Ett av de första tecknen på att marknaden börjar gå mot sämre tider är att ens kunder tenderar att ta längre tid på sig att betala och att antal fordringar ökar.

Har man inte haft så stora utmaningar med obetalda fakturor tidigare så är det ofta svårt att veta hur man ska agera. Bara att ringa och påminna kan kännas obekvämt, och än mer avlägset att koppla på inkasso eller skicka ett kravbrev.

Orsaken till denna osäkerhet grundar sig allt som oftast i en rädsla att förlora en god kundrelation. Istället väntar man, hoppas på det bästa, eller på sin höjd skickar ett försiktigt mejl.

Det vi på Freja Partner med bestämdhet kan säga är att det aldrig är fel att följa upp en förfallen faktura, ju förr desto bättre. Genom att ha tydliga rutiner på hur man agerar vid en förfallen faktura påvisar man snarare ett gott affärsmannaskap än att det skulle leda till sämre kundrelationer. För de flesta är det också avgörande att få betalt i tid för att man själv ska kunna betala sina egna fakturor. Att agera för sent tenderar ofta att skapa negativa likviditetsspiraler.

Med det sagt så finns det givetvis olika sätt att gå tillväga. Förenklat kan man dela in processen i fyra segment:

1. Påminnelse

2. Inkassokrav

3. Betalningsföreläggande till KFM

4. Stämning

Vilket steg som är rätt att ta varierar från fall till fall, beroende på omständigheter såsom förseningstid och belopp. Man bör även kontrollera om det ligger andra hinder till grund för utebliven betalning.

Freja Partner är vana vid att stötta upp små- till medelstora företag i precis dessa frågor. Vi gör det på ett personligt sätt och utefter era ambitioner, men självklart med en tydlig rekommendation i hur vi anser att just ert fall bör hanteras.

Vill ni veta mer om hur vi kan hantera just er situation? Hör av er till oss så berättar vi mer, vi gör även en helt kostnadsfri analys av ert ärende innan vi sätter igång processen.

För en mer utförlig beskrivning om hur man kan agera vid obetald faktura så läs vår jurist Simon Konneus artikel på ämnet här:

JURISTEN FÖRKLARAR – Hur går jag tillväga när min kund inte betalar? – Freja Partner

Hösten är en tid som ofta präglas av rekryteringsprocesser. I många processer önskar företag och arbetsgivare att genomföra en så kallad bakgrundskontroll. Men vad innebär egentligen en bakgrundskontroll och vad behöver man tänka på, samt vilka är de specifika kraven och förfarandena som måste följas?

Rekrytering av nya medarbetare är en kritisk process för de flesta företag. Otillräcklig information om en arbetssökande kan leda till oönskade kostnader vid felrekryteringar och kan också utgöra en risk för arbetsgivarens varumärke.

En bakgrundskontroll i en rekryteringsprocess syftar normalt till att verifiera och utvärdera en sökandes tidigare arbets- och utbildningshistorik, referenser och andra relevanta faktorer. Syftet med en bakgrundskontroll är att säkerställa att den sökande har den erfarenhet, kompetens och pålitlighet som krävs för den aktuella tjänsten och att minimera risken för oärliga ansökningar eller olämpliga kandidater.

Många rekryteringsprocesser fokuserar ofta på att genomföra omfattande bakgrundskontroller av kandidaterna. Det är dock viktigt att inte överskrida gränserna och följa vad som framgår av lag.

Bakgrundskontroller kan inkludera följande komponenter:

• Arbetsreferenser: Arbetsgivare kan kontakta tidigare arbetsgivare för att verifiera den sökandes arbetsupplevelse och prestationer. Detta inkluderar ofta att fråga om arbetsperioder, arbetsuppgifter och hur den sökande fungerade i tidigare roller.
• Utbildningsverifikation: Arbetsgivare kan verifiera den sökandes utbildning genom att kontakta lärosäten eller skolor där den sökande påstår sig ha studerat. Detta syftar till att säkerställa att den sökande har de nödvändiga akademiska kvalifikationerna.
• Kriminell bakgrundskontroll: Vissa arbetsgivare kan genomföra kriminella bakgrundskontroller för att säkerställa att den sökande inte har en brottslig historia som kan vara relevant för tjänsten. Detta görs oftast när det finns lagliga krav eller säkerhetskrav som måste uppfyllas.
• Kreditkontroll: Vissa arbetsgivare kan utföra kreditkontroller på sökande, särskilt om tjänsten involverar hantering av ekonomiska resurser eller finansiella ansvar.
• Sociala medier och online-aktivitet: Vissa arbetsgivare kan granska den sökandes sociala medier och online-aktivitet för att få en uppfattning om deras personlighet och professionalism.

