These general contract terms are part of Kravia Finland Oy's (Kravia) service contract, and the client-customer (creditor) accepts the contract terms and undertakes to comply with the terms when using Kravia's services
The contracting parties accept these rules regarding the processing of personal data as a binding part of the general terms and conditions applicable to all Kravia service contracts. The purpose of the terms is to ensure that the parties comply with the obligations according to the General Data Protection Regulation when processing personal data in a way that ensures the protection of the data subject's rights. In addition, the parties confirm that they comply with the data protection and information security of personal data in the Data Protection Regulation and the legislation and official guidelines on the processing of personal data currently in force in Finland, as well as the adequate level of protection required therein.
The contracting parties confirm that they are familiar with the data protection regulation and the concepts of the regulation (e.g. "data registry controller", "processor", "personal data") and jointly state that they are committed to fulfilling the obligations associated with the concepts and rights of the data protection regulation. In its operations, Kravia starts from the assumption that both Kravia and the client are data registry controllers within the meaning of the data protection regulation. The parties therefore undertake, as data registry controllers, to be independently responsible for fulfilling all the obligations required by the data protection regulation.
The parties therefore undertake, when carrying out measures based on the service agreement concluded between the parties, in each given situation, to ensure that the processing of personal data is based on a legal justification and basis. The client enters into Kravia's service system only information that is necessary for the implementation of the content of the service and deletes the information they have added or asks Kravia to delete information for which there is no valid basis for processing.
Kravia is the data registry controller referred to in the data security regulation regarding the processing of debt collection orders. Kravia therefore takes care of the personal data stored in the collection register and the legality of the processing in accordance with the applicable data protection legislation in force at any given time.
Regarding invoicing, the invoicing party/customer acting as the data registry controller manages the invoicing independently and separately from Kravia.
With regard to the debt collection service, the client ensures and is responsible for processing personal data and handing over data to Kravia in accordance with the currently valid data protection legislation and only to the extent and in such a way as is necessary to implement the debt collection service in accordance with the agreement with Kravia. If Kravia detects a violation of data protection regulations in the information being processed, Kravia can immediately refuse to process the information or take other measures deemed necessary in terms of complying with the law. Kravia can also immediately notify the client of the matter, so that the parties can jointly resolve the matter in a legal and appropriate manner.
Kravia maintains a description of the service or other explanation required by the data security regulation about the processing operations performed within the framework of the service, the contents of the register, the type of personal data, storage periods and other relevant matters. The parties undertake to make available to each other all such information as is necessary to demonstrate compliance with the obligations laid down in the data protection regulation.
The personal data processed in order to implement the debt collection service must be treated as confidential and the parties ensure that the persons entitled to process the personal data are committed to confidentiality and the statutory duty of confidentiality. The parties will ensure that appropriate technical and organizational measures and practices have been implemented to protect the confidentiality of confidential personal data.
According to the General Data Protection Regulation, the registered person has the right to inspect information about himself/the right to access the information and the right to demand the correction or deletion of incorrect information and/or restriction of processing.
The contracting parties undertake to cooperate in order to effectively implement the rights of the data subject. The client is independently responsible for fulfilling the requirements of the data security regulation as the invoicing registry controller and Kravia as the registrar and/or processor for the debt collection service. In addition to personal responsibility, the parties undertake to help each other, under conditions considered reasonable and taking into account the nature of the processing operation, with technical or organizational measures in situations where it is about information stored in the debt collection service system and the fulfillment of the data controller's obligation to exercise the rights of the data subject based on the data protection regulation. The contractual partner undertakes to notify the other contractual party without delay of a request regarding the rights of the data subject delivered to the partner.
The party does not have the right to function as a representative of the other party or in another legally relevant capacity when dealing with the data protection authorities.
