REKOMMENDATIONER OM GOD KONKURSFÖRVALTARSED
REKOMMENDATIONER OM GOD KONKURSFÖRVALTARSED
AVSEENDE
BEHANDLING AV PERSONUPPGIFTER (GDPR) I KONKURSÄRENDE
ANTAGNA AV REKON 2019-09-18
INNEHÅLLSFÖRTECKNING
1 ALLMÄNT 4
2 ADVOKATBYRÅNS/FÖRVALTARENS ÅTGÄRDER RESPEKTIVE KONKURS- BOETS VERKSAMHET 4
3 GRUND FÖR BEHANDLING AV PERSONUPPGIFTER I KONKURSER 5
4 INFORMATION TILL DEN REGISTRERADE OM VÅR PERSONUPPGIFTSBEHANDLING 5
5 UTSKICK - E-POST, BREV M M 6
6 PERSONNUMMER 6
7 ADVOKATBYRÅNS HANDLÄGGNINGSÅTGÄRDER 6
7.2 Konkursbeslut 7
7.3 Inledande information 7
7.4 Konkursbouppteckning 7
7.5 Personal 8
7.6 Förvaltarberättelse 9
7.7 Underrättelse enligt 7 kap 16 konkurslagen - brottsanmälan 9
7.8 Halvårsberättelse enligt 7 kap 20 § konkurslagen 10
7.9 Bevakningsförfarande 10
7.10 Avslut av konkursen 11
7.11 Omhändertagande av bokföring 12
8 KONKURSBOETS VERKSAMHET 13
8.1 Allmänt 13
8.2 Indrivning av kundfordringar 13
8.3 Fortsatt drift 13
8.4 Försäljning av konkursboets egendom 14
9 PERSONUPPGIFTSBITRÄDESAVTAL 14
9.1 Allmänt 14
9.2 Innehåll i PUB-avtal 14
10 ÖVRIGT 15
10.1 Lagring av personuppgifter i konkurs 15
10.2 Rätta eller radera personuppgifter 16
10.3 Gallring av personuppgifter 16
BILAGEFÖRTECKNING
BILAGA 4.1 PERSONUPPGIFTSPOLICY BILAGA 4.2 HÄNVISNING TILL HEMSIDA
1 ALLMÄNT
1.1 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan benämnd EU:s dataskyddsförordning eller GDPR, trädde ikraft den 25 maj 2018 i samtliga EU:s medlemsstater.
1.2 Kompletterande regler har införts i Sverige genom lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning
1.3 Sveriges Advokatsamfund har genom cirkulär nr 6/2018 gett ut Vägledning för tillämpningen av EU:s dataskyddsförordning i advokatverksamhet.
1.4 Rekonstruktörs- och konkursförvaltarkollegiet i Sverige (REKON) har tagit fram dessa rekommendationer om god sed såvitt avser behandling av personuppgifter vid konkursförvaltning.
1.5 Det bör observeras att vid övervägande av ett visst handlingssätt såvitt avser behandling av personuppgifter ska alltid de krav som ställs av god advokatsed uppfyllas. Krav som ställs av god advokatsed äger företräde framför dessa rekommendationer.
1.6 Dessa rekommendationer kan komma att förändras genom lagstiftning, rättspraxis och framtida revideringar.
2 ADVOKATBYRÅNS/FÖRVALTARENS ÅTGÄRDER RESPEKTIVE KONKURS- BOETS VERKSAMHET
2.1 Man behöver skilja mellan advokatens åtgärder i egenskap av företrädare för advokatbyrån, respektive som förvaltare och företrädare för konkursboet. När det gäller det förstnämnda är det, i likhet med Sveriges Advokatsamfund, REKON:s uppfattning att det i normalfallet är advokatbyrån som är personuppgiftsansvarig för den behandling av personuppgifter som förekommer inom ramen för uppdragen. Kärnan i advokatens och förvaltarens uppdrag är inte behandling av personuppgifter i sig utan tillhandahållande av professionell juridisk expertis som, beroende på uppdragets karaktär, kan innefatta behandling av personuppgifter i större eller mindre omfattning. Det är därför också normalt advokatbyrån som bestämmer ändamålet med och medlen för behandlingen. Advokatens oberoende ställning skulle dessutom äventyras om advokaten skulle anses ha ställning som personuppgiftsbiträde beträffande personuppgiftsbehandlingen. Det är också vedertaget att det är advokatbyrån som i normalfallet är personuppgiftsansvarig. REKON anser därför inte att förvaltaren personligen är ansvarig för behandlingen av personuppgifter inom ramen för konkursuppdraget.
2.2 Behandling av personuppgifter vid konkurs sker regelmässigt såväl inom förvaltarens allmänna åtgärder i konkursärendet som i konkursboets verksamhet. I det förstnämnda
fallet är det advokatbyrån som är personuppgiftsansvarig. Såvitt avser konkursboets verksamhet är det dock konkursboet som är personuppgiftsansvarigt. Detta innebär att konkursförvaltaren ska hantera dataskyddsfrågorna för boets räkning.
