Debtia logo
Log på
?>

Privatlivspolitik

Beskyttelse af dine Persondata har vores højeste prioritet. Vi har derfor vedtaget denne Persondatapolitik, der beskriver, hvordan vi behandler dine Persondata. Persondatapolitikken er udarbejdet med henvisning til reglerne i databeskyttelsesforordningen (Forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EU) 2016/679 (også kendt som “GDPR”)) og den danske lov om databeskyttelse (Lov nr. 502 af 23/05/2018 med evt. senere ændringer) (”databeskyttelsesloven”).

Selskabet er:

Debtia A/S
CVR-nummer: 34593833
Vestergade 18 E
DK-1456 København K
Danmark
(Herefter benævnt ”Debtia”)

Tlf: +45 44224000
E-mail: kundeservice@debtia.dk
Website: www.debtia.dk

Det er vigtigt for os, at dine Persondata opbevares sikkert og fortroligt. Vi har procedurer for indsamling, opbevaring, sletning, opdatering og videregivelse af Persondata for at hindre uautoriseret adgang til dine Persondata og for at opfylde gældende lovgivning.

Vi sikrer fair og transparent databehandling. Når vi beder dig om at stille dine Persondata til rådighed for os, oplyser vi dig om, hvilke Persondata vi behandler om dig og til hvilket formål. Du modtager oplysning herom på tidspunktet for indsamling af dine Persondata. Vi indsamler ikke oplysninger, som ikke er relevante for sagen. Indsamles unødige oplysninger, slettes oplysninger omgående.

Nedenstående retningslinjer beskriver hvilke typer af Persondata, vi indsamler, hvordan vi behandler disse Persondata, og hvem du kan kontakte, såfremt du har spørgsmål eller kommentarer til denne Persondatapolitik.

DEBITORER

  • Almindelige Persondata (f.eks. navn og/eller brugernavn, adresse, e-mail, fødselsdato, køn, profilbillede, lokalisation, m.v.)
  • CPRnummer
  • Lokalisationsdata, navn, reg.nr., medarbejder mobil-nr.
  • Bankinformationer
  • Regnskab
  • Bank- og formueopgørelser
  • Det kan ske, at vi får følsomme oplysninger direkte fra debitorer. Hvis de er helt irrelevante slettes de, men ellers behandles de fortroligt.
  • Optagelse af samtaler via telefon

KUNDER

  • Almindelige Persondata (f.eks. navn og/eller brugernavn, adresse, e-mail, fødselsdato, køn, profilbillede, lokalisation, m.v.)
  • Trafikdata om brug af internettet
  • Lokalisationsdata fra internettet, mobil, GPS eller kamera
  • Unikke numre på netværksenheder
  • Kontaktinformation
  • Newsletter
  • CRM System, navne, adresse, tlf. nr., e-mail, interesseområder
  • E-mails
  • CCTV

Vi indsamler og opbevarer dine Persondata til bestemte formål eller andre lovlige forretningsmæssige formål.

Dine Persondata indsamles og anvendes til:

  • Almindelig inkassovirksomhed
  • Forbedring af Debtia’ rådgivning og andre tjenesteydelser.
  • Tilpasning af Debtia’ kommunikation og markedsføring til dig
  • Tilpasning af samarbejdspartneres kommunikation og markedsføring til dig
  • Direkte markedsføringsaktiviteter.
  • Optimering af hjemmesiden.
  • Gennemførelse af en aftale eller foranstaltninger efter din anmodning herom.
  • Administration af din relation til Debtia
  • Opfyldelse af lovkrav
  • Retskrav

Håndtering af begæringer fra den registrerede

6.1.1 Vores håndtering af de registreredes rettigheder er centraliseret. Den ansvarlige vil dog sjældent være tilstrækkeligt inde i den enkelte sag til at kunne bedømme, om den registreredes anmodning kan/bør imødekommes helt eller delvist. Besvarelsen vil derfor ske efter dialog med den relevante sagsbehandler, som kan redegøre for de hensyn, der taler for henholdsvis imod, at en anmodning/indsigelse imødekommes.

Indsigtsretten

6.2.1 Den registrerede har i henhold til databeskyttelsesforordningens artikel 15 ret til at få bekræftet, om der behandles Persondata om den pågældende, og vil i givet fald få adgang til Persondata (der skal udleveres en kopi af Persondata).

6.2.2 Derudover har den registrerede ret til at modtage følgende information:

  • formålene med behandlingen
  • de berørte kategorier af Persondata
  • de modtagere eller kategorier af modtagere, som Persondata er eller vil blive videregivet til, navnlig modtagere i tredjelande eller internationale organisationer
  • om muligt det påtænkte tidsrum, hvor Persondata vil blive opbevaret, eller hvis dette ikke er muligt, de kriterier, der anvendes til fastlæggelse af dette tidsrum
  • retten til at anmode den dataansvarlige om berigtigelse eller sletning af Persondata eller begrænsning af behandling af Persondata vedrørende den registrerede eller til at gøre indsigelse mod en sådan behandling
  • retten til at indgive en klage til en tilsynsmyndighed
  • enhver tilgængelig information om, hvorfra Persondata stammer, hvis de ikke indsamles hos den registrerede

6.2.3 Den registrerede har endvidere ret til at få oplysninger om fornødne garantier, hvis vi har overdraget Persondata til tredjelande.

6.2.4 For at kunne opfylde en indsigtsbegæring på behørig vis, skal vi gennemsøge alle systemer – herunder alle databaser samt alt hardware og alle flytbare medier – og også gennemsøge alt fysisk materiale, der indgår i et register, og udlevere de Persondata, der er registreret om den pågældende.

6.2.5 Efter databeskyttelsesloven gælder retten til indsigt ikke, hvis den registreredes interesse i oplysningerne findes at burde vige for afgørende hensyn til private interesser, herunder hensynet til den pågældende selv.

6.2.6 Det er vores vurdering, at dette bl.a. vil omfatte oplysninger omfattet af vores tavshedspligt. Indsigtsretten vil derfor ikke have en selvstændig betydning, så længe der begæres om indsigt i Persondata, som er underlagt tavshedspligt.