The object and duration of the processing agreed between the parties is limited to the validity of the service agreement between the parties regarding the debt collection service and the legal basis, taking into account, however, the requirements set in the possible storage obligation included in the law and the official instructions on the matter. When producing services in accordance with Kravia's service contract, the collection system can process the following personal data:
A. Personal data linked to the identification and usernames of the principal's owners/employees/other agent acting on behalf of the principal (name, nationality, and date of birth of the actual beneficiary, phone number, e-mail. Address, social security number and bank account information may be registered from the principal acting as a private person). The personal data collected based on the user's consent is used to identify the user and the actions performed by the user in the system, and to account for the accumulations.
B. The information on which the debt collection order is based (name, address, phone number, e-mail and, in exceptional cases, social security number and information related to the basis of the collection order). The information is used to ensure the fulfillment of the contractual obligation and to conduct measures based on the Collection Act, the purpose of which is to get the debtor to voluntarily pay the overdue creditor's claim. The information can also be used in collection planning, checking credit information and in legal collection and foreclosure to ensure a legal right/claim.
The parties actively undertake to ensure that Kravia is provided at any given time only with necessary and up-to-date information that is necessary for the execution of the agreement or is otherwise based on a legal basis. When the processing of personal data in accordance with this agreement is no longer necessary or the legal basis or obligation to retain the data ceases, the data must be deleted. The parties delete the aforementioned personal data from the processing system and, if necessary, Kravia issues a certificate/processing decision to the data subject regarding the deletion/destruction of the data.
Kravia performs an analysis of the detection and identification of data protection and information security risks and provides instructions on the necessary measures to combat and minimize such risks. Kravia implements appropriate technical and organizational security measures to protect personal data processed in Kravia's collection system. When organizing protective measures, the available technical options and their costs are taken into account in relation to the risks associated with the data being processed.
When processing personal data, the parties comply with e.g. the following rules:
1) The personnel participating in the processing of personal data must undertake to comply with the personal data confidentiality obligation based on the contract and required by law.
2) The systems and data communication used by the parties in processing personal data are protected by appropriate and up-to-date information security solutions.
3) Personal data will not be used for anything other than fulfilling the obligations and instructions contained in the contract concluded between the parties. Information will not be transferred to outsiders without the client's request or a justified legal reason.
The parties undertake to inform each other of a data security breach concerning personal data without delay and no later than 48 hours after its detection, provided that there is no obstacle to reporting the information. In this case, the party provides the other party with the necessary information, which is needed to prepare a notice of infringement addressed to the authority and to fulfill the notification obligation. The notification must describe as precisely as possible what has happened, whose personal data and which personal data the breach affects, and the estimated numbers. The party undertakes to do its best to correct and limit the effects caused by the violation.
Kravia has the right to use subcontractors approved by the clients in the processing of personal data based on its service contracts. The subcontractors involved in the processing of debt collection letters perform the printing, enveloping and delivery of payment reminders and notices sent in debt collection to end customers. In addition, Kravia uses subcontractors for the collection system's server space and Finnish main banks for managing payment traffic. Kravia will notify in advance of such changes concerning subcontractors that concern the implementation of processing in accordance with the service agreement. The party to the service contract has the right to object to the use of a new subcontractor for a justified reason.
The party has the right to audit the other party's personal data processing activities related to this contract amendment. The customer is obliged to use only external auditors who are not competitors of the party in the audit. The parties agree on the timing and other details of the audit well in advance of its completion. The audit must be performed in a way that does not hinder the party's commitments to third parties. The representatives of the parties and all external auditors participating in the audit must sign the customary non-disclosure agreement before starting the audit. The person requesting the audit is responsible for all costs arising from the audit.