Det är i dessa sammanhang viktigt att notera att GDPR (eller Dataskyddsförordningen) sätter begränsningar på vilka personuppgifter ert företag kan behandla när det gäller en kandidat, eftersom inte all information är relevant eller laglig att samla in.

Som arbetsgivare är det vidare viktigt att noggrant överväga följande frågor innan beslutet om en bakgrundskontroll fattas.

1. Laglig grund: Vilken rättslig grund finns för att samla in personuppgifterna?

Enligt GDPR finns det sex rättsliga grunder för behandling av personuppgifter. Privata företag, föreningar och organisationer i privat verksamhet kan främst använda sig av fyra olika rättsliga grunder: samtycke, avtal med den registrerade, rättslig förpliktelse och intresseavvägning.

Det är viktigt att alltid fastställa den lagliga grunden innan behandlingen av personuppgifter inleds. Detta är en avgörande del av processen eftersom det ger de berörda individerna rätten att få information om den exakta juridiska grunden för behandlingen av deras personuppgifter. Därför måste den personuppgiftsansvarige tydligt fastställa denna grund innan insamlingen av uppgifterna påbörjas. Vidare måste även den berörda individen informeras innan en bakgrundskontroll genomförs, och det är viktigt att kandidaten ges möjlighet att avbryta ansökningsprocessen om så önskas.

Reflektera över följande: utgör maktförhållandet mellan rekryteraren och den som rekryteras ett hinder för att erhålla ett giltigt samtycke?

1. Syfte och proportionalitet: Finns det ett legitimt syfte, och är kontrollen proportionerlig i förhållande till detta syfte? Är den insamlade informationen relevant och adekvat?

Den information som kan samlas in under en rekryteringsprocess varierar beroende på den specifika tjänst som kandidaten ansöker om. Det är av högsta vikt att genomföra en riskbedömning för den aktuella tjänsten, eftersom detta kan påverka nivån av kontroll som bör tillämpas.

Reflektera över följande: Är omfattningen av bakgrundskontrollen lika för en specialisttjänst som för en roll med begränsat ansvar och hur bedömer man risken?

Andra frågor som arbetsgivaren ska överväga är vem inom företaget ska ha befogenhet att genomföra bakgrundskontroller? Vilka personuppgifter är det tillåtet att samla in (uppgifternas omfattning)? Vilka källor kommer användas för att hämta informationen? Tänk på befattningens natur och hur det kan påverka kontrollens omfattning. När ska personuppgifterna som har behandlas under rekryteringens gång raderas? Hur vill ni att kandidaten ska informeras om den kommande bakgrundskontrollen? Har ni rutiner eller en plan för genomförandet och hanteringen av bakgrundskontrollen?

Sociala medier och Google-sökningar

Det finns många aspekter att beakta under en rekryteringsprocess. Ett växande intresse ligger på kandidaternas digitala närvaro, och det är alltmer vanligt att det utförs Google-sökningar som en del av rekryteringsprocessen. Det kan potentiellt ge en bättre helhetsbild av personen att granska deras beteende online. Frestelsen att granska kandidater via sociala nätverk är stark, men risken är att den insamlade informationen kan vara irrelevant för ändamålet och därmed ofta betraktas som av rent privat karaktär. Ett potentiellt problem med att granska kandidater genom deras sociala nätverksprofiler är att gränsen mellan vad som är personligt och privat kan bli suddig och svårdefinierad. Dessutom finns det en risk att du medvetet eller omedvetet förvrider din uppfattning av kandidaten, vilket kan leda till diskrimineringsproblem. Naturligtvis kan en granskning av kandidatens LinkedIn-profil vara både berättigad och relevant, med tanke på den starka kopplingen till arbetslivet och kan därmed anses som relevant – om det görs rätt.

Reflektera över det följande: kommer informationen du hittar online påverka ert beslut?

Belastningsregister

Under rekryteringsprocessen har en ökande andel kandidater blivit ombedda att presentera ett utdrag från belastningsregistret. Är ni medvetna om att det normalt sett är otillåtet att behandla information om brott och att uppgifter från belastningsregistret inte får lagras, kopieras eller nedtecknas enligt regelverket?

Kontrollera risken och skapa en trygghet i ditt företag

Bakgrundskontroller utgör en förebyggande åtgärd som kan bidra till att säkerställa att era anställda är pålitliga och lojala gentemot företaget. Felrekryteringar kan vara kostsamma, och likaså kan felaktiga bakgrundskontroller vara det. Det är därför av stor betydelse att genomföra dessa kontroller korrekt och professionellt för att minimera riskerna och säkerställa en säker och effektiv arbetsstyrka.