Dataportabilitet

6.3.1 Den registrerede har efter databeskyttelsesforordningens artikel 20 desuden ret til i et struktureret, almindeligt anvendt og maskinlæsbart format at modtage Persondata om sig selv, som den pågældende selv har givet til Debtia.

6.3.2 Den registrerede har desuden ret til selv at transmittere disse oplysninger til en anden dataansvarlig uden hindring fra Debtia, når behandlingen er baseret på samtykke og behandlingen foretages automatisk. Hvis den registrerede udøver denne ret til dataportabilitet, har den registrerede også ret til at få transmitteret Persondata direkte fra en dataansvarlig til en anden, hvis det er teknisk muligt.

6.3.3 Adgangen til dataportabilitet omfatter kun oplysninger, den registrerede selv har givet, og vil kun omfatte behandlinger, der foretages automatisk. Adgangen til dataportabilitet vil desuden være særdeles begrænset, såfremt vi baserer vores behandlingshjemmel på andet grundlag end samtykke.

6.3.4 Det er vores vurdering, at retten til dataportabilitet kun kan gøres gældende i meget begrænset omfang i forhold til vores kundeoplysninger.

Ret til berigtigelse

6.4.1 I henhold til databeskyttelsesforordningens artikel 16, har den registrerede ret til at få urigtige Persondata om sig selv berigtiget af den dataansvarlige uden unødig forsinkelse. Under hensyntagen til formålene med behandlingen, har den registrerede desuden ret til få fuldstændiggjort ufuldstændige Persondata, bl.a. ved at fremlægge en supplerende erklæring.

6.4.2 Denne ret supplerer vores egen grundlæggende forpligtelse til kontinuerligt at sikre os, at der alene behandles korrekte og ajourførte oplysninger, jf. artikel 5, stk. 1, litra d.

6.4.3 Retten til berigtigelse angår dog alene objektive Persondata, og ikke subjektive vurderinger. At vi måtte have vurderet, at kunden ikke har et juridisk grundlagt for at føre en sag, er eksempelvis ikke en personoplysning, der kan kræves berigtiget, blot fordi kunden ikke er enig. Vores vurdering af et bevis skal heller ikke berigtiges, fordi modparten ikke måtte være enig i vores udlægning.

Retten til at blive glemt

6.5.1 Den registrerede har efter databeskyttelsesforordningens artikel 17 ret til at få Persondata om sig selv slettet af os uden unødig forsinkelse. Modtager vi en berettiget anmodning herom, har vi i så fald pligt til at slette Persondata uden unødig forsinkelse.

6.5.2 Dog er retten begrænset sådan, at der ikke kan kræves sletning, hvis behandlingen er nødvendig for at overholde en retlig forpligtelse, eller for at retskrav kan fastlægges, gøres gældende eller forsvares, jf. artikel 17, stk. 3, litra b og e.

6.5.3 Det er vores vurdering, at ”retten til at blive glemt” kun meget sjældent vil komme i spil i forhold til vores sagsbehandling. Den kan eksempelvis tænkes anvendt, hvis Persondata oprindeligt slet ikke har været nødvendige for sagens behandling, og derfor slet ikke burde have indgået i sagen, eller hvis Persondata utvivlsomt ikke længere er nødvendige for sagens behandling. I så fald vil pligten til at slette Persondata også følge af den grundlæggende forpligtelse til kun at behandle nødvendige oplysninger, jf. databeskyttelsesforordningens artikel 5, stk. 1, litra c. ”Retten til at blive glemt” finder dog ikke anvendelse, såfremt (og så længe) vi opbevarer sådanne Persondata for at kunne modgå et eventuelt retskrav fra kunder.

6.5.4 Hvis vi er forpligtet til at slette Persondata efter artikel 17, som har været overladt til andre dataansvarlige eller databehandlere, skal vi underrette sådanne dataansvarlige eller databehandlere, som behandler Persondata, om, at den registrerede har anmodet om at få slettet alle link til eller kopier eller gengivelser af de pågældende Persondata.

Ret til indsigelse – også mod automatiserede afgørelser

6.6.1 Det følger af databeskyttelsesforordningens artikel 21, at den registrerede til enhver tid har ret til at gøre indsigelse mod behandling af sine Persondata, hvis behandlingen – herunder profilering – er baseret på artikel 6, stk. 1, litra e eller f. Disse bestemmelser omhandler adgangen til at behandle almindelige Persondata, hvis behandlingen er nødvendig for at udføre en opgave i samfundets interesser, eller hvis behandlingen er nødvendig for at forfølge en berettiget interesse og hensynet til den registrerede ikke overstiger denne interesse.

6.6.2 Hvis der gøres indsigelse, må vi ikke længere behandle de pågældende Persondata, medmindre vi kan påvise vægtige legitime grunde til behandlingen, der går forud for den registreredes interesser, eller hvis behandlingen er nødvendig for, at retskrav kan fastlægges, gøres gældende eller forsvares.

6.6.3 Det er vores vurdering, at denne bestemmelse kun begrænset vil komme i spil i forhold til vores sagsbehandling, fordi sagsbehandlingen i vidt omfang kan knyttes op på hjemlen vedrørende fastlæggelsen af et retskrav, ligesom vi – hvis behandlingen i øvrigt opfylder de grundlæggende behandlingsregler – oftest vil kunne påvise vægtige legitime grunde til, at oplysningerne indgår i sagsbehandlingen.

6.6.4 Bestemmelsen i artikel 21 forudsætter, at den registrerede gøres udtrykkeligt opmærksom på sin ret til at gøre indsigelse, og at dette skal ske senest på tidspunktet for den første kommunikation. Endvidere skal oplysningen herom meddeles klart og holdes adskilt fra de andre oplysninger.

6.6.5 Supplerende til artikel 21, har den registrerede i henhold til artikel 22 ret til ikke at være genstand for en afgørelse, der alene er baseret på automatisk behandling, herunder profilering, som har retsvirkning eller på tilsvarende vis betydeligt påvirker den pågældende.

6.6.6 Også denne bestemmelse indeholder en række undtagelser, jf. artikel 22, stk. 2. Blandt andet gælder retten ikke, hvis afgørelsen er nødvendig for indgåelse eller opfyldelse af en kontrakt mellem den registrerede og en dataansvarlig, hvis behandlingen har hjemmel i lov, eller hvis behandlingen er baseret på den registreredes udtrykkelige samtykke.