Dessa allmänna avtalsvillkor är en del av Kravia Finland Oy:s (Kravia) serviceavtal, och uppdragsgivaren-klienten (uppdragsgivaren) accepterar avtalsvillkoren och förbinder sig att följa villkoren vid användning av Kravias tjänster
Avtalsparterna accepterar dessa regler angående behandling av personuppgifter som en bindande del av de allmänna avtalsvillkoren som gäller för alla Kravias serviceavtal. Syftet med villkoren är att säkerställa att parterna uppfyller skyldigheterna enligt dataskyddsförordningen vid behandling av personuppgifter på ett sätt som säkerställer skyddet av den registrerades rättigheter. Därutöver bekräftar parterna att de följer dataskyddet och informationssäkerheten för personuppgifter i dataskyddsförordningen och den lagstiftning och de officiella riktlinjer för behandling av personuppgifter som för närvarande gäller i Finland, samt en adekvat skyddsnivå som förutsätts däri.
Avtalsparterna bekräftar att de är bekanta med dataskyddsförordningen och begreppen i förordningen (t.ex. "registeransvarig", "behandlare", "personuppgifter") och uppger gemensamt att de har åtagit sig att uppfylla de skyldigheter som är förknippade med begreppen och de rättigheter som gäller enligt dataskyddsförordningen. I sin verksamhet utgår Kravia från antagandet att både Kravia och klienten är registeransvariga i den mening som avses i dataskyddsförordningen. Parterna förbinder sig därför som registeransvariga att självständigt ansvara för att alla de skyldigheter som dataskyddsförordningen kräver fullgörs.
Parterna åtar sig därför att vid genomförandet av åtgärder utifrån det serviceavtal som ingåtts mellan parterna, i varje given situation, säkerställa att behandlingen av personuppgifter grundar sig på en rättslig grund. Uppdragsgivaren anger i Kravias servicesystem endast information som är nödvändig för genomförandet av tjänstens innehåll och raderar den information som de har lagt till, eller ber Kravia att radera information som det saknas giltigt underlag för behandling av.
Kravia är den registeransvarige som avses i datasäkerhetsförordningen avseende handläggning av inkassoärenden. Kravia tar därför hand om de personuppgifter som lagras i insamlingsregistret och lagligheten av deras behandling i enlighet med den vid var tid gällande tillämpliga dataskyddslagstiftningen. Regarding invoicing, the invoicing party/customer acting as the data registry controller manages the invoicing independently and separately from Kravia.
När det gäller fakturering sköter faktureraren/uppdragsgivaren som fungerar som registeransvarig faktureringen oberoende och separat från Kravia.
Kravia upprätthåller en beskrivning av tjänsten eller annan förklaring som informationssäkerhetsförordningen kräver om de behandlingar som utförs inom ramen för tjänsten, innehållet i registret, typ av personuppgifter, lagringstider och andra relevanta omständigheter. Parterna förbinder sig att tillhandahålla varandra all sådan information som är nödvändig för att visa att de skyldigheter som fastställs i dataskyddsförordningen efterlevs.
De personuppgifter som behandlas för att genomföra inkassotjänsten ska behandlas konfidentiellt och parterna säkerställer att de personer som är berättigade att behandla personuppgifterna har åtagit sig sekretess och lagstadgad tystnadsplikt. Parterna kommer att säkerställa att lämpliga tekniska och organisatoriska åtgärder och praxis har implementerats för att skydda konfidentiella och sekretessbelagda personuppgifter.
Den registrerade har enligt dataskyddsförordningen rätt att ta del av uppgifter om sig själv/rätten att få tillgång till uppgifterna och rätt att kräva rättelse eller radering av felaktiga uppgifter och/eller begränsning av behandlingen.
Avtalsparterna förbinder sig att samarbeta för att effektivt genomföra den registrerades rättigheter. Kunden är självständigt registeransvarig för att uppfylla kraven i datasäkerhetsförordningen gällande faktureringen och Kravia som är registeransvarig och/eller handläggare för inkassotjänsten. Utöver det personliga ansvaret förbinder sig parterna att under förhållanden som anses rimliga och med hänsyn till behandlingsverksamhetens karaktär hjälpa varandra med tekniska eller organisatoriska åtgärder i situationer då det handlar om uppgifter som lagras i inkassotjänstens system och fullgörande av den registeransvariges skyldighet att fullgöra den registrerades rättigheter i enlighet med dataskyddsförordningen. Avtalsparterna förbinder sig att utan dröjsmål underrätta den andra avtalsparten om en begäran rörande den registrerades rättigheter som levereras till partnern.