Överlåtande av hanteringen av en bakgrundskontroll till en extern part innebär inte att ni kan undvika att följa GDPR (Dataskyddsförordningen). Källan till informationen som används för bakgrundskontrollen är oavsett ursprung fortfarande en hantering av personuppgifter. Det räcker med att informationen läses från en skärm för att det ska klassificeras som en personuppgiftsbehandling och därför måste överensstämma med GDPR.

Genom att etablera klara rutiner för hur bakgrundskontroller ska genomföras för era anställda, försäkrar ni att ert företag följer de krav som fastställs i GDPR. Tydliggör vilken laglig grund ni använder för att samla in personuppgifter och definiera vem inom företaget har tilldelats befogenheter att genomföra bakgrundskontroller. Klargör vilka personuppgifter som kan inhämtas beroende på den aktuella tjänsten som ska tillsättas och fastställ en tidslinje för är personuppgifterna ska raderas och förklara hur ni planerar att kommunicera med och informera kandidaten om hela processen. Arbetsgivare bör även vara försiktiga med att använda information från bakgrundskontroller på ett diskriminerande sätt och bör allt se till att de behandlar alla sökande rättvist och lika.

Slutligen är det viktigt att inte förbise konsekvensbedömningen som är en integrerad del av bakgrundskontroller under rekryteringsprocessen. Konsekvensbedömningen bör genomföras före den planerade personuppgiftsbehandlingen och utgör en process för att identifiera eventuella risker relaterade till hanteringen av personuppgifter. Det skapar ett underlag så att ni kan fatta ett beslut och vidta åtgärder för att minimera sannolika integritetsrisker och dess konsekvenser. Det är därför viktigt att påbörja konsekvensbedömningen så tidigt som möjligt och integrera den som en del av utvecklingsprocessen.

När man utför en konsekvensbedömning inför den planerade personuppgiftsbehandlingen så finns det fyra frågor att ta hänsyn till.

1. Vad är ändamålet med den planerade personuppgiftbehandlingen?

Det är viktigt här att man även beskriver om det enbart är en planerade personuppgiftsbehandlingen eller om det finns flera som har samband med varandra.

2. Är behandlingen nödvändig och proportionerlig i förhållanden till ändamålet?

Det innebär att det bör göras en avvägning mellan två faktorer: å ena sidan den enskilda individens personliga integritet och å andra sidan behovet av att behandla de aktuella uppgifterna. För att behandlingen ska vara proportionerlig bör fördelarna med behandlingen vara större än de risker den kan medför.

3. Vad är riskerna för kandidaternas fri och rättigheter?

Ni måste noga överväga och sätta i samband de upptäckta integritetsriskerna med hur de kan påverka den enskilda individen, särskilt när behandlingen potentiellt kan ge upphov till problem såsom diskriminering, identitetsstöld, bedrägeri, ekonomiska förluster, skadat rykte, eller förlust av konfidentialitet gällande känsliga och förtroliga uppgifter som omfattas av sekretessavtal och liknande åtaganden.

4. Vilka planerade åtgärder avser ni att implementera för att hantera riskerna och säkerställa efterlevnad av dataskyddsförordningen?

Här är det viktigt att ni ger en övergripande motivering och beskrivning av de administrativa och tekniska skyddsåtgärder som är planerade att införas.

Är ni osäkra på hur ni gå till väga? Ta gärna hjälp och råd av oss på Freja Partner i dessa processer.

Artikel författad av

Solmaz Begdjani Blomquist

Artikel 45 Dataskyddsförordningen

Enligt Dataskyddsförordningen får överföringar av personuppgifter överföras till tredje land enbart om vissa förutsättningar är uppnådda. En av dessa förutsättningar stadgas i Artikel 45 i Dataskyddsförordningen. EU-kommissionen måste ha fattat ett beslut om adekvat skyddsnivå för tredje landet i fråga för att personuppgifter lagligen kan överföras utan att behöva vidta ytterligare skyddsåtgärder såsom användande av standardavtalsklausuler (SCC) i enlighet med Artikel 46 i Dataskyddsförordningen. En adekvat skyddsnivå innebär att tredje landet i fråga har en tillräckligt hög skyddsnivå, likvärdig den för medborgare inom Europeiska unionen.