6.6.7 Artikel 22 forudsætter dog generelt, at automatiserede afgørelser ikke baseres på særlige kategorier af Persondata, jf. artikel 9, stk. 1, medmindre der er givet udtrykkeligt samtykke hertil, og der er indført passende foranstaltninger til beskyttelse af den registreredes rettigheder og frihedsrettigheder samt legitime interesser.

Ret til dataminimering.

6.7.1 I henhold til databeskyttelsesforordningens artikel 18 har den registrerede ret til at få begrænset behandlingen af Persondata, hvis: • rigtigheden af Persondata bestrides af den registrerede, men kun i perioden indtil den dataansvarlige har haft mulighed for at fastslå, om Persondata er korrekte • behandlingen er ulovlig, og den registrerede modsætter sig sletning af Persondata og i stedet anmoder om, at anvendelsen heraf begrænses • den dataansvarlige ikke længere har brug for Persondata til behandlingen, men de er nødvendige for, at et retskrav kan fastlægges, gøres gældende eller forsvares • den registrerede har gjort indsigelse mod behandlingen i medfør af artikel 21, stk. 1, men kun i perioden mens det kontrolleres, om den dataansvarliges legitime interesser går forud for den registreredes legitime interesser.

6.7.2 Retten udgør dermed et alternativt (og mindre) indgreb i sagsbehandlingen sammenlignet med den registreredes ret til at gøre indsigelse efter artikel 21 og 22, og den registreredes ”ret til at blive glemt” efter artikel 17.

6.7.3 Det følger af bestemmelsens stk. 2, at hvis en behandling er blevet begrænset, må sådanne Persondata, bortset fra opbevaring, stadig behandles blandt andet, hvis den registrerede giver samtykke hertil, eller hvis behandlingen er nødvendig for, at et retskrav kan fastlægges, gøres gældende eller forsvares.

6.7.4 Bestemmelsen vil efter vores vurdering kun få begrænset betydning for vores adgang til at behandle Persondata i vores sagsbehandling.

6.7.5 Bestemmelsen supplerer desuden i vidt omfang vores egen selvstændige forpligtelse til kontinuerligt at sikre overholdelse af de grundlæggende rettigheder for den registrerede.

Behandlingsprincipper

7.1.1 Vi vil behandle Persondata lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede.

7.1.2 Vores behandling af Persondata er undergivet en formålsbegrænsning, hvilket vil sige, at Persondata skal indsamles til udtrykkeligt angivne og legitime formål. Persondata må ikke viderebehandles på en måde, der er uforenelig med disse formål.

7.1.3 Vi behandler Persondata ud fra et princip om dataminimering, hvilket vil sige, at Persondata skal være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles,

7.1.4 Persondata skal behandles ud fra et princip om rigtighed, hvilket vil sige, at de skal være korrekte og om nødvendigt ajourførte,

7.1.5 Vi behandler Persondata ud fra et princip om opbevaringsbegrænsning, hvilket vil sige, at Persondata skal opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende Persondata behandles, og

7.1.6 Persondata skal behandles ud fra et princip om integritet og fortrolighed, hvilket vil sige, at de skal behandles på en måde, der sikrer tilstrækkelig sikkerhed for Persondata, herunder skal de beskyttes mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske og organisatoriske foranstaltninger.

Risikoanalyse

7.2.1 Vi skal i forbindelse med vores sagsbehandling gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, som konkret er forbundet med vores behandling af Persondata.

7.2.2 Vi har gennemført en risikoanalyse, som ligger til grund for denne Persondatapolitik.

Konsekvensanalyser vedrørende databeskyttelse (DPIA)

7.3.1 Databeskyttelsesforordningens artikel 35 indeholder et krav om, at hvis en behandling – navnlig ved brug af nye teknologier og i medfør af sin karakter, omfang, sammenhæng og formål – sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, skal den dataansvarlige forud for behandlingen foretage en analyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af Persondata.

7.3.2 Pligten til at foretage en konsekvensanalyse gælder alene i særlige tilfælde, hvor der kan konstateres en høj risiko for fysiske personers rettigheder og frihedsrettigheder.

7.3.3 Konsekvensanalyser skal navnlig gennemføres, når der foretages:

a) behandling i stort omfang af følsomme oplysninger eller af Persondata vedrørende straffedomme og lovovertrædelser, eller

b) systematisk og omfattende vurdering af personlige forhold vedrørende fysiske personer, der er baseret på automatisk behandling, herunder profilering, og som er grundlag for afgørelser, der har retsvirkning for den fysiske person eller på tilsvarende vis betydeligt påvirker den fysiske person

c) systematisk overvågning af et offentligt tilgængeligt område i stort omfang

7.3.4 Det er vores vurdering, at vi i udgangspunktet sjældent vil foretage behandlinger, der opfylder et af ovennævnte kriterier. Det må derfor antages, at reglerne om konsekvensanalyse vil have et forholdsvis begrænset anvendelsesområde i relation til vores behandling af Persondata om kunder.

7.3.5 Vurderingen finder bl.a. støtte i databeskyttelsesforordningens præambel. Ifølge betragtning 91, bør behandling af Persondata ikke anses for omfattende af reglerne om konsekvensanalyse, hvis der er tale om en læges, en sundhedspersons eller en inkassos behandling af Persondata om patienter eller kunder.

7.3.6 Gennemføres en konsekvensanalyse alligevel, vil resultatet af analysen tages i betragtning, når vi skal træffe passende foranstaltninger for at imødegå en eventuel forhøjet risiko for fysiske personers rettigheder og frihedsrettigheder.

Databeskyttelsesrådgiver (DPO)

7.4.1 Pligten til at udpege en databeskyttelsesrådgiver forudsætter efter databeskyttelsesforordningens artikel 37, at behandling af Persondata indgår som vores ”kerneaktivitet”.

7.4.2 Det er ikke vores kerneaktivitet at behandle Persondata i et stort omfang eller at foretage regelmæssig og systematisk overvågning af personer i stort omfang.

7.4.3 Datatilsynet har i sin ”Vejledning om databeskyttelsesrådgivere” udtalt, at virksomheder, der behandler Persondata som en biaktivitet, ikke er forpligtede til at udpege en databeskyttelsesrådgiver.