Part har inte rätt att agera som företrädare för den andra parten eller i annan juridiskt relevant egenskap vid handläggning av hos dataskyddsmyndigheterna.
Ändamålet och varaktigheten för den mellan parterna överenskomna behandlingen är begränsad till giltigheten av tjänsteavtalet mellan parterna avseende inkassotjänsten och den rättsliga grunden, dock med beaktande av de krav som ställs i den eventuella lagringsskyldighet som ingår i lag och de officiella anvisningarna som gäller. Vid handläggandet av tjänster i enlighet med Kravias serviceavtal kan i inkassosystemet handläggas följande personuppgifter:
A. Personuppgifter kopplade till identifiering och användarnamn för huvudmannens ägare/anställda/annat ombud som agerar på uppdragsgivarens vägnar (namn, nationalitet och födelsedatum för den faktiska förmånstagaren, telefonnummer, e-post. Adress, personnummer och bankkontouppgifter kan registreras från huvudman som agerar som privatperson). De personuppgifter som samlas in baserat på användarens samtycke används för att identifiera användaren och de åtgärder som användaren utför i systemet, samt för att redogöra för influtna medel.
B. De uppgifter som ligger till grund för inkassohandläggandet (namn, adress, telefonnummer, e-post och i undantagsfall personnummer och uppgifter som rör grunden för inkassouppdraget). Uppgifterna används för att säkerställa fullgörandet av avtalsförpliktelsen och för att genomföra åtgärder med stöd av indrivningslagen, vars syfte är att få gäldenären att frivilligt betala den förfallna borgenärens fordran. Uppgifterna kan även användas vid inkassoplanering, kontroll av kreditupplysningar och vid rättslig indrivning och utmätning för att säkerställa en laglig rätt/fordran.
Parterna åtar sig aktivt att säkerställa att Kravia vid varje given tidpunkt endast förses med nödvändig och aktuell information som är nödvändig för avtalets genomförande eller på annat sätt grundar sig på laglig grund. När behandlingen av personuppgifter i enlighet med detta avtal inte längre är nödvändig eller den rättsliga grunden eller skyldigheten att behålla uppgifterna upphör ska uppgifterna raderas. Parterna raderar ovan nämnda personuppgifter från behandlingssystemet och vid behov utfärdar Kravia ett intyg/bearbetningsbeslut till den registrerade angående radering/förstöring av uppgifterna.
Kravia utför en analys av upptäckt och identifiering av dataskydds- och informationssäkerhetsrisker och ger instruktioner om nödvändiga åtgärder för att bekämpa och minimera sådana risker. Kravia implementerar lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda personuppgifter som behandlas i Kravias insamlingssystem. När skyddsåtgärder organiseras beaktas tillgängliga tekniska alternativ och deras kostnader i förhållande till riskerna med de uppgifter som behandlas.
Vid behandling av personuppgifter följer parterna t.ex. följande regler:
1) Den personal som deltar i behandlingen av personuppgifter ska förbinda sig att följa de åligganden gällande personuppgiftssekretess som grundas på avtalet och som krävs enligt lag.
2) De system och datakommunikation som används av parterna vid behandling av personuppgifter skyddas av lämpliga och uppdaterade informationssäkerhetslösningar.
3) Personuppgifter kommer inte att användas för något annat än att uppfylla de skyldigheter och instruktioner som ingår i det avtal som ingåtts mellan parterna. Information kommer inte att överföras till utomstående utan kundens begäran eller ett motiverat juridiskt skäl.
