (du hittar mer information om vilka länder som anses ha en “adekvat skyddsnivå” på EU-kommissionens hemsida; https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en), eller
  • att EU-kommissionens standardklausuler ingåtts mellan oss och mottagaren av personuppgifterna utanför EU/EES eller att vi kontrollerarar att sådana avtalsklausuler ingåtts mellan vår leverantör och mottagaren. Du kan läsa mer om standardklausuler på svenska Integritetsskyddsmyndighetens hemsida; https://www.imy.se/verksamhet/dataskydd/det-har-galler-enligt-gdpr/overforing-till-tredje-land/lampliga-skyddsatgarder/. Det innebär att mottagaren garanterar att det skydd för dina personuppgifter som GDPR ger fortfarande gäller. I dessa fall bedömer vi också om det finns lagstiftning i mottagarlandet som påverkar skyddet för dina personuppgifter eller kontrollerar att sådan bedömning gjorts av vår leverantör. Om det krävs vidtar vi särskilda tekniska och organisatoriska åtgärder så att skyddet för dina uppgifter kvarstår vid överföringen av dessa till aktuellt land utanför EU/EES.

10. Du har kontrollen över dina personuppgifter – det här är dina rättigheter

Enligt GDPR har du följande rättigheter i förhållande till dina personuppgifter:

Rätt till information, enl. artiklarna 13-14 i GDPR.

Du har rätt att bli informerad om hur vi behandlar dina personuppgifter. Vår information kring detta hittar du här i denna Integritetspolicy.

Rätt till tillgång, enl. artikel 15 i GDPR.

Du har rätt att begära information om vilka personuppgifter som vi behandlar om dig och hur uppgifterna behandlas. Du har även rätt att begära en kopia av de personuppgifter som behandlas av oss.

Rätt till rättelse, enl. artikel 16 i GDPR.

Du har rätt att utan onödigt dröjsmål få felaktiga uppgifter rättade och att be oss komplettera ofullständiga uppgifter genom att lämna oss korrekta uppgifter.

Rätt till radering (”Rätten att bli bortglömd”), enl. artikel 17 i GDPR

Du har när som helst rätt att begära radering av dina personuppgifter, till exempel om behandlingen inte längre är relevant i förhållande till ändamålet som uppgifterna samlades in för eller om du invänder mot behandling som sker baserat på en intresseavvägning.

Rätt till begränsning av behandling, enl. artikel 18 i GDPR.

Du har rätt att begära att viss behandling av dina uppgifter begränsas, till exempel om du invänder mot uppgifternas riktighet.

Rätt till dataportabilitet, enl. artikel 20 i GDPR.

Om du har lämnat ditt samtycke eller om vi grundar behandlingen på avtal med dig har du rätt att få ut de personuppgifter som rör dig och som du har lämnat till oss i ett strukturerat, allmänt använt och maskinläsbart format och överföra dessa till en annan personuppgiftsansvarig eller få vår hjälp att överföra uppgifterna till en annan personuppgiftsansvarig när detta är tekniskt möjligt.

Rätt att invända, enl. artikel 21 i GDPR.

Du har rätt att när som helst göra invändningar mot behandling av personuppgifter som grundar sig på art. 6.1 (e) (allmänt intresse) eller (f) (berättigat intresse), inbegripet profilering som grundar sig på dessa bestämmelser i GDPR.

Rättighet kring automatiserat beslutsfattande, inbegripet profilering, enl. artikel 22 i GDPR.

Du har rätt att inte bli föremål för ett beslut som enbart grundas på automatiserad behandling, inbegripet profilering, som har rättsliga följder för dig eller påverkar dig i betydande grad.

Rätt att lämna in ett klagomål

Om du har klagomål på vår behandling av personuppgifter kan du vända dig till Integritetsskyddsmyndigheten, som är den svenska tillsynsmyndigheten för personuppgiftsbehandling.

11. Är du missnöjd med vår personuppgiftsbehandling?

Om du är missnöjd med hur vi behandlat dina personuppgifter kan du vända dig till tillsynsmyndigheten i det land du bor. I Sverige är detta; Integritetsskyddsmyndigheten (”IMY”).

Deras kontaktuppgifter är Integritetsskyddsmyndigheten, Box 8114, 104 20 Stockholm.

Du hittar mer information om detta på IMYs hemsida; www.imy.se.