7.4.4 Vores behandling af Persondata, anses som en biaktivitet.

7.4.5 Vi har derfor valgt ikke at udpege en databeskyttelsesrådgiver.

Ved denne type sager, har vi vurderet at det ikke findes nødvendigt at udpege en DPO.

Videregivelse til andre tjenester

7.6.1 Der videregives ikke Persondata til sociale netværk.

Anden videregivelse

7.7.1 Såfremt vi modtager henvendelse fra politi (eller anden lignende offentlig myndighed) eller retsvæsen om udlevering af Persondata, vil vi foretage udlevering af dine Persondata i overensstemmelse med gældende lovgivning.

Profilering

Vi anvender ikke dine Persondata til profilering.

Generelle tekniske foranstaltninger

7.10.1 Datatilsynets ITsikkerhedstekster, jf. nedenfor, danner udgangspunkt for de overvejelser og vurderinger, som vi skal foretage efter databeskyttelsesforordningen:

7.10.2 Adgang til Persondata begrænses til personer, der har et sagligt behov for adgang til Persondata. Det skal være så få personer som muligt, dog med behørigt hensyn til driften – der skal være et tilstrækkeligt antal medarbejdere til at sikre driften af de pågældende opgaver ved sygdom, ferier, personaleudskiftning m.v. Der foreligger et skøn hos virksomheden. Alle sagsbehandlere har adgang til alle sager. Debtia har vurderet, at dette findes nødvendigt, da alle medarbejdere i virksomheden er involverede i sagsbehandlingen.

7.10.3 Medarbejdere, der håndterer Persondata, skal have instruktion og oplæring i, hvad de må gøre med Persondata, og hvordan de skal beskytte Persondata.

7.10.4 Persondata på papir – f.eks. i kartoteker og ringbind – skal opbevares aflåst, når de ikke er i brug.

7.10.5 Når dokumenter (papirer, kartotekskort mv.) med Persondata smides ud, skal der anvendes makulering eller anden foranstaltning, der forhindrer, at uvedkommende kan få adgang til Persondata.

7.10.6 Der skal anvendes adgangskode for at få adgang til pc’er og andet elektronisk udstyr med Persondata. Kun de personer, der skal have adgang, må få en kode og da kun til de systemet, den pågældende har brug for at anvende. De personer, der har adgangskode, må ikke overlade koden til andre eller lade den ligge, så andre kan se den. Kontrol af tildelte koder skal foretages mindst en gang hver tredje måned.

7.10.7 Det skal registreres, hvis der konstateres forgæves forsøg på at få adgang til itsystemer med Persondata. Hvis der registreres et nærmere fastsat antal på hinanden følgende afviste adgangsforsøg, skal der blokeres for yderligere forsøg.

7.10.8 Fortages der ikke fornyelse af adgangskoden, lukkes der dermed for adgangen til systemet.

7.10.9 Hvis Persondata lagres på en USBnøgle, skal Persondata beskyttes. Der kan f.eks. bruges en USBnøgle med adgangskode og kryptering. Ellers skal USBnøglen opbevares i aflåst skuffe eller skab. Tilsvarende gælder ved opbevaring af Persondata på andre bærbare datamedier. Der er ingen persondata, tilgængelige på medarbejdernes bærbarcomputeres skrivebord. PC’er koblet til internettet skal have en opdateret firewall og viruskontrol installeret.

7.10.10 Ved opkobling til wifi, hvortil der er fri adgang, sikrer vi passende sikkerhedsmæssige foranstaltninger under hensyntagen til det aktuelle teknologiske udviklingstrin på itområdet.

7.10.11 Hvis der benyttes hjemmesideformularer, hvor følsomme Persondata eller personnummer kan indtastes og fremsendes, skal der anvendes kryptering.

7.10.12 Hvis følsomme Persondata eller personnummer sendes med e-mail via internettet, skal sådanne e-mails krypteres. Vi tilstræber i videst muligt omfang at udelade de sidste 4 cifre i cpr. Vurderes det dog, at de sidste 4 cifre i cpr. er strengt nødvendigt, foretages der en kryptering af mailen.

7.10.13 I forbindelse med reparation og service af dataudstyr, der indeholder Persondata, er de fornødne foranstaltninger truffet, ved at der ikke ligger persondata, så oplysninger ikke kan komme til uvedkommendes kendskab. Det tilstræbes, at der ikke gemmes Persondata udenfor de dertil designede systemer, med mindre dette er nødvendigt for sagsbehandlingen.

7.10.14 I de situationer, hvor en computer indleveres til reparation, og hvor der på computeren ligger Persondata, skal der etableres flere koder til forskellige sektioner af data. En reparatør vil eksempelvis ikke have behov for at kunne tilgå Persondata, der måtte ligge på computeren. En sådan ordning med flere koder vil kunne hjælpe, men ikke fjerne risikoen for misbrug af Persondata. Herudover bør det også ved aftale og kontrol sikres, at reparatører ikke uretmæssigt tilgår Persondata. Det kan f.eks. være ved brug af fortrolighedserklæringer.

7.10.15 Ved brug af en ekstern databehandler til håndtering af Persondata, skal der underskrives en skriftlig databehandleraftale mellem os og databehandleren. Det gælder eksempelvis, når der anvendes et eksternt dokumentarkiv eller hvis der anvendes cloudsystemer i forbindelse med kundebehandlingen – herunder kommunikation med kunden.

7.10.16 Vi beskytter dine Persondata og har interne regler om informationssikkerhed. Vi har vedtaget interne regler om informationssikkerhed, som indeholder instrukser og foranstaltninger, der beskytter dine Persondata mod at blive tilintetgjort, gå tabt eller blive ændret, mod uautoriseret offentliggørelse, og mod at uvedkommende får adgang eller kendskab til dem.

7.10.17 Debtia vil sørge for, at de indsamlede Persondata, behandles varsomt og beskyttes i henhold til gældende sikkerhedsstandarder.

7.10.18 Vi har strenge sikkerhedsprocedurer for indsamling, opbevaring og overførsel af Persondata for at hindre uautoriseret adgang og for at overholde gældende lovgivning. Vores sikkerhed kontrolleres jævnligt. De Persondata og personlige Persondata, du giver os, gemmes på vores egen eller på en af vores databehandlerens servere.