Parterna förbinder sig att utan dröjsmål och senast 48 timmar efter upptäckten informera varandra om ett datasäkerhetsbrott avseende personuppgifter, om det inte finns något hinder mot att rapportera informationen. Parten lämnar i detta fall motparten nödvändig information, som är nödvändig för att upprätta en anmälan om intrång riktad till myndigheten och för att fullgöra anmälningsskyldigheten. Anmälan ska så exakt som möjligt beskriva vad som har hänt, vems personuppgifter och vilka personuppgifter intrånget berör samt det uppskattade antalet. Parten åtar sig att göra sitt bästa för att rätta till och begränsa de effekter som kränkningen orsakar.
Kravia har rätt att använda underleverantörer som godkänts av kunderna vid behandling av personuppgifter baserat på sina serviceavtal. De underleverantörer som är involverade i behandlingen av inkassobrev utför utskrivning, införande i kuvert och leverans av betalningspåminnelser och aviseringar som skickas i inkasso till slutkunder. Dessutom använder Kravia underleverantörer för inkassosystemets serverutrymme och vårt lands huvudbanker för att hantera betalningstrafik. Kravia kommer i förväg att meddela sådana förändringar avseende underleverantörer som rör genomförandet av bearbetning enligt serviceavtalet. Parten i tjänsteavtalet har rätt att invända mot användningen av en ny underleverantör av en motiverad anledning.
Part har rätt att granska den andra partens personuppgiftsbehandling i samband med denna avtalsändring. Kunden är skyldig att endast använda externa revisorer som inte är konkurrenter till parten i revisionen. Parterna kommer överens om tidpunkten och andra detaljer för revisionen i god tid innan den slutförs. Revisionen ska utföras på ett sätt som inte hindrar partens åtaganden gentemot tredje man. Representanter för parterna och alla externa revisorer som deltar i revisionen ska underteckna det sedvanliga sekretessavtalet innan revisionen påbörjas. Den som begär revisionen ansvarar för alla kostnader som uppstår i samband med revisionen.
Nämä yleiset sopimusehdot ovat osa Kravia Finland Oy:n (Kravia) palvelusopimusta ja toimeksiantaja-asiakas (toimeksiantaja) hyväksyy sopimusehdot ja sitoutuu noudattamaan ehtoja käyttäessään Kravian palveluja
Sopijapuolet hyväksyvät nämä henkilötietojen käsittelyä koskevat säännöt osapuolia sitovaksi osaksi Kravian kaikkiin palvelusopimuksiin sovellettavia yleisiä sopimusehtoja. Ehtojen tarkoituksena on varmistaa, että osapuolet noudattavat tietosuoja-asetuksen mukaisia velvoitteita henkilötietoja käsiteltäessä tavalla, jolla varmistetaan rekisteröidyn oikeuksien suojelu. Lisäksi osapuolet vahvistavat noudattavansa henkilötietojen tietosuojan ja tietoturvan osalta tietosuoja-asetuksessa ja Suomessa kulloinkin voimassa olevaa henkilötietojen käsittelyä koskevaa lainsäädäntöä ja viranomaisohjeistusta sekä näissä edellytettyä riittävää suojatasoa.
Sopimusosapuolet vakuuttavat perehtyneensä tietosuoja-asetukseen ja asetuksen käsitteisiin (esim. ”rekisterinpitäjä”, ”käsittelijä”, ”henkilötieto”) ja toteavat yhteisesti sitoutuvansa tietosuoja-asetuksen käsitteisiin ja oikeuksiin liitettyjen velvoitteiden täyttämiseen. Kravia lähtee toiminnassaan olettamuksesta, että sekä Kravia että toimeksiantaja ovat tietosuoja-asetuksessa tarkoitettuja rekisterinpitäjiä. Osapuolet sitoutuvat näin ollen rekisterinpitäjinä itsenäisesti osaltaan vastaamaan kaikista tietosuoja-asetuksen edellyttämien velvoitteiden täyttämisestä.