2.3 Avgränsningen för vad som är konkursboets verksamhet och vad som är åtgärder i konkursärendet som åvilar advokatbyrån (i dataskyddsrättsligt hänseende) är inte tydlig. Rekommendationerna bygger på utgångspunkten att fortsatt drift, indrivning av kundfordringar, återvinning och försäljning av tillgångar är att betrakta som konkursboets verksamhet. Detta synsätt har också stöd i Sveriges Advokatsamfund cirkulär nr 6/2018 (se punkten 1.3 ovan). En bedömning bör dock göras i varje enskild konkurs och vid varje handläggningsåtgärd.
2.4 I det fallet fler än en förvaltare utses eller om ett allmänt ombud ska delta i konkursförvaltningen ska förvaltarna och/eller det allmänna ombudet snarast samråda för att säkerställa en lämplig ansvarsfördelning för hantering av GDPR-frågor.
3 GRUND FÖR BEHANDLING AV PERSONUPPGIFTER I KONKURSER
(a) att fullgöra de rättsliga förpliktelserna som konkursförvaltare har enligt konkurslagen och annan i konkursärendet tillämplig lagstiftning och rättsfallspraxis,
(b) att fullgöra god advokat-, förvaltar- och bokföringssed.
(c) att fullgöra avtal inom ramen för konkursen,
(d) att utföra en uppgift som ett led i den personuppgiftsansvariges myndighetsutövning, eller för
(e) att tillvarata intresset hos borgenärerna och övriga intressenter i konkursen om detta väger tyngre än den registrerades intressen.
3.2 Annan behandling av personuppgifter än enligt ovanstående grunder bör inte göras.
3.3 Konkursförvaltare bör i varje enskilt fall överväga om en personuppgift är nödvändig att behandla samt om det föreligger en tillämplig grund enligt punkten 3.1 för att behandla denna. Saknas grund för behandling av personuppgiften ska den inte behandlas.
4 INFORMATION TILL DEN REGISTRERADE OM KONKURSFÖRVALTARENS PERSONUPPGIFTSBEHANDLING
kontaktytor med personen. Det ska dock beaktas att informationen enligt GDPR ska lämnas med viss skyndsamhet. Information bör också finnas på advokatbyråns hemsida som en del av advokatbyråns personuppgiftspolicy. Exempel på sådan personuppgiftspolicy framgår av bilaga 4.1.
4.2 I konkursdokument bör hänvisning ske till personuppgiftspolicyn på advokatbyråns hemsida. Texten bör anpassas till respektive dokument. Exempel på sådan hänvisning framgår av bilaga 4.2.
5 UTSKICK - E-POST, BREV M M
5.1 Konkursdokument m m kan som huvudregel skickas via e-post. Undantag gäller för s k känsliga personuppgifter. Känsliga personuppgifter är:
”Med känsliga uppgifter avses sådana personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening samt behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning.”
5.2 Konkursdokument innehållande känsliga personuppgifter ska skickas via sedvanlig post.
5.3 Kommunikation med Jurist- och Konkurstillsynsenheten sker oftast genom deras IT- system (Kontiki). Inloggning sker genom bank-ID. Detta är att jämställa med sedvanlig post.
6 PERSONNUMMER
Personnummer utgör inte känsliga personuppgifter enligt dataskyddsförordningen. Behandling av personnummer utan samtycke får dock bara göras om det är klart motiverat med hänsyn till ändamålet, vikten av en säker identifiering eller något annat beaktansvärt skäl. Personnummer ska alltså inte behandlas slentrianmässigt utan endast när det krävs för att skilja en individ från en annan.
7 ADVOKATBYRÅNS HANDLÄGGNINGSÅTGÄRDER
7.1 Allmänt
7.2 Konkursbeslut
7.2.1 Förekomst av personuppgifter
Xxxxx genom att advokatbyrån registrerar en ny konkurs i sitt dokumenthanteringssystem kommer personuppgifter att behandlas. Det rör sig om själva konkursgäldenären i vissa fall, men även uppgifter om ställföreträdare och revisor med mera.
7.2.2 Grund för behandlingen
Grunden för advokatbyråns behandling av personuppgifter som är knutna till konkursbeslutet och tillhörande handlingar är att det är nödvändigt för att konkursförvaltaren ska kunna fullgöra sina rättsliga förpliktelser. Dessa följer i sin tur av förordnandet som konkursförvaltare enligt konkurslagen.
7.2.3 Information till de registrerade
När kontakt tas med konkursgäldenären bör i brev/e-post hänvisning finnas till advokatbyråns personuppgiftspolicy samt att policyn hittas på hemsidan. Exempel på hur denna information kan se ut framgår av domstolarnas utskick om personuppgiftsbehandling i domstolarnas mål.
7.3 Inledande information
7.3.1 Förekomst av personuppgifter
I den inledande informationen finns oftast personuppgifter.