7.10.19 Vi har truffet de nødvendige tekniske og organisatoriske sikkerhedsforanstaltninger for at beskytte dine Personligoplysninger mod utilsigtet eller ulovlig destruktion, tab eller ændring og mod uautoriseret offentliggørelse, misbrug eller anden handling i strid med gældende lovgivning.

7.10.20 Vi gemmer og behandler dine personlige data på itsystemer med kontrolleret og begrænset adgang. Systemerne er placeret på servere i sikrede lokaler.

7.10.21 Vi bruger industristandarder som firewalls og autentificeringsbeskyttelse for at beskytte dine Persondata.

7.10.22 Hvis du sender Persondata til os via e-mail, skal du være opmærksom på, at afsendelse til os ikke er sikker, såfremt dine e-mails ikke er krypteret.

7.10.23 Alle data overført mellem kunde (browser og webapp) og server(er) krypteres efter HTTPS-protokollen.

7.10.24 Vi har fuld adgang til alle dine Persondata, der er opbevaret i vore database(r) og på vores server(e). Data vil alene blive tilgået på ”need to know” basis.

Anvendelse af personoplysninger i mails

7.11.1 Som tidligere nævnt registres og behandles sjældent følsomme oplysninger.

7.11.2 Det må aldrig skrives fortrolige eller følsomme oplysninger i emnefeltet på en mail, og emnefeltet skal i det hele tages anvendes helt anonymt og diskret.

7.11.3 Sædvanligvis anvendes TLS til kryptering af e-mails. MEN hvis der fremsendes mange og/eller meget fortrolige eller følsomme oplysninger, skal disse sendes via en endtoend kryptering. Sendes f.eks. en liste med 50 personoplysninger, bør disse sendes endtoend krypteret, ligesom en mail med følsomme personoplysninger om f.eks. 10 personer også skal sendes endtoend krypeteret.

7.11.4 Såfremt der skal fremsendes fortrolige eller følsomme personoplysninger, skal man være sikker på, at e-mailadressen er korrekt, og denne skal tjekkes ved diverse opslag, hvis der er den mindste tvivl.

7.11.5 Fremsendelse af e-mail per mobiltelefon antages ikke at være så sikker som via computer. Derfor må der ikke sendes fortrolige og følsomme personoplysninger via mobiltelefon.

Backup

7.12.1 Debtia tager backup af alle databaser og filer på fællesdrev hver nat. Backup´en opbevares dels på en intern server, dels på et eksternt datacenter.

7.12.2 Vi foretager følgende typer af backup:

• 1) backup rullende. Med denne metode, tages der dagligt backup af alle fil og data opdateringer og oprettes en sikkerhedskopi af alle de nye data. Dette skaber en historie af ændringer, således at muligheden for at genvinde tabte data forøges (denne backup går dagligt tilbage).

• 2) backup klon. Denne backupstrategi skaber en perfekt kopi af hver enhed på netværket (denne backup går 7 dage tilbage)

• 3) backup offsite. Denne backup sikrer mod tab af data, hvis backup opbevares on site. Alle data og filer sikkerhedskopieres og backup opbevares offsite.

7.12.3 Alle backup data og filer overskrives med intervaller på 30 dage. Det er ikke teknisk muligt at gennemføre sletning af enkelte filer på en foretagen backup inden sådan overskrivning sker. Det vil sige, at har du anmodet Deptia om sletning af dine Persondata, vil sådanne Persondata blive slettet i live miljø, jf. nedenfor, men vil forblive på backup indtil den specifikke backup efter 30 dage er overskrevet. Debtia har dog indført interne processer og procedurer til at sikre, at dine Persondata ikke genintroduceres som live data ved at genindlæse data og filer fra en backup såfremt dine data er blevet slettet i henhold til din ”ret til at blive glemt”. Vi genindlæser i forhold til sletteregler. Den person der ønsker at blive slettet, bliver slettet.

Overordnet

8.1.1 Behandlingsregler – kunder er tænkt som de generelle principper, som vi skal anvende i forbindelse med sagsbehandling for kunder og er dermed en gennemgang af de spørgsmål, som vi generelt i vores sagsbehandling skal forholde os til. Behandlingsregler – kunder er derudover udtryk for, hvordan vi opfylder dokumentationskravene i databeskyttelsesforordningen.

8.1.2 Medarbejderne er instrureret i, at der skal foretages dataminimering af mails, der er beliggende i Outlook.

8.1.3 Med udspring i nærværende behandlingsregler – kunder tager de fagspecifikke behandlingsregler fat i problemstillinger, der navnlig viser sig på de pågældende fagspecifikke områder.

Dataansvarlig

8.2.1 Vedrørende spørgsmålet, om Debtia agerer dataansvarlig eller databehandler, skal det bemærkes, at det i henhold til nuværende praksis fra Datatilsynet, må kunne lægges til grund, at Debtia agerer selvstændigt dataansvarlig for de oplysninger, som modtages fra kreditor. Årsagen til dette er, at Debtia primært selv bestemmer over formålet med behandlingen af persondata og har ansvaret for de behandlingsskridt som foretages. Derudover er et inkassoselskabs formål med behandlingen af persondata, ikke selve behandlingen, men derimod en forudsætning for inkassationen i sig selv. Det er inkassoselskabet som selv træffer beslutninger om behandlingen af en specifik sag og herved også behandlingen af personoplysninger. Inkassoselskabet er derfor ikke umiddelbart underlagt en tilstrækkelig instruktionsbeføjelse til, at dette kan lede til, at inkassoselskabet må antages at agere databehandler. Af disse årsager må det kunne lægges til grund, at Debtia agerer dataansvarlig.

Databehandler

8.3.1 Inddrages tredjeparter i sagsbehandlingen skal vi vurdere, om sådanne tredjeparter får status som databehandlere eller selvstændige dataansvarlige.

8.3.2 Et eksempel på overgivelse af Persondata til en tredjepart er den situation, hvor vi anmoder et andet inkassobureau om bistand til løsning af en kundes sag. I en sådan situation vil det andet inkassobureau som altovervejende hovedregel blive anset for at være en databehandler til os.