Osapuolet sitoutuvat näin ollen, suoritettaessa toimenpiteitä osapuolten välillä solmitun palvelusopimukseen nojalla, kulloinkin käsillä olevassa tilanteessa huolehtimaan siitä, että henkilötietojen käsittely perustuu lailliseen oikeutukseen ja perusteeseen. Toimeksiantaja vie Kravian palvelujärjestelmään vain tietoa, joka on tarpeen palvelun sisällön toteuttamiseksi ja poistaa lisäämänsä tiedot, taikka pyytää Kraviaa poistamaan tiedot, joiden käsittelylle ei ole voimassa olevaa perustetta.
Kravia on perintätoimeksiantojen käsittelyn osalta tietoturvaasetuksessa tarkoitettu rekisterinpitäjä. Kravia huolehtii näin ollen perintärekisterissä säilytettävistä henkilötiedoista ja niiden käsittelyn lainmukaisuudesta kulloinkin voimassa olevan sovellettavan tietosuojalainsäädännön mukaisesti.
Laskutuksen osalta rekisterinpitäjänä toimiva laskuttaja/toimeksiantaja hallinnoi laskutusta itsenäisesti ja Kraviasta erillään.
Perintäpalvelun osalta toimeksiantaja huolehtii ja vastaa siitä, että se käsittelee henkilötietoja ja luovuttaa tietoja Kravialle kulloinkin voimassa olevan tietosuojalainsäädännön mukaisesti ja vain siltä osin ja siten kuin on tarpeellista Kravian kanssa sopimuksen mukaisen perintäpalvelun toteuttamiseksi. Mikäli Kravia havaitsee käsiteltävissä tiedoissa tietosuojasäännösten vastaisuutta Kravia voi välittömästi kieltäytyä käsittelemästä tietoa tai ryhtyä muuhun lain noudattamisen kannalta tarpeelliseksi katsottavaan toimenpiteeseen. Kravia voi myös ilmoittaa välittömästi asiasta toimeksiantajalle, jotta osapuolet voivat yhdessä ratkaista asian lainmukaisella ja tarkoituksenmukaisella tavalla.
Kravia ylläpitää palvelun kuvausta taikka muuta tietoturva-asetuksen edellyttämää selostetta palvelun puitteissa suoritettavista käsittelytoimista, rekisterin sisällöstä, henkilötietojen tyypistä, säilytysajoista ja muista relevanteista seikoista. Osapuolet sitoutuvat saattamaan toistensa saataville kaikki sellaiset tiedot, jotka ovat tarpeen tietosuoja-asetuksessa säädettyjen velvollisuuksien noudattamisen osoittamista varten.
Perintäpalvelun toteuttamiseksi käsiteltävät henkilötiedot on käsiteltävä luottamuksellisina ja osapuolet varmistavat, että henkilötietojen käsittelyyn oikeutetut henkilöt ovat sitoutuneet luottamuksellisuuteen ja lakiin perustuvaan salassapitovelvollisuuteen. Osapuolet huolehtivat osaltaan siitä, että asianmukaiset tekniset ja organisatoriset toimenpiteet ja käytännöt on otettu käyttöön salassa pidettävien henkilötietojen luottamuksellisuuden suojaamiseksi.
Tietosuoja-asetuksen mukaan rekisteröidyllä on itseään koskevia tietoja koskeva tarkastusoikeus/oikeus saada pääsy tietoihin sekä oikeus vaatia virheellisen tiedon oikaisemista taikka poistamista ja/tai käsittelyn rajoittamista.