7.3.2 Grund för behandlingen
Grunden för advokatbyråns behandling av personuppgifter är att det är nödvändigt för att konkursförvaltaren ska kunna fullgöra sina rättsliga förpliktelser. Dessa följer i sin tur av förordnandet som konkursförvaltare enligt konkurslagen.
7.3.3 Information till de registrerade
Den inledande informationen bör innehålla en uppgift om att advokatbyrån behandlar personuppgifter som framgår av handlingen och hänvisning bör ske till advokatbyråns personuppgiftspolicy samt att policyn hittas på hemsidan.
7.4 Konkursbouppteckning
7.4.1 Förekomst av personuppgifter
Konkursbouppteckningen innehåller en stor mängd personuppgifter, till exempel uppgifter om ställföreträdare, revisorer, anställda, kunder, leverantörer med flera.
7.4.2 Grund för behandlingen
Grunden för advokatbyråns behandling av personuppgifter som är knutna till konkursbouppteckningen är att det är nödvändigt för att konkursförvaltaren ska kunna fullgöra sina rättsliga förpliktelser. Konkursförvaltaren är enligt konkurslagen skyldig att upprätta konkursbouppteckning.
7.4.3 Information till de registrerade
7.4.4 E-post
Om inte konkursbouppteckningen innehåller känsliga uppgifter så kan konkursbouppteckningen skickas via e-post.
7.5 Personal
7.5.1 Förekomst av personuppgifter
Hantering av uppsägningar, lönegaranti m m innehåller personuppgifter. Uppgifterna är dessutom ofta av känslig natur, till exempel kan de innehålla uppgifter om facktillhörighet, sjukskrivning m m.
7.5.2 Grund för behandlingen
Grunden för advokatbyråns behandling av personuppgifter som är knutna till personal är att det är nödvändigt för att konkursförvaltaren ska kunna fullgöra sina rättsliga förpliktelser. Konkursförvaltaren är enligt konkurslagen m.fl. lagar skyldig att hantera uppsägningar, lönegaranti etc.
7.5.3 Information till de registrerade
Uppsägningshandlingen bör innehålla uppgift om att advokatbyrån behandlar den anställdes personuppgifter. Vid efterföljande lönegarantibeslut behöver ytterligare information inte lämnas.
I den mån den anställde redan är uppsagd och det bara blir fråga om lönegarantibeslut och inte uppsägning så bör lönegarantibeslutet åtföljas av information om personuppgiftsbehandling.
7.5.4 E-post
Uppsägningshandling kan skickas via e-post. Eftersom lönegarantibeslut ofta innehåller känsliga personuppgifter bör lönegarantibeslut som rutin skickas per post.
7.6 Förvaltarberättelse
7.6.1 Förekomst av personuppgifter
Förvaltarberättelsen innehåller ofta personuppgifter. Särskilt övervägande bör göras om personuppgifter behöver anges.
7.6.2 Grund för behandlingen
Grunden för advokatbyråns behandling av personuppgifterna i förvaltarberättelsen är att det är nödvändigt för att konkursförvaltaren ska kunna fullgöra sina rättsliga förpliktelser. Konkursförvaltare är enligt konkurslagen skyldiga att upprätta förvaltarberättelse.
7.6.3 Information till de registrerade
Förvaltarberättelsen bör innehålla en uppgift om att advokatbyrån behandlar personuppgifter som framgår av förvaltarberättelsen och hänvisning bör ske till advokatbyråns personuppgiftspolicy samt att policyn hittas på hemsidan. I de fall personuppgifterna redan har behandlats av advokatbyrån och information lämnats eller information inte lämnats med stöd av punkten 4.2.1 bör hänvisningen till hemsidan vara tillräcklig. Alternativt bör information lämnas till den registrerade.
7.6.4 E-post
Förvaltarberättelsen kan skickas via e-post. Undantag gäller om förvaltarberättelsen innehåller känsliga personuppgifter. I sådant fall ska den skickas via post.
7.7 Underrättelse enligt 7 kap 16 konkurslagen - brottsanmälan
7.7.1 Förekomst av personuppgifter
Underrättelsen enligt 7 kap 16 § konkurslagen är en anmälan om misstanke om brott (samt fråga om ev. näringsförbud). Denna innehåller regelmässigt personuppgifter.
7.7.2 Grund för behandlingen
Grunden för advokatbyråns behandling av personuppgifterna i underrättelsen enligt 7 kap 16 § konkurslagen är att det är nödvändigt för att konkursförvaltaren ska kunna fullgöra sina rättsliga förpliktelser. Behandlingen av eventuella uppgifter om lagöverträdelser är tillåten enligt 5 § Förordning (2018:219) med kompletterande bestämmelser till EU:s dataskyddsförordning för att konkursförvaltarens rättsliga förpliktelser enligt konkurslagen ska kunna fullgöras. Konkursförvaltare är enligt konkurslagen skyldiga att göra undersökningar om viss typ av brottslighet förekommit samt att anmäla misstankar om brott Ekobrottsmyndigheten.
