Dataskydd i inkassoverksamhet
Inkassoansvaret övergår till Finansinspektionen (FI)
OBS! Den 1 januari 2024 övergår tillstånds− och tillsynsansvaret för inkassoverksamhet från Integritetsskyddsmyndigheten (IMY) till Finansinspektionen (FI).
Det är den personuppgiftsansvariga, det vill säga den som bedriver inkassoverksamheten, som är skyldig att se till att personuppgiftsbehandlingen i varje enskilt fall har stöd i en rättslig grund och följer övriga krav i dataskyddsförordningen.
Introduktion till dataskyddsförordningen
Här följer några tips vid behandling av personuppgifter inom inkassoverksamhet.
Håll koll på varför ni samlade in uppgifterna om gäldenären
Det ursprungliga syftet med att samla in personuppgifter är utgångspunkten i många dataskyddsregler. Inom inkassoverksamhet är ändamålet med att behandla gäldenärers personuppgifter oftast att driva in fordringar.
Enligt den så kallade finalitetsprincipen får personuppgifter inte behandlas för något ändamål som inte är förenligt med det som uppgifterna samlades in för. Det betyder att ett inkassobolag inte får använda gäldenärernas personuppgifter för annat än indrivning.
Registrera bara de personuppgifter som behövs
Enligt den så kallade principen om uppgiftsminimering ska alla personuppgifter som behandlas vara adekvata och relevanta i förhållande till ändamålen med behandlingen. Ändamålet avgör alltså vilka personuppgifter som får behandlas i en verksamhet.
För inkassoverksamhet, där ändamålet med att behandla gäldenärers personuppgifter oftast är att driva in fordringar, ska endast personuppgifter som behövs för indrivningen registreras.
För att registrera integritetskänsliga personuppgifter om till exempel hälsa eller lagöverträdelser krävs särskilt stöd. Se därför till att inkassohandläggarna får tydliga instruktioner om när man får skriva in känsliga uppgifter i till exempel fritextfälten i ärendehanteringssystemen.
Radera personuppgifter som inte längre behövs
Principen om lagringsminimering kan sägas vara dataskyddsförordningens gallringsregel. Den säger att personuppgifter inte får bevaras längre än vad som är nödvändigt för ändamålet med behandlingen.
Det betyder att de uppgifter som inte längre fyller någon funktion för ändamålet att driva in fordringar ska raderas, om indrivningen är det enda syftet med behandlingen. Finns det något annat legitimt syfte att bevara uppgifterna bör de i stället avskiljas från övriga uppgifter i indrivningsverksamheten.
Enligt en föreskrift som finns i IMY:s samtliga beslut om inkassotillstånd ska inkomna och upprättade handlingar i inkassoärenden bevaras minst sex månader efter det att ärendet har avslutats.
Dataskyddsförordningens grundläggande principer
Skydda personuppgifter som ni behandlar
Den som bedriver inkassoverksamhet ska, precis som andra, vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken för enskildas rättigheter och friheter.
Tekniska åtgärder är till exempel att installera en brandvägg och begränsa personalens behörighet i ärendehanteringssystemet. Organisatoriska säkerhetsåtgärder handlar om riktlinjer och instruktioner till anställda, till exempel om vad som får antecknas i ärendehanteringssystemets fritextfält.
Vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som behandlingen medför. Ju känsligare behandlingen är till sin natur desto högre säkerhetsnivå måste man upprätthålla.
Många uppgifter inom inkassoverksamhet har ett högt skyddsvärde. Uppgifter om en persons skulder betraktas i allmänhet som integritetskänsliga. Det förekommer också känsliga uppgifter om till exempel hälsa och uppgifter om lagöverträdelser inom inkassoverksamhet. Som huvudregel får den typen av personuppgifter till exempel inte skickas över öppna nät, som e-post, utan att vara krypterade.
Enligt praxis från tiden då personuppgiftslagen gällde krävs stark autentisering för att logga in på ett inkassobolags webbplats där gäldenären kan ta del av sin skuld hos bolaget. Det betyder att autentiseringen sker med hjälp av minst två av följande faktorer: något gäldenären vet, något gäldenären har och något gäldenären är. Till exempel inloggning med bankID, bankdosa eller vissa lösningar med engångslösenord utgör stark autentisering. Det är alltså normalt inte tillräckligt med inloggning genom bara användarnamn och lösenord.
Informera gäldenärerna om er hantering av deras personuppgifter
De gäldenärer vars personuppgifter ni behandlar har rätt att få information om hur ni behandlar deras uppgifter.
Syftet med rätten till information är att den registrerade ska kunna kontrollera om personuppgifterna är korrekta och om ni behandlar dem lagenligt. Den rätten är en förutsättning för att den registrerade ska kunna tillvara sina andra rättigheter, som rätten till rättelse eller radering.
Ni ska självmant informera gäldenärer om hur ni behandlar deras personuppgifter. Inkassobolag lämnar oftast sådan information i inkassokravet, eftersom det brukar vara den första kontakten med en gäldenär.
Gäldenären kan också begära att få tillgång till sina personuppgifter och information om hur de behandlas. Informationen om personuppgiftsbehandlingen ska bland annat omfatta vilka kategorier av personuppgifter som behandlas, vad uppgifterna ska användas till och hur länge uppgifterna kommer att sparas. Kopian på personuppgifterna ska innehålla alla personuppgifter som ni hanterar om gäldenären i fråga. Uppgifterna kan finnas i olika system och olika format. Glöm inte att ta med de uppgifter om gäldenären som finns i till exempel inskannade och skickade handlingar!
Sammanställningen av uppgifterna måste vara begriplig för gäldenären. Förkortningar, koder och liknande bör därför förklaras eller skrivas ut i klartext.