Det har tidigare funnits ramverk som har tillåtit överföring av personuppgifter mellan EU och USA – Safe Harbour-avtalet och Privacy Shield-avtalet – men de båda har ogiltigförklarats av EU-domstolen genom Schrems I- och Schrems II-domen. Ramverken ansågs inte medföra tillräckligt skydd vid överföring av personuppgifter till USA på grund av den amerikanska underrättelselagstiftningen.

EU-kommissionens nya adekvansbeslut för USA

Den 10 juli i år antog EU-kommissionen ett nytt adekvansbeslut för USA som möjliggör överföring av personuppgifter från EU till USA. Trots detta adekvansbeslut krävs det dock att mottagaren av personuppgifter i USA, exempelvis företaget eller organisationen, även måste certifiera sig under adekvansbeslutet, anmäla detta till det amerikanska handelsdepartementet och ha tagits upp på deras särskilda lista för att omfattas av ramverket EU-US Data Privacy Framework. Företaget i fråga måste därmed följa kraven på exempelvis att radera personuppgifter när de inte längre är nödvändiga för det syfte för vilket de samlades in för och kunna erbjuda de registrerade rätten till tillgång av insamlade personuppgifter. I praktiken innebär ovan sagda att det kan komma att dröja innan beslutet helt kommer att börja tillämpas.

För att förtydliga så möjliggör inte adekvansbeslutet överföringar till USA generellt. Överföringar till företag i USA som inte omfattas av ramverket EU-US Data Privacy Framework kommer inte kunna stödja sig på beslutet om adekvat skyddsnivå och det kommer således krävas att dessa företag fortsättningsvis vidtar ytterligare skyddsåtgärder för att kunna få överföra personuppgifter till USA.

Adekvansbeslutet kommer framöver att vara föremål för regelbundna översyner för att kontrollera om alla delar har genomförts fullt ut och är effektiva i praktiken. Dessa översyner kommer genomföras av EU-kommissionen tillsammans med EU:s medlemsstater samt företrädare för EDPB (den europeiska dataskyddsstyrelsen). Den första översynen kommer att äga rum inom ett år efter det att beslutet om adekvat skyddsnivå trädde i kraft.

Överklagande av adekvansbeslutet

Som förutspåtts har organisationen noyb (none of your business) med ordföranden Max Schrems redan meddelat att de kommer att utmana EU-kommissionens beslut och har anfört att det nya ramverket EU-US Data Privacy Framework är en kopia av Privacy Shield-avtalet och att det inte skett någon väsentlig förändring av USA:s övervakningslagstiftning, vilket måste ändras på för att få ramverket att fungera. Enligt noyb skulle ett överklagande kunna tas upp av EU-domstolen i början av 2024. EU-domstolen har då en möjlighet att ogiltigförklara ramverket EU-US Data Privacy Framework så som de gjort tidigare med Safe Harbour-avtalet och Privacy Shield-avtalet, men detta återstår att se.

Författat av

Zandra Larsen, jurist och dataskyddsamordnare på Freja Partner

Den 11 oktober bjuder vi tillsammans med RISMA in till webinar! Eventet är kostnadsfritt, läs mer nedan om innehåll och hur du anmäler dig!

Har du koll på vad integritetstillsynsmyndighetens (IMY) utökade resurser kommer att innebära för ditt företag?

GDPR grundades 2018 och har sedan dess varit en väl känd förordning i EU. Från år 2023 fick integritetstillsynsmyndigheten (IMY) ytterligare resurser för att bedriva tillsyn, vilket innebär att myndigheten kommer lägga mer tid på att utreda klagomål från enskilda samt inleda tillsyn på eget initiativ.

Den 11/10 kl. 12.00-13.00 livesänder RISMA och Freja Partner ett webinar där vi pratar mer om IMYs utökade resurser. Genom att exemplifiera hur det kan se ut i praktiken hoppas vi kunna skapa en förståelse om dess effekter och vikten av att efterleva kraven i GDPR. Freja Partner representeras av Zandra Larsen, jurist med specialistkompetens inom personuppgiftsjuridik och GDPR-compliance.

Under webinariet kommer vi att:

• Introducera GDPR
• Förklara innebörden av IMYs utökade resurser
• Ge en beskrivning av artikel 5, 12 och 13 i GDPR och hur de kan stödja IMYs beslut
• Exemplifiera detta utifrån ett avslutande case

Låter det här som något för dig? Anmäl dig till webinariet genom att fylla i formuläret på denna länk:

ANMÄL DIG HÄR

Vill du ta del av detta men har förhinder just det här datumet? – Ingen fara, genom att anmäla dig genom formuläret kommer vi skicka en inspelning av webinariet till dig på mail.