7.7.3 Information till de registrerade
Brottsanmälningar omfattas av sekretess enligt offentlighets– och sekretesslagen (2009:400). Information får därför inte enligt artikel 14 (5) (d) dataskyddsförordningen lämnas till den registrerade.
7.7.4 E-post
Underrättelsen enligt 7 kap 16 § konkurslagen ska skickas via post.
7.8 Halvårsberättelse enligt 7 kap 20 § konkurslagen
7.8.1 Förekomst av personuppgifter
Halvårsberättelsen innehåller ofta men inte alltid personuppgifter. Särskilt övervägande bör göras om personuppgifter behöver anges.
7.8.2 Grund för behandlingen
Grunden för advokatbyråns behandling av personuppgifter i halvårsberättelsen är att det är nödvändigt för att konkursförvaltaren ska kunna fullgöra sina rättsliga förpliktelser. Konkursförvaltare är enligt konkurslagen skyldiga att upprätta halvårsberättelse. Det bör dock observeras att det inte alltid är nödvändigt att ange personuppgifter i halvårsberättelsen.
7.8.3 Information till de registrerade
Halvårsberättelsen bör innehålla en uppgift om att advokatbyrån behandlar personuppgifter som framgår av halvårsberättelsen och hänvisning bör ske till advokatbyråns personuppgiftspolicy samt att policyn hittas på hemsidan. I de fall personuppgifterna redan har behandlats av advokatbyrån och information lämnats eller information inte lämnats till den registrerade med stöd av punkten 4.2.1 bör hänvisningen till advokatbyråns hemsida vara tillräcklig. Alternativt bör information lämnas till den registrerade.
7.8.4 E-post
Halvårsberättelsen kan skickas via e-post. Undantag gäller om den innehåller känsliga personuppgifter. I sådant fall ska den skickas via post.
7.9 Bevakningsförfarande
7.9.1 Förekomst av personuppgifter
I ett bevakningsförfarande förekommer personuppgifter.
7.9.2 Grund för behandlingen
Grunden för advokatbyråns behandling av personuppgifterna knutna till bevakningsförfarandet är att det är nödvändigt för att konkursförvaltaren ska kunna fullgöra sina rättsliga förpliktelser. Konkursförvaltare är enligt konkurslagen skyldiga att hantera bevakningsförfarandet genom upprättande av bevakningsförteckning, anmärkningsskrift m m.
7.9.3 Information till de registrerade
Bevakningsförteckning och andra handlingar i bevakningsförfarandet bör innehålla en uppgift om att advokatbyrån behandlar personuppgifter som framgår av respektive dokument och hänvisning bör ske till advokatbyråns personuppgiftspolicy samt att policyn hittas på hemsidan. I de fall personuppgifterna redan har behandlats av advokatbyrån och information lämnats eller information inte lämnats med stöd av punkten 4.2.1 bör hänvisningen till advokatbyråns hemsida vara tillräcklig. Alternativt bör information lämnas till den registrerade.
7.9.4 E-post
Bevakningsförteckning och anmärkningsskrift kan skickas via e-post. Undantag görs för dokument innehållande känslig personuppgift.
7.10 Avslut av konkursen
7.10.1 Förekomst av personuppgifter
Avslut av konkursen innehåller oftast följande dokument:
(a) Följebrev (framställan om arvode)
(b) Arbetsredogörelse
(c) Slutredovisning
(d) Förvaltningsredogörelse
(e) Utdelningsförslag
(f) Redogörelse för brottsefterforskning
I avslutshandlingarna kommer advokatbyrån regelmässigt att behandla personuppgifter.
7.10.2 Grund för behandlingen
Grunden för advokatbyråns behandling av personuppgifterna knutna till konkursens avslut är att det är nödvändigt för att konkursförvaltaren ska kunna fullgöra sina rättsliga förpliktelser. Konkursförvaltare är enligt konkurslagen skyldiga att hantera avslutet av konkursen genom upprättande av ovannämnda dokument.
7.10.3 Information till de registrerade
Information bör lämnas i följebrev om att advokatbyrån behandlar de personuppgifter som finns i de bilagda dokumenten, samt bör det även lämnas en hänvisning till advokatbyråns personuppgiftspolicy samt att policyn hittas på hemsidan.
7.10.4 E-post
Avslutshandlingarna kan skickas via e-post.
7.11 Omhändertagande av bokföring
7.11.1 Förekomst av personuppgifter
Konkursgäldenärens bokföring innehåller personuppgifter.
7.11.2 Grund för behandlingen
Grunden för advokatbyråns behandling av personuppgifterna knutet till bokföringen är att det är nödvändigt för att konkursförvaltaren ska kunna fullgöra sina rättsliga
förpliktelser. Konkursförvaltare är enligt konkurslagen skyldiga att omhänderta bokföringen.
7.11.3 Information till de registrerade
Att lämna information till alla vars personuppgifter må finnas i konkursgäldenärens bokföring skulle medföra en oproportionell ansträngning. I de allra flesta fall bör inte de registrerades intressen väga så tungt att borgenärerna i konkursen ska behöva tåla den kostnadsbörda som skulle uppkomma om sådan information skulle lämnas (se punkten 4.2.1). Som huvudregel bör därför inte någon information lämnas.