Sopimusosapuolet sitoutuvat toimimaan yhteistyössä rekisteröidyn oikeuksien tehokkaaksi toteuttamiseksi. Toimeksiantaja vastaa itsenäisesti laskutuksen rekisterinpitäjänä ja Kravia perintäpalvelun osalta rekisterinpitäjänä ja/tai käsittelijänä osaltaan tietoturva-asetuksen vaatimusten täyttämisestä. Osapuolet sitoutuvat omakohtaisen vastuun lisäksi osaltaan auttamaan toisiaan, kohtuullisiksi katsottavin ehdoin ja ottaen huomioon käsittelytoimen luonteen, teknisillä tai organisatorisilla toimilla tilanteissa, joissa on kyse perintäpalvelujärjestelmässä säilytettävästä tiedosta ja rekisterinpitäjälle kuuluvan tietosuoja-asetukseen perustuvan rekisteröidyn oikeuksien toteuttamista koskevan velvoitteen täyttämisestä. Sopimuskumppani sitoutuu ilmoittamaan toiselle sopimusosapuolelle viivytyksettä kumppanille toimitetusta rekisteröidyn oikeuksia koskevasta pyynnöstä.
Osapuolella ei ole oikeutta toimia toisen osapuolen edustajana taikka muussa oikeudellisesti relevantissa ominaisuudessa asioitaessa tietosuojaviranomaisten kanssa.
Osapuolten välillä sovitun käsittelyn kohde ja kesto rajoittuu osapuolten välisen perintäpalvelua koskevan palvelusopimuksen sekä laillisen perusteen voimassaoloon, huomioiden kuitenkin mahdollisessa lakiin sisällytetyssä säilytysvelvoitteessa asetetut vaatimukset ja asiasta annettu viranomaisohjeistus. Kravian palvelusopimuksen mukaisia palveluita tuotettaessa perintäjärjestelmässä voidaan käsitellä seuraavia henkilötietoja:
A. Toimeksiantajan omistajien/työntekijöiden/muun toimeksiantajan puolesta toimivan asiamiehen tunnistamiseen ja käyttäjätunnuksiin sidotut henkilötiedot (nimi, tosiasiallisen edunsaajan kansallisuus ja syntymäaika, puh.nro, sähköposti. Yksityishenkilönä toimivalta toimeksiantajalta voidaan rekisteröidä osoite, henkilötunnus ja pankkitilitieto). Käyttäjän suostumukseen perustuvilla kerätyillä henkilötiedoilla identifioidaan käyttäjä ja käyttäjän järjestelmässä suorittamia toimenpiteitä sekä tilitetään kertymiä.
B. Velallisasiakasta koskevan perintätoimeksiannon perustana olevat tiedot (nimi, osoite, puh nro, sähköposti ja poikkeustilanteissa henkilötunnus sekä perintätoimeksiannon perusteeseen liittyvät tiedot). Tiedoilla varmistetaan sopimusvelvoitteen toteutuminen ja suoritetaan perintälakiin perustuvia toimenpiteitä, joiden tarkoituksena on saada velallinen vapaaehtoisesti suorittamaan erääntynyt velkojan saatava. Tietoja voidaan myös hyödyntää perinnän suunnittelussa, luottotietojen tarkistuksessa ja sekä oikeudellisessa perinnässä ja ulosotossa laillisen oikeuden/vaateen varmistamiseksi.
Osapuolet sitoutuvat osaltaan aktiivisesti huolehtimaan siitä, että Kravialle toimitetaan kulloinkin vain sopimuksen täytäntöönpanon kannalta tarpeellista tai muulla tavalla lailliseen perusteeseen nojautuvaa tarpeellista ja ajankohtaista tietoa. Kun henkilötietojen tämän sopimuksen mukainen käsittely ei ole enää tarpeellista taikka tiedon säilyttämisen laillinen peruste taikka velvoite lakkaa, on tieto poistettava. Osapuolet poistavat em. henkilötietoja käsittelyjärjestelmästä ja Kravia antaa tarvittaessa rekisteröidylle todistuksen/käsittelypäätöksen tietojen poistamiseen/tuhoamiseen liittyen.
