GDPR og data i KK2

I henhold til GDPR reglementet har man rett til å bli glemt, det gjelder også for debitorer som har hatt saker i KK2. Kravet om sletting oppstår når man ikke har behov for opplysningene lengre. KK2 sin GDPR metode vil slette sak og tilhørende informasjon hvis saken er slettet/avsluttet for mer enn 5 år siden.

  • Utgangspunkt i GDPR – behandlingsansvarliges ansvar å overholde
  • Vi har laget maskinell sletting av data
    • For å lette oppfyllelsen av plikten om sletting, det vil si at vi maskinelt sletter saker i KK2
Hva slettes i KK2 etter innføring av GDPR rutine

Avsluttede saker eldre enn 5 år slettes

  • Unntak:
    • Hovedsak mer enn 5 år – undersaker slettes
    • Hovedsak mer enn 5 år – men aktiv skyggesak, Hovedsak slettes likevel ikke.

Slettingen:

  • KK2 har en relasjonsdatabase – ting henger sammen
  • Først slettes: tiltak, avdrag, fordringer og notater
  • Deretter slettes selve saken
  • Hvis debitor ikke har saker, slettes debitor
Skyldners rett til innsyn
  • Vi som databehandler gir det ikke!
  • Dere er behandlingsansvarlig
    • Dere må gi opplysningene – bare hvis noen spør

Databehandleravtale

Alle som benytter KK2 må signere og returnere databehandleravtale til Kapitalkontroll.

 

GDPR – Behandlingsansvarlig og Databehandler

GDPR er navnet på de nye personvernreglene som er vedtatt som et EU-direktiv, og som Norge også vedtar.  Det er litt usikkert når reglene trer i kraft, men i løpet av sommeren eller høsten må vi regne med at reglene har trådt i kraft.

I KK2 har vi personopplysninger, og GDPR reglene får anvendelse. KK2 er system hvor det er Kapitalkontroll AS sin kunde som eier dataene.  Dataene behandles i KK2, og da av Kapitalkontroll AS, for kunden.

Det er to begreper vi må ha klart for oss før vi går videre:

Behandlingsansvarlig:

Den som bestemmer formålet med behandlingen av person-opplysningene og hvilke hjelpemidler som skal brukes.

Kunden er Behandlingsansvarlig.

Behandlingsansvarlig må påse at opplysningen i KK2 er relevante og at de er til bruk til innkreving og ikke annet.  Samtidig må behandlingsansvarlig selv påse at man har kontroll med hvem som har tilgang til opplysningene.

Databehandler:

Annet selskap utenfor behandlingsansvarlige som behandler personopplysningene på vegne av Behandlingsansvarlig.

Kapitalkontroll AS er leverandør av KK2 til våre kunder.  Vi er således Databehandler.

Kapitalkontroll AS som Databehandler skal følge reglene i direktivet som gjelder databehandler.  For å gjøre det, har vi utarbeidet risikoanalyse, og et GDPR-dokument som er våre retningslinjer for håndtering av personopplysningene som er i KK2.

Den praktiske siden av dette for våre kunder vil være våre bestemmelser om retting av opplysninger somKapitalkontroll AS gjennomfører for å oppfylle kravene i GDPR.  Disse lyder slik:

Retting av opplysninger

Behandlingsansvarlig retter eventuelle feil i opplysningene som er registrert.  Behandlingsansvarlig er ansvarlig for å korrigere opplysninger som ikke lenger er riktige eller relevante.

Kapitalkontroll AS retter opplysninger i følgende tilfeller:

    • Avsluttede saker:  Slettes etter 5 år
      • Slettingen skjer daglig
      • Følgende saker  slettes likevel ikke:
        • Kumulerte saker
          • Innkumulerte saker slettes kun sammen med hovedsak
        • Skyggesaker slettes kun sammen med hovedsak
      • Sammen med sak slettes følgende
        • Fakutrainformasjon
        • Innbetalinger
        • Notater
        • Tiltak 
    • Debitorer uten aktive saker slettes etter 5 år
    • Saksnotater, notater knyttet til en konkret sak: slettes sammen med sakene
    • Debitornotater notater som gjelder en debitor slettes samtidig med sletting av debitor 
    • Alle opplysninger knyttet til en kunde dersom kunden sier opp kontraktsforholdet med Kapitalkontroll AS. Sletting skjer 4 måneder etter at avtaleforholdet er opphørt.»

Alle ansatte i Kapitalkontroll AS har underskrevet taushetserklæring.

Alle våre kunder må selv vurdere hvordan de håndterer sine opplysninger som ligger i KK2. Dersom opplysninger skal slettes/endres tidligere en det Kapitalkontroll AS gjør, må den enkelte kunde løse det selv.