7.11.4 E-post
Digitala filer med bokföring kan skickas via e-post. Undantag gäller för känsliga personuppgifter.
8 KONKURSBOETS VERKSAMHET
8.1 Allmänt
8.1.1 Som nämnts ovan bygger dessa rekommendationer på utgångspunkten att fortsatt drift, indrivning av kundfordringar, återvinning och försäljning av tillgångar är att betrakta som konkursboets verksamhet.
8.1.2 Personuppgifter kommer troligtvis hanteras i konkursboets IT-miljö. Om konkursgäldenären har upprättade rutiner i överensstämmelse med GDPR så behöver vidare åtgärder inte vidtas. Om så inte är fallet bör antingen hanteringen av personuppgifter flyttas till advokatbyråns miljö eller så bör konkursboets verksamhet anpassas till GDPR. Det kan också bli fråga om en kombination av dessa alternativ utifrån vad som är mest ändamålsenligt och kostnadseffektivt.
8.2 Indrivning av kundfordringar
Första kravbrevet bör innehålla uppgifter om att konkursboet behandlar personuppgifter. Det bör också finnas en hänvisning till advokatbyråns personuppgiftspolicy samt att policyn hittas på hemsidan.
8.3 Fortsatt drift
8.3.1 Förekomst av personuppgifter
Under fortsatt drift är det troligt att personuppgifter behandlas t ex uppgifter om kunder, leverantörer med flera.
8.3.2 Grund för behandlingen
Grunden för konkursboets behandling av personuppgifter som är knutna till den fortsatta driften är att det är nödvändigt för att konkursboet ska kunna fullgöra sina förpliktelser enligt konkurslagen alternativt för att fullgöra avtal inom ramen för konkursen.
8.3.3 Information till de registrerade
Personalen bör vid fortsatt drift informeras av konkursboet vilken behandling av personuppgifter som får ske och på vilket sätt den registrerade skall informeras. Information kan t ex ske genom att i personalens korrespondens med kunder, leverantörer m fl lämnas en hänvisning till advokatbyråns personuppgiftspolicy samt att policyn hittas på hemsidan. Hänvisningen kan t.ex. göras genom införande av en signatur i personalens e-postmeddelande eller i en bilaga till deras e-postmeddelanden.
Kundfakturor bör förses med en hänvisning till advokatbyråns personuppgiftspolicy samt att policyn hittas på hemsidan.
8.4 Försäljning av konkursboets egendom
8.4.1 Konkursgäldenären har ofta en stor mängd personuppgifter t ex kundregister. Köpare av konkursboets egendom är ofta intresserad av att förvärva kundregistret.
8.4.2 Behandlingen av personuppgifterna i konkursgäldenären kan vara korrekt utförd enligt GDPR. Om så inte är fallet bör, vid en intresseavvägning mellan borgenärernas intresse att erhålla så stor utdelning i konkursen som möjligt och de registrerades intressen, i de allra flesta fall inte brister vid konkursgäldenärens behandling av personuppgifter innebära hinder för en försäljning så länge förvärvaren av personuppgifterna inte behandlar uppgifterna för ett ändamål som är oförenligt med det ursprungliga ändamålet.
8.4.3 Vid försäljning bör en klausul införas enligt vilket köparen åtar sig:
8.4.3.1 att informera de registrerade om att köparen övertagit personuppgiftsansvaret,
8.4.3.2 att behandla uppgifterna i enlighet med tillämplig integritetsskyddslagstiftning
8.4.3.3 att inte använda personuppgifterna för något annat ändamål än för det ändamål säljaren använt personuppgifterna, och
8.4.3.4 att om någon registrerad utan konkursboets vetskap har begärt att få bli raderad från register som ingår i överlåtelsen att radera den registrerade från alla register som den registrerade ingår i.
9 PERSONUPPGIFTSBITRÄDESAVTAL
9.1 Allmänt
Advokatbyrån/Konkursboet anlitar regelmässigt hjälp externt för t.ex. omhändertagande av bokföring, försäljning av konkursegendom etc. I dessa fall bör ett personuppgiftsbiträdesavtal (PUB-avtal) ingås.
9.2 Innehåll i PUB-avtal
9.2.1 Avtalet ska uppfylla kraven i artikel 28 i EU:s dataskyddsförordning och bör därmed innehålla:
(a) Instruktioner om vilken behandling av personuppgifter som får ske till exempel ändamål av behandling, varaktighet, typ av behandling
(b) Att säkerhetsåtgärder ska vidtas till exempel IT-tekniska åtgärder
(c) Att sekretess ska gälla
(d) Att inga underbiträden får anlitas utan godkännande
(e) Att personuppgiftsbiträdet ska vara skyldigt att biträda den personuppgiftsansvarige när registrerad begär någon åtgärd
(f) Att personuppgiftsbiträdet ska vara skyldigt att biträda den personuppgiftsansvarige vid personuppgiftsincidenter
(g) Exit-hantering, t ex återlämnande, radering eller dylikt
(h) Audit-möjlighet måste finnas för den personuppgiftsansvarige
9.2.2 PUB-avtalet bör utformas med utgångspunkt från omständigheterna i det enskilda fallet. En viktig omständighet är vilket uppdrag personuppgiftsbiträdet ska ha. Är uppdraget sådant att det återkommer från konkurs till konkurs och ter sig i huvudsak likadant i varje konkurs så bör det kunna ingås ett PUB-avtal av karaktären ramavtal, d.v.s. i sådana fall bör advokatbyrån kunna avropa tjänster efterhand som behov uppstår.