Kravia suorittaa tietosuoja- ja tietoturvallisuusriskien havaitsemisesta ja tunnistamista koskevan analyysin ja ohjeistaa tarvittavista toimenpiteistä tällaisten riskien torjumiseksi ja minimoimiseksi. Kravia toteuttaa asianmukaiset tekniset ja organisatoriset suojatoimenpiteet Kravian perintäjärjestelmässä käsiteltävien henkilötietojen suojaamiseksi. Suojatoimenpiteiden järjestämisessä otetaan huomioon saatavilla olevat tekniset vaihtoehdot ja niiden kustannukset suhteessa käsiteltäviin tietoihin liittyviin riskeihin.
Henkilötietojen käsittelyssä osapuolet noudattavat mm. seuraavia sääntöjä:
1) Henkilötietojen käsittelyyn osallistuvan henkilöstön on sitouduttava noudattamaan sopimukseen perustuvaa ja laissa edellytettyä henkilötietojen salassapitovelvollisuutta.
2) Osapuolten henkilötietojen käsittelyssä käyttämät järjestelmät ja tietoliikenne ovat suojattuja asianmukaisilla ja ajantasaisilla tietoturvaratkaisuilla.
3) Henkilötietoja ei käytetä muuhun kuin osapuolten välillä solmitun sopimuksen sisältämien velvoitteiden ja ohjeistuksen täyttämiseen. Tietoja ei siirretä ulkopuolisille ilman toimeksiantajan pyyntöä taikka perusteltua laillista syytä.
Osapuolet sitoutuvat ilmoittamaan toisilleen henkilötietoja koskevasta tietoturvaloukkauksesta viipymättä ja viimeistään 48 tunnin kuluessa sen havaitsemisesta, mikäli tiedon ilmoittamiselle ei ole estettä. Osapuoli antaa tällöin toiselle osapuolelle tarvittavat tiedot, jotka ovat välttämättömät viranomaiselle osoitettavan loukkausta koskevan ilmoituksen laatimiseksi ja ilmoitusvelvollisuuden täyttämiseksi. Ilmoituksessa on mahdollisimman tarkasti kuvattava, mitä on tapahtunut, kenen henkilötietoja ja mitä henkilötietoja loukkaus koskee sekä arvioidut lukumäärät. Osapuoli sitoutuu parhaansa mukaan korjaamaan sekä rajoittamaan loukkauksen aiheuttamia vaikutuksia.
Kravialla on oikeus käyttää toimeksiantajien hyväksymiä alihankkijoita palvelusopimuksiinsa perustuvassa henkilötietojen käsittelyssä. Perintäkirjeiden käsittelyyn liittyvät alihankkijat suorittavat operaattoreina perinnässä lähetettävien maksukehotusten ja ilmoitusten tulostusta, kuorittamista ja toimitusta loppuasiakkaille. Lisäksi Kravia käyttää alihankkijoita perintäjärjestelmän palvelintilan osalta sekä maamme pääpankkeja maksuliikenteen hallinnoimiseksi. Kravia ilmoittaa etukäteen sellaisista alihankkijoita koskevista muutoksista, jotka koskevat palvelusopimuksen mukaisen käsittelyn toteuttamista. Palvelusopimuksen osapuolella on perustellusta syystä oikeus vastustaa uuden alihankkijan käyttöä.
Osapuolella on oikeus auditoida toisen sopimusosapuolen tähän sopimusmuutokseen liittyvä henkilötietojen käsittelyä koskeva toiminta. Asiakas on velvollinen käyttämään auditoinnissa vain sellaisia ulkopuolisia tarkastajia, jotka eivät ole osapuolen kilpailijoita. Osapuolet sopivat auditoinnin ajankohdasta ja muista yksityiskohdista hyvissä ajoin ennen sen suorittamista. Auditointi tulee suorittaa tavalla, joka ei haittaa osapuolen sitoumuksia kolmansiin osapuoliin nähden. Osapuolten edustajien ja kaikkien auditointiin osallistuvien ulkopuolisten tarkastajien tulee allekirjoittaa tavanomainen salassapitositoumus ennen auditoinnin aloittamista. Auditoinnin pyytäjä vastaa kaikista auditoinnista aiheutuvista kustannuksista.