8.3.3 Er der ikke tale om en databehandlerkonstruktion, vil den part, som modtager oplysningerne fra os, herefter være dataansvarlig for den efterfølgende behandling af Persondata hos parten selv.

8.3.4 Som ovenfor anført skal det ved videregivelse til en selvstændig dataansvarlig i det hele sikres, at der er hjemmel til videregivelsen, ligesom den modtagende part skal sikre sig opfyldelse af sin oplysningspligt.

Databehandleraftale

8.4.1 Hvis vi er dataansvarlige og har vurderet, at der foreligger en databehandlerkonstruktion, skal der udarbejdes en databehandleraftale.

8.4.2 Databehandleraftalen skal indgås mellem os (den dataansvarlige) og den anden part (databehandleren), og skal leve op til databeskyttelsesforordningens krav til databehandleraftaler, jf. forordningens artikel 28, stk. 3. Det indebærer, at der skal udarbejdes en kontrakt eller andet retligt dokument, som er bindende for databehandleren. Det er desuden et krav, at databehandleraftalen er skriftlig, herunder elektronisk.

8.4.3 Databeskyttelsesforordningen fastsætter herudover en del specifikke krav til indholdet af databehandleraftalen. Aftalen skal bl.a. indeholde oplysninger om genstanden for og varigheden af behandlingen, behandlingens karakter og formål, typen af Persondata, kategorierne af registrerede og vores forpligtelser og rettigheder som dataansvarlig samt de pligter, som databehandleren har i forhold til at varetage opgaven. Kravene er specifikt beskrevet i databeskyttelsesforordningens artikel 28, stk. 3, litra a-h.

8.4.4 Agerer vi som databehandler for kunden, skal der indgås en databehandleraftale med kunden.

Overførsel til tredjelande

8.5.1 Ved brug af en databehandler, indhentelse af responsum fra en inkasso uden for EU/EØS eller ved kommunikation med modparter skal vi være opmærksomme på, om overladelsen af Persondata til en databehandler eller videregivelsen af Persondata til en anden dataansvarlig uden for EU/EØS vil indebære, at der sker behandling uden for EU/EØS.

8.5.2 Databeskyttelsesforordningen forudsætter, at der ikke sker behandling af Persondata i lande med ringere Persondatabeskyttelse end databeskyttelsesniveauet i EU, jf. databeskyttelsesforordningens artikel 44-49.

8.5.3 Overladelse til lande uden for EU/EØS kræver som udgangspunktet (artikel 44-47):

  • at EU-Kommissionen har godkendt landet (som et ”Sikkert Tredjeland”),
  • at vi og tredjeparten har indgået en aftale ved brug af EU-Kommissionens standard model klausuler, eller
  • at der er et tilstrækkeligt beskyttelsesniveau fastsat ved godkendte bindende virksomhedsregler

8.5.4 Herudover kan enkelte overførsler finde sted, hvis

  • der foreligger et samtykke
  • overførslen er påkrævet for opfyldelse af en kontrakt eller
  • overførslen er påkrævet for, at et retskrav kan fastlægges, gøres gældende eller forsvares

8.5.5 Uanset hjemmelsgrundlaget forudsætter en overførsel, at fire grundlæggende garantier altid er opfyldt, jf. Datatilsynets ”Vejledning om overførsel af Persondata til tredjelande”:

  • Myndigheder i tredjelandes adgang til og brug af Persondata hidrørende fra EU skal ske på grundlag af klare, præcise og tilgængelige regler.
  • Myndigheder i tredjelandes adgang til og brug af Persondata hidrørende fra EU skal være nødvendig og proportional (der skal være balance mellem formålet (national sikkerhed) og indgrebet i de registreredes ret til beskyttelse af deres privatliv).
  • Der skal være en uafhængig og effektiv tilsynsmyndighed i tredjelandet.
  • Der skal være tilgængelige og effektive rets midler for de registrerede i tredjelandet.

Databehandlere - oversigt

8.6.1 Vi anvender eksterne virksomheder til at foretage den tekniske drift af Debtia. Denne virksomhed fungerer som databehandler i forhold til de Persondata, som vi er dataansvarlig for.

8.6.2 Databehandling foretages inden for den Europæiske Union.

8.6.3 Databehandleren handler alene efter instruks fra os.

8.6.4 Databehandleren har truffet de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at Persondata hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at Persondata kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med reglerne om Persondata. På din anmodning - og mod betaling af databehandlerens til enhver tid gældende timetakster for sådant arbejde - giver databehandleren dig tilstrækkelige oplysninger til, at databehandleren kan påvise, at de nævnte tekniske og organisatoriske sikkerhedsforanstaltninger er truffet.

Behandlingshjemmel

8.7.1 Vores hjemmel til at behandle Persondata ligger først og fremmest i opdraget fra kunden. Til gengæld vil vi inden for dette opdrag i udgangspunktet have hjemmel til at behandle de nødvendige oplysninger til brug for løsning af opdraget. Det følger navnlig af databeskyttelsesforordningens artikel 6, stk. 1, litra a-c og litra f, samt af artikel 9, stk. 2, litra a og f.

8.7.2 Disse bestemmelser omhandler adgang til at behandle Persondata, (i) hvis der foreligger et samtykke, (ii) hvis behandlingen er nødvendig for at opfylde en kontrakt, (iii) hvis behandlingen er nødvendig for at overholde en retlig forpligtelse, (iv) nødvendig for at opfylde væsentlige interesser, der overstiger den registreredes interesser, eller (v) nødvendig for at et retskrav kan fastlægges, gøres gældende eller forsvares.

8.7.3 For så vidt angår navnlig personnumre kan vi behandle oplysninger om personnumre, (i) når det følger af lovgivningen, (ii) hvis der foreligger et samtykke, eller (iii) hvis det er nødvendigt med henblik på fastlæggelsen af et retskrav, jf. databeskyttelseslovens § 11, jf. § 7.

8.7.4 Det er vores vurdering, at den behandling af Persondata vi foretager i relation til et opdrag fra en kunde, i vidt omfang vil være hjemlet i de anførte bestemmelser.