9.2.3 I andra fall till exempel vid anlitande av biträde för försäljning av konkursegendom bör avtalet utformas som ett avtal för just det uppdraget och inte som ett ramavtal.
9.2.4 Anlitande av till exempel revisor för granskning av bokföring bör inte föranleda krav på att ett PUB-avtal behöver upprättas. I ett sådant fall blir revisorn själv att anse som personuppgiftsansvarig.
10 ÖVRIGT
10.1 Lagring av personuppgifter i konkurs
10.1.1 Alla dokument av vad slag det vara må innehållande personuppgifter i konkurs ska lagras i advokatbyråns dokumenthanteringssystem. Detta innebär att e- postmeddelanden ska föras in i respektive digitala akt och får inte ligga kvar i Outlook- postlådan.
10.1.2 Fysiska dokument ska läggas i en för varje konkurs upplagd fysisk akt.
10.2 Rätta eller radera personuppgifter
10.2.1 Den registrerade har med vissa begränsningar rätt att begära att få sina personuppgifter rättade eller raderade, såvida det inte visar sig vara omöjligt eller skulle medföra en oproportionell ansträngning [eller kostnad] att rätta eller radera personuppgiften.
10.2.2 Om personuppgifter som konkursboet eller advokatbyrån är ansvariga för inte stämmer ska dessa också utan förfrågan rättas eller raderas, såvida det inte visar sig vara omöjligt eller skulle medföra en oproportionell ansträngning [eller kostnad] att rätta eller radera personuppgiften.
10.3 Gallring av personuppgifter
Enligt Sveriges advokatsamfunds regler har advokatbyrån en arkiveringsskyldighet vilket innebär att akter skall sparas i tio år. Efter tio år ska akten som huvudregel destrueras.
BILAGA 4.1 PERSONUPPGIFTSPOLICY I KONKURSER
KONKURSFÖRVALTNING
Inledning
XXX har advokater som åtar sig arbete som konkursförvaltare och som i den verksamheten beaktar reglerna rörande behandling av personuppgifter.
Konkursförvaltaren särskiljer mellan den behandling av personuppgifter som sker inom ramen för advokatfirmans normala verksamhet och den behandling som sker inom ramen för konkursboets verksamhet. Konsekvensen av en sådan uppdelning är att det kan bli fråga om två olika personuppgiftsansvariga i konkursärenden.
Denna del av personuppgiftspolicyn beskriver hur XXXX och konkursboet behandlar dina personuppgifter i konkursärenden. Konkursboet och XXXX kommer i alla lägen se till att personuppgifter behandlas på ett lagenligt och korrekt sätt.
XXXX och konkursboet benämns gemensamt i denna del, av personuppgiftspolicyn, för ”vi”, ”vår”, ”vårt” och ”oss”.
Personuppgiftsbehandling vid konkurshanteringen Vem ansvarar för dina personuppgifter?
Advokatfirmans normala verksamhet
XXXX är personuppgiftsansvarig för dina personuppgifter som konkursförvaltaren behandlar i sin roll som förvaltare, dvs. inom ramen för XXXX normala advokatverksamhet. XXXX ansvarar för att sådan behandling sker i enlighet med gällande dataskyddsbestämmelser.
Konkursboets verksamhet
Konkursboet är personuppgiftsansvarig för dina personuppgifter som konkursförvaltaren behandlar inom ramen för konkursboets verksamhet och i egenskap av dess företrädare. Konkursboet ansvarar för att sådan behandling sker i enlighet med gällande dataskyddsbestämmelser.
Vilka personer behandlar vi personuppgifter om?
Vi behandlar personuppgifter om följande kategorier av personer:
• Ställföreträdare, dvs. de fysiska personer som är företrädare för juridiska personer som gått i konkurs.
• Fysiska konkursgäldenärer, dvs. fysiska personer som gått i konkurs.
• Borgenärer, dvs. fysiska personer som är företrädare för eller fysiska personer som är borgenärer.
• Gäldenärer, dvs. fysiska personer som är företrädare för gäldenärer eller fysiska personer som är gäldenärer och som har skulder till konkursgäldenären.
• Aktieägare, dvs. de fysiska personer som äger aktier i konkursbolaget eller fysiska personer som är företrädare för aktieägare.
• Anställda, dvs. fysiska personer som är anställda av konkursgäldenären.
