meny

Dataskydd i inkassoverksamhet

Dataskyddsförordningen (GDPR) gäller som lag i alla EU:s medlemsländer sedan den 25 maj 2018. Införandet av dataskyddsförordningen föranledde inga förändringar i inkassolagen, men omfattar inkassobolagens behandlingar av personuppgifter.

Det är den personuppgiftsansvariga, det vill säga den som bedriver inkassoverksamheten, som är skyldig att se till att personuppgiftsbehandlingen i varje enskilt fall har stöd i en rättslig grund och följer övriga krav i dataskyddsförordningen.

Läs mer om dataskyddsförordningen

Här följer några tips vid behandling av personuppgifter inom inkassoverksamhet.

Håll koll på varför ni samlade in uppgifterna om gäldenären

Det ursprungliga syftet med att samla in personuppgifter är utgångspunkten i många dataskyddsregler. Inom inkassoverksamhet är ändamålet med att behandla gäldenärers personuppgifter oftast att driva in fordringar.

Enligt den så kallade finalitetsprincipen får personuppgifter inte behandlas för något ändamål som inte är förenligt med det som uppgifterna samlades in för. Det betyder att ett inkassobolag inte får använda gäldenärernas personuppgifter för annat än indrivning.

Registrera bara de personuppgifter som behövs

Enligt den så kallade principen om uppgiftsminimering ska alla personuppgifter som behandlas vara adekvata och relevanta i förhållande till ändamålen med behandlingen. Ändamålet avgör alltså vilka personuppgifter som får behandlas i en verksamhet.

För inkassoverksamhet, där ändamålet med att behandla gäldenärers personuppgifter oftast är att driva in fordringar, ska endast personuppgifter som behövs för indrivningen registreras.

För att registrera integritetskänsliga personuppgifter om till exempel hälsa eller lagöverträdelser krävs särskilt stöd. Se därför till att inkassohandläggarna får tydliga instruktioner om när man får skriva in känsliga uppgifter i till exempel fritextfälten i ärendehanteringssystemen.

Läs om känsliga personuppgifter

Radera personuppgifter som inte längre behövs

Principen om lagringsminimering kan sägas vara dataskyddsförordningens gallringsregel. Den säger att personuppgifter inte får bevaras längre än vad som är nödvändigt för ändamålet med behandlingen.

Det betyder att de uppgifter som inte längre fyller någon funktion för ändamålet att driva in fordringar ska raderas, om indrivningen är det enda syftet med behandlingen. Finns det något annat legitimt syfte att bevara uppgifterna bör de i stället avskiljas från övriga uppgifter i indrivningsverksamheten.

Skydda personuppgifter som ni behandlar

Den som bedriver inkassoverksamhet ska, precis som andra, vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken för enskildas rättigheter och friheter.

Tekniska åtgärder är till exempel att installera en brandvägg och begränsa personalens behörighet i ärendehanteringssystemet. Organisatoriska säkerhetsåtgärder handlar om riktlinjer och instruktioner till anställda, till exempel om vad som får antecknas i ärendehanteringssystemets fritextfält.

Vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som behandlingen medför. Ju känsligare behandlingen är till sin natur desto högre säkerhetsnivå måste man upprätthålla.

Många uppgifter inom inkassoverksamhet har ett högt skyddsvärde. Uppgifter om en persons skulder betraktas i allmänhet som integritetskänsliga. Det förekommer också känsliga uppgifter om till exempel hälsa och uppgifter om lagöverträdelser inom inkassoverksamhet. Som huvudregel får den typen av personuppgifter till exempel inte skickas över öppna nät, som e-post, utan att vara krypterade.

Enligt praxis från tiden då personuppgiftslagen gällde krävs stark autentisering för att logga in på ett inkassobolags webbplats där gäldenären kan ta del av sin skuld hos bolaget. Det betyder att autentiseringen sker med hjälp av minst två av följande faktorer: något gäldenären vet, något gäldenären har och något gäldenären är. Till exempel inloggning med bankID, bankdosa eller vissa lösningar med engångslösenord utgör stark autentisering. Det är alltså normalt inte tillräckligt med inloggning genom bara användarnamn och lösenord.

Läs om informationssäkerhet

Informera gäldenärerna om er hantering av deras personuppgifter

De gäldenärer vars personuppgifter ni behandlar har rätt att få information om hur ni behandlar deras uppgifter.

Syftet med rätten till information är att den registrerade ska kunna kontrollera om personuppgifterna är korrekta och om ni behandlar dem lagenligt. Den rätten är en förutsättning för att den registrerade ska kunna tillvara sina andra rättigheter, som rätten till rättelse eller radering.

Ni ska självmant informera gäldenärer om hur ni behandlar deras personuppgifter. Inkassobolag lämnar oftast sådan information i inkassokravet, eftersom det brukar vara den första kontakten med en gäldenär.

Gäldenären kan också begära ut ett så kallat registerutdrag. Registerutdraget ska innehålla alla personuppgifter som ni hanterar om gäldenären i fråga och information om era behandlingar. Uppgifterna kan finnas i olika system och olika format. Glöm inte att ta med de uppgifter om gäldenären som finns i till exempel inskannade och skickade handlingar!

Sammanställningen av uppgifterna måste vara begriplig för gäldenären. Förkortningar, koder och liknande bör därför förklaras eller skrivas ut i klartext.

Läs om de registrerades rättigheter