8.7.5 Vi vil nøje overveje i den enkelte sag, hvad opdraget omfatter, når Persondata behandles, så den enkelte inkasso undlader at behandle – herunder registrere og gemme – Persondata, som ikke er relevante for sagen. Vi skal derfor i alle sammenhænge forholde os til rammerne for opdraget og sikre, at der ikke indsamles og behandles Persondata, som ikke er relevante. Navnlig er det vigtigt at sikre, at der ikke behandles Persondata om tredjemænd, som ikke er relevante for sagen.

Generelle principper - sagsbehandlingen

8.8.1 Ved opstart af sagen skal vi først og fremmest sikre os, at hjemmelsgrundlaget er klart – altså hvilke behandlinger af oplysninger, som opdraget forudsætter, og at vi har et lovligt behandlingsgrundlag herfor.

8.8.2 Dernæst skal vi tage stilling til vores forpligtelse om af egen drift til at underrette kunden om den behandling, vi foretager.

8.8.3 Under processen skal vi løbende sikre os, at indsamling og videregivelse af Persondata sker i overensstemmelse med formålet, og vi skal løbende overveje vores forhold til eventuelle databehandlere. Inddrages et tredjeland i sagen, skal man vi være opmærksomme på de særlige regler, der gælder for overførsel af Persondata til tredjelande.

8.8.4 Når sagen er afsluttet, skal vi tage stilling til, hvor længe vi har behov for at opbevare oplysningerne, og hvornår de skal slettes.

8.8.5 Vi skal som udgangspunkt undgå at basere vores behandling af Persondata på et samtykke fra kunden. Samtykke kan nemlig tilbagekaldes og giver i øvrigt heller ikke selvstændig mening ved siden af opdraget/aftalen om bistand.

Oplysningspligt – kunde/debitorer

8.9.1 Oplysningspligten gælder både i forhold til kunden selv, i forhold til debitorer og i forhold til eventuelle andre tredjeparter, som forudsættes inddraget i sagsbehandlingen. Pligten til at underrette tredjeparter skal altid overvejes i forhold til vores tavshedspligt, men tavshedspligten kan næppe – som generelt princip – undtage fra en oplysningsforpligtelse i alle sammenhænge. Det forudsætter en konkret vurdering og stillingtagen.

8.9.2 Når Debtia indgår en aftale med en Kunde/kreditor og i denne forbindelse indsamler oplysninger om Kunden, sender vi Kunden en ”velkomstpakke”, hvor vi blandt andet inkluderer vores salgs – og leveringsbetingelser, som Kunden skal acceptere, når kunden indgår en aftale om inkassohåndtering med. I salgs – og leveringsbetingelserne henviser Debtia til nærværende persondatapolitik, hvorved Kunderne bliver gjort opmærksom på denne og Kunden har mulighed for at læse om, hvorledes dennes personoplysninger bliver behandlet.

8.9.3 Debtia henviser også til persondatapolitikken via et link, man logger på Debtias hjemmeside.

8.9.4 I forhold til debitorer har Debtia i denne persondatapolitik beskrevet hvilke typer oplysninger i typisk behandler om debitorerne, til hvilket formål, hvordan vi beskytter oplysningerne og hvor længe vi typisk opbevarer sagsmateriale.

8.9.5 Oplysningspligten over for debitorerne opfyldes ved at henvise til vores persondatapolitik i den første kommunikation ved debitoren. Der henvises til dette i vores inkassopåkrav, inkassoskrivelser og meddelelser om registrering som dårlig betaler (registrering som RKI).

8.9.6 I kommunikationen henvises der til Persondatapolitikken:

  • Vores behandling – herunder elektronisk og fysisk behandling/opbevaring og eventuelt anvendelse af cloud-system og sagsbehandlingssystem.
  • Andre relevante aktører
  • Opbevaringsperiode efter afslutning.
  • Rettigheder og mulighed for klage samt muligheden for at tilbagekalde samtykket, hvis behandlingen skal baseres på et samtykke. For så vidt angår personens rettigheder fremgår det af databeskyttelsesforordningens artikel 21 om den registreredes ret til at gøre indsigelse, at den registrerede skal gøres udtrykkeligt opmærksom på denne rettighed, og at dette skal ske senest på tidspunktet for den første kommunikation, jf. artikel 21, stk. 4. Oplysningen skal meddeles klart og adskilt fra andre oplysninger.

Oplysningspligt - tredjeparter

8.10.1 Tredjeparter kan f.eks. udgøre bipersoner.

8.10.2 Det fremgår af databeskyttelsesforordningens artikel 14, stk. 5, litra d, at oplysningspligten ikke gælder, hvis Persondata skal forblive fortrolige som følge af tavshedspligt.

8.10.3 Så længe behandling af Persondata vedrørende tredjeparter, ligger inde for opdraget, og så længe oplysningerne er omfattet af vores tavshedspligt, har vi ikke en oplysningsforpligtelse overfor sådanne tredjeparter.

8.10.4 Oplysningspligten indtræder dog i det øjeblik, der ikke længere er et hensyn at tage til tavshedspligten. Vi overvejer løbende, i hvilket omfang man kan undlade at give oplysning med henvisning til sin tavshedspligt.

8.10.5 Det følger af databeskyttelsesforordningens artikel 14, stk. 5, litra b, at oplysningspligten ikke gælder, hvis det vil kræve en uforholdsmæssig stor indsats at opfylde den. Denne undtagelse er i praksis fortolket sådan, at oplysningsforpligtelsen bl.a. ikke omfatter bipersoner. Det kan være navne på læger og diverse øvrige behandlere, samt navne på diverse konsulenter, kolleger, naboer og andre, der måtte indgå i beskrivelsen af sagen, men hvor det eksempelvis er funktionen og ikke personen, der er relevant, og hvor selve personidentiteten ingen betydning har for sagen og heller ikke vil få nogen betydning. Undtagelsen forudsætter dog, at der alene indgår kontaktoplysninger og tilsvarende almindelige Persondata om den/de pågældende.

Optagelse af telefonsamtaler

8.11.1 Debtia optager telefonsamtaler, dog udelukkende indgående opkald, med både debitorer og Kunder. Dette gøres for at dokumentere, om der er indgået en aftale eller hvilken aftale som der er indgået.

Optagede samtaler slettes automatisk efter 30 dage, medmindre Debtia inden for de 30 dage vurderer, at det pågældende opkald eksempelvis kan blive relevant, som dokumentationsbrug for den indgåede aftale eller aftalens indhold, hvorved opkaldet vil blive lagret.