• Borgensmän, dvs. fysiska personer som har ett borgensåtagande.
• Kunder, dvs. fysiska personer som är eller företrädare för konkursgäldenärens eller konkursboets kunder.
• Leverantörer, dvs. fysiska personer som är företrädare för konkursgäldenärens eller konkursboets leverantörer av diverse tjänster, exempelvis auktionstjänster.
• Revisorer eller redovisningskonsulter, dvs. fysiska personer som är revisorer eller redovisningskonsulter
• Staten, dvs. fysiska personer som är företrädare för staten, exempelvis kontaktpersoner på Kronofogdemyndigheten, Skatteverket eller tillsynsmyndigheten.
• Bank, dvs. fysiska personer som är företrädare för banker.
• Tredje part, dvs. fysiska personer som har egendom i konkursgäldenärens besittning (ej separationsgods), samt
• Familjemedlemmar, dvs. fysiska personer som exempelvis är förälder, syskon m.m. till någon part.
Vilka personuppgifter behandlar vi om dig?
Vi kan komma att behandla följande personuppgifter om dig:
• Namn,
• Personnummer,
• Kontaktuppgifter, såsom adress, e-postadress och telefonnummer,
• Fastighetsbeteckning,
• Registreringsnummer för fordon,
• IP-nummer,
• Bankuppgifter,
• Löneuppgifter,
• Facklig tillhörighet,
• Hälsouppgifter, samt
• Annan för ärendet relevant information som framkommer i det enskilda fallet.
Varför och enligt vilken rättslig grund behandlar vi dina personuppgifter?
För att kunna ingå, hantera och fullfölja avtal med dig som borgenär, gäldenär, leverantör, kund, revisor eller redovisningskonsult, anställd eller bank inhämtar och behandlar vi personuppgifter om dig. Den lagliga grunden för vår behandling av dina personuppgifter är att den är nödvändig för att fullgöra avtal med dig eller för att vidta åtgärder innan ett sådant avtal ingås.
För det fall du är företrädare eller kontaktperson för någon av ovan nämnda kategorier av registrerade är den lagliga grunden för vår behandling av personuppgifter om dig en intresseavvägning, dvs. att behandlingen är nödvändig för ett ändamål som rör vårt berättigade intresse av att upprätthålla och fullfölja åtaganden i avtalsrelationer. Om du inte lämnar ovan nämnda personuppgifter har vi inte möjlighet att fullgöra åtaganden gentemot dig eller den organisation du representerar.
Vissa personuppgifter kan också behandlas på grund av att vi har en rättslig förpliktelse att fullfölja, exempelvis personuppgifter till följd av konkursboets bokföringsskyldighet, skyldighet att upprätta konkursbouppteckning eller andra skyldigheter som åvilar oss enligt lag.
I syfte att utföra uppdraget som konkursförvaltare att tillse att konkursboet sköts på ett korrekt sätt och enligt det uppdrag som getts konkursförvaltaren kan personuppgifter komma att inhämtas och behandlas på grund av att behandling är nödvändig för att utföra en uppgift av allmänt intresse. Exempelvis åvilar det konkursförvaltaren, som företrädare för konkursboet, att tillse att borgenärer till konkursgäldenären inte blir missgynnade och fördelning av eventuella tillgångar sker på ett korrekt sätt.
Vidare inhämtar och behandlar XXXX personuppgifter tillhörande dig i syfte att utföra det uppdrag som givits en konkursförvaltare hos XXXX. Behandlingen är nödvändig för att
utföra en uppgift av allmänt intresse eller som ett led i den myndighetsutövning som hanteringen av konkursärenden kan innefatta. Exempelvis kan det röra sig om lönegarantibeslut avseende anställda hos konkursgäldenären.
Hur länge sparar vi dina personuppgifter?
Vi lagrar aldrig uppgifter längre än nödvändigt med hänsyn till ändamålen med behandlingen. Vi genomför därför regelbundna gallringar bland lagrade personuppgifter och tar bort de uppgifter som inte längre behövs.
Vi kommer behöva lagra personuppgifterna under en längre period, bland annat för att administrera eventuella garantier, reklamationsfrister, för att följa lagkrav, myndighetsbeslut samt hantera rättsliga krav som kan tänkas riktas mot XXXX, konkursgäldenären och konkursboet. Vi kan komma att spara personuppgifter i upp till 10 år i enlighet med advokatsamfundets riktlinjer.
Vem har tillgång till dina uppgifter?
Dina personuppgifter kan komma att lämnas ut till och behandlas av tredje part. Det kan röra sig om koncernbolag, tjänsteleverantörer, andra juridiska rådgivare, revisorer, konsulter, myndigheter etc. Exempel på situationer när dina personuppgifter kan komma att överföras till tredje part är när sådan åtgärd krävs med anledning av lag, tvist, myndighetsförfrågan eller beslut, efter egen begäran alternativt när det krävs för uppfyllelse av ett för oss berättigat intressen.
Var lagrar vi dina personuppgifter?