Løbende indsamling og videregivelse af oplysninger

8.11.2 Formålet er at løse Kundens sag – at løse sit opdrag. Vi skal derfor i vores ageren sikre os, at der kun sker indsamling og videregivelse af Persondata i det omfang, indsamlingen/videregivelsen ligger inden for det, som er nødvendigt for at løse Kundens sag.

8.11.3 Når der indsamles Persondata på sagen, skal vi navnlig være opmærksom på, om materialet indeholder Persondata om tredjeparter, som ikke ved, at man behandler Persondata om de pågældende. Det kan udløse pligten til af egen drift at give oplysning til de pågældende om den behandling, der finder sted.

8.11.4 Det er vigtigt, at vi samtidig overvejer nødvendigheden af, at der indgår Persondata om den pågældende tredjemand i sagen. Hvis ikke det er nødvendigt, bør personoplysningen slettes med det samme. Derved undgår man også at skulle forholde sig til oplysningspligt mv.

Sletning - hvornår

8.12.1 Ved afslutning af en sag har vi i princippet ikke længere behov for at behandle Persondata. Opdraget er løst.

8.12.2 En række andre hensyn samt særregler indebærer dog, at Persondata ikke bør eller ikke må slettes førend, der er gået et vist antal år.

8.12.3 Det skal konkret overvejes, hvor længe Persondata opbevares, inden de slettes.

  • Bogføringsreglerne indebærer, at Persondata knyttet til en betaling skal opbevares i 5 år + løbende kalenderår efter regnskabsårets afslutning.
  • Hensynet til, at vi kan varetage vores interesser ved et muligt erstatningsansvar, kan indebære, at sagen bør opbevares i 5 år efter afslutningen af sagen.

8.12.4 Som generel politik (og med mindre andet er angivet i denne Persondatapolitik) skal alle Persondata vedrørende en specifik sag slettes 5 år efter sagens afslutning. Alle oplysninger vedrørende en kunde skal slettes 5 år efter kundeforholdets ophør, idet ikke relevante oplysninger er slettet.

Sletning - hvordan

8.13.1 Det fremgår af IT-sikkerhedstekst ST3 fra Datatilsynet vedrørende sletning af Persondata, at sletning af Persondata i praksis betyder, at Persondata uigenkaldeligt fjernes fra alle lagringsmedier, hvorpå de har været lagret, og at Persondata på ingen måde kan genskabes. Man skal i den forbindelse være opmærksom på alle lagringsmedier – herunder også flytbare medier i form af bærbare computere, USB-nøgler mv., samt back-up.

8.13.2 For at lette sletningsproceduren skal alt fysisk materiale scannes til den elektroniske sag, og dernæst makuleres eller tilbagesendes til kunden.

8.13.3 Derudover skal al korrespondance mv. fra Outlook overføres til den elektroniske sag og slettes i det hele fra Outlook, ligesom alle redegørelser/præsentationer mv. på diverse bærbare medier og lokale drev skal overføres til den elektroniske sag og slettes i øvrigt.

8.13.4 Derved kan den samlede sag til sin tid (efter endt opbevaringsperiode) i det hele blive slettet fra det elektroniske sags system.

8.13.5 I tilfælde hvor alle Persondata om en kunde – og ikke kun en konkret sag – skal slettes, skal den elektroniske formular med Kundens stamoplysninger slettes fra inkassosystemet, ligesom de hertil hørende registreringer vedrørende kunden i alle øvrige systemer skal slettes.

8.13.6 Persondata kan som et alternativ anonymiseres fuldstændigt med den virkning, at de ikke længere kan henføres til en bestemt person. I givet fald finder reguleringen om Persondata slet ikke anvendelse, og fuldstændig anonymisering er derfor et alternativ til sletning. Det er dog vigtigt at holde sig for øje, at anonymisering – som et alternativ til sletning – forudsætter, at man sletter alle spor, der kan lede til den person, oplysningen vedrører. Det er som oftest en meget vanskelig øvelse.

8.13.7 Efter sletning/anonymisering vil vi foretage behørigt krydstjek i form af søgninger på navn/cpr-nr. mv. vedrørende kunden henholdsvis sagen for at sikre, at der ikke kommer noget frem.

IP-adresser og browserindstillinger

8.14.1 I forbindelse med hvert besøg på debtia.dk registreres din computers anvendte IP-adresse og browserindstillinger. Din IP-adresse er adressen på den forbindelse, du anvender til at besøge hjemmesiden. Browserindstillinger er for eksempel den browser type du anvender, browser sprog, tidszone mv. IP-adressen og browserindstillinger registreres for at sikre, at debtia.dk altid kan finde tilbage til den anvendte computer, såfremt der måtte ske misbrug eller ulovligheder i forbindelse med besøget på eller anvendelsen af hjemmesiden. IP-adressen benyttes desuden til at fastslå din omtrentlige lokalisation (på by-niveau).

Demografiske Persondata

8.15.1 I forbindelse med at du foretager opslag af Persondata, herunder personlige Persondata, på debtia.dk logger vi din demografiske placering. Disse Persondata vil blive offentliggjort sammen med de Persondata, du har slået op på din profil.

Debtia kan til enhver tid og uden varsel ændre denne Persondatapolitik med virkning for fremtiden. Ved sådanne ændringer sker der orientering af Debtia’ brugere i forbindelse med brugernes login på Debtia. Debtia’ nye Persondatapolitik vil herefter være gældende for din brug af Debtia.

Hvis du har spørgsmål til nærværende Persondatapolitik, vores behandling af Persondata, berigtigelse eller dit forhold til os i øvrigt, er du velkommen til at rette henvendelse til os på følgende adresse: Debtia A/S, Vestergade 18 E, DK-1456 København K, Danmark, Tlf: +45 44224000, E-mail: kundeservice@debtia.dk, Website: www.debtia.dk

Du har mulighed for at klage til Datatilsynet over Debtia’ indsamling og behandling af dine Persondata:

Datatilsynet
Carl Jacobsens Vej 35
2500 Valby

Telefon 3319 3200
Mail: dt@datatilsynet.dk
www.datatilsynet.dk