Vi kan komma att behandla dina personuppgifter både inom och utanför EU/EES. Vi kommer och måste vidta nödvändiga åtgärder för att säkerställa att överföringen sker på ett lagligt sätt och uppgifter fortsätter vara skyddade av de mottagande parterna utanför EU/EES.
Vad har du som registrerad för rättigheter?
Vad som anges i avsnitt x gäller även vid personuppgiftsbehandling i konkursärenden.
Kontakta XXXX eller konkursboet
Vid frågor eller vid andra önskemål avseende personuppgifter i konkurser vänligen kontakta XXXX kontaktperson avseende personuppgiftshantering, se avsnitt x för kontaktuppgifter.
COOKIES
När du besöker XXXX.xxx använder vi cookies. Du hittar mer information om hur XXXX behandlar cookies i XXXX:s cookiepolicy.
Notera att om du väljer att inte acceptera cookies kommer du inte att kunna använda alla funktioner på webbplatsen.
PROFILERING
XXXX kan behandla dina personuppgifter genom profilering såsom analys om hur du använder vår webbplats. Du kan närsomhelst invända mot behandling av personuppgifter genom profilering. Detta gäller dock inte om sådan behandling är nödvändig för ingående eller fullgörande av avtal med dig eller om sådan behandling är tillåten enligt tillämplig lagstiftning.
ANVÄNDNING AV EPOST
XXXX kommer i sin kommunikation i ärendet – såväl med klienten och dennes företrädare och kontaktpersoner som med domstolar, myndigheter och andra med vilka vi enligt punkterna xxxx ovan kan behöva överföra personuppgifter till – att använda okrypterad epostkommunikation om inte särskilda skäl föreligger däremot eller om du meddelar att du inte godkänner att okrypterad epostkommunikation används.
VAD HAR DU SOM REGISTRERAD FÖR RÄTTIGHETER?
Rätt till tillgång
Du har rätt att vända dig till XXXX i egenskap av personuppgiftsansvarig och begära tillgång till de personuppgifter som vi behandlar, samt begära information om bland annat ändamålen med behandlingen och vilka som mottagit personuppgifterna. XXXX kommer i egenskap av personuppgiftsansvarig att förse dig med kostnadsfri kopia på de personuppgifter som behandlas. Vid eventuella extra kopior kan XXXX komma att ta ut en administrationsavgift.
Rätt till rättelse
Du har rätt att utan onödigt dröjsmål få dina personuppgifter rättade eller, under vissa förutsättningar begränsade. Om du anser att XXXX behandlar personuppgifter om dig som är felaktiga eller ofullständiga kan du kräva att få dessa rättade eller kompletterade.
Rätt till radering
Du har även rätt att få dina uppgifter raderade bland annat om de inte längre är nödvändiga för ändamålet eller om behandlingen av dem baseras på samtycke och detta har återkallats. Det kan dock finnas lagkrav eller avtalsförhållande som gör att vi inte kan radera dina personuppgifter.
Rätt att invända
Som registrerad har du rätt att när som helst invända mot behandling av dina personuppgifter om den lagliga grunden för behandlingen utgörs av intresseavvägning. Du som registrerad har även rätt att när som helst invända mot behandling av dina personuppgifter om dessa behandlas för direkt marknadsföring.
Rätt till dataportabilitet
Som registrerad har du rätt att få ut de personuppgifter som du tillhandahållit XXXX som personuppgiftsansvarig och har rätt att överföra dessa uppgifter till en annan personuppgiftsansvarig (dataportabilitet). Detta gäller dock under förutsättning att det är tekniskt möjligt och att behandlingen varit nödvändig för fullgörande av avtal.
Rätt att lämna in klagomål
Om du är missnöjd med hur vi behandlat dina personuppgifter ber vi dig att kontakta oss, se våra kontaktuppgifter i avsnitt x. Du har även rätt att ge in ett klagomål på vår personuppgiftsbehandling till:
Datainspektionen
Box 8114 104 20 Stockholm xxxxxxxxxxxxxxxx@xxxxxxxxxxxxxxxx.xx
ÄNDRINGAR AV POLICYN
XXXX förbehåller sig rätten att ändra och uppdatera denna policy. Vid materiella ändringar i policyn eller om befintlig information ska behandlas på annat sätt än vad som anges i policyn, kommer XXXX informera om detta på lämpligt sätt.
KONTAKTA XXXX
Vid frågor eller vid andra önskemål avseende personuppgifter vänligen kontakta XXXX kontaktperson avseende personuppgiftshantering:
Kontaktuppgifter:
Namn: Adress:
Telefonnummer:
E-postadress:
HÄNVISNING I KONKURSDOKUMENT TILL PERSONUPPGIFTSPOLICY
XXXX Advokatbyrå och konkursboet behandlar de personuppgifter som används i XXXXXXXXXX. För mer information om XXXXX Advokatbyrås och konkursboets behandling av personuppgifter se vår personuppgiftspolicy på XXXXX Advokatbyrås hemsida, xxx.XXXX.xx.