Personvernerlæring
1. Innledning
Advokatfirmaet Erling Grimstad AS er underlagt personopplysningsloven som skal beskytte fysiske personers rettigheter, friheter og personverninteresser. Med personopplysninger menes enhver opplysning eller vurdering som kan knyttes – enten direkte eller indirekte – til en fysisk person.
I de tilfellene vi behandler personopplysninger etter rettspleielovene (domstolloven, straffeprosessloven, tvisteloven, tvangsfullbyrdelsesloven, m.fl.) gjelder i utgangspunktet ikke reglene i personopplysningsloven. I tråd med Advokatforeningens anbefalinger, håndterer vi likevel personopplysningene i tråd med personopplysningslovens prinsipper og bestemmelser også i disse tilfellene, så langt det lar seg gjøre.
Vi er «behandlingsansvarlig» for personopplysninger som behandles om deg («den registrerte») som jobbsøker, klient eller part i en sak/oppdrag som vi har påtatt oss. I dette dokumentet redegjør vi for hvilke personopplysninger vi behandler om registrerte personer, hvordan vi behandler slike opplysninger, hvorfor det er nødvendig for oss å behandle personopplysningene, samt hva som er grunnlaget for behandlingen.
Personvernerklæringen redegjør også for hvilke kilder personopplysningene stammer fra, hvor lenge vi behandler personopplysningene og om vi benytter leverandører («databehandlere») i forbindelse med behandlingen.
2. Overordnet om behandling av personopplysninger
I de tilfellene vi behandler personopplysninger etter rettspleielovene gjelder i utgangspunktet ikke reglene i personopplysningsloven. Dette omfatter i hovedsak prosessoppdrag som vi påtar oss på vegne av våre klienter, inklusive våre forberedelser til eventuelle rettssaker for domstolene. Personopplysninger som behandles i den forbindelse, håndteres i tråd med reglene i domstolloven, straffeprosessloven, tvisteloven, tvangsfullbyrdelsesloven, e.l. Så langt det lar seg gjøre – i tråd med Advokatforeningens anbefalinger – vil vi i størst mulig grad også i disse tilfellene behandle personopplysninger i henhold til personopplysningsloven. Dette innebærer blant annet personopplysningene vil bli behandlet i tråd med prinsippene som fremgår nedenfor i dette kapittelet.
Vi beskytter også personvernet til de som søker jobb hos oss, våre oppdragsgivere og behandlingen av personopplysninger for andre registrerte personer. Vi forplikter oss til å behandle alle personopplysninger på en lovlig, rettferdig og åpen måte. Vi vil kun samle inn personopplysninger for spesifikke, uttrykkelig og berettigede formål, og vi vil ikke viderebehandle personopplysningene på en måte som er uforenlig med disse formålene. Derfor behandler vi kun personopplysninger om registrerte dersom det er nødvendig for å oppfylle en avtale, dersom vi er lovpålagt å behandle slike opplysninger, dersom den registrerte har samtykket til behandlingen, dersom vi har en annen berettiget interesse eller dersom behandlingen er nødvendig i forbindelse med et prosessoppdrag og behandlingen skjer i tråd med rettspleielovene.
Alle personopplysninger om registrerte skal være adekvate, relevante og begrenset til det som er nødvendig for å oppnå formålet med behandlingsaktiviteten. Dersom vi oppdager opplysninger som ikke er korrekte, skal disse oppdateres eller slettes. Vi skal ikke lagre eller behandle personopplysninger lenger enn det som er nødvendig for å oppnå formålet med behandlingen, så fremt annet ikke fremkommer av lov.
Vi forsikrer deg om at vi tar informasjonssikkerhet på alvor, og at vi vil beskytte dine personopplysninger mot uautorisert innsyn (konfidensialitet) og endringer (integritet). Kun personer hos oss med et tjenstlig behov har tilgang til personopplysninger om deg som registrert. Vi er ansvarlig for å sørge for at systemene vi benytter er robuste og pålitelige, slik at vi har tilgang til opplysningene vi trenger (tilgjengelighet).
3. Bruk av tredjeparter (databehandlere) og utlevering av personopplysninger
Vi benytter oss av ulike system- og tjenesteleverandører for å levere advokattjenester til våre klienter og til internt bruk i vår virksomhet. Dette omfatter også leverandører av driftssystemer der personopplysninger mottas, oppbevares (lagres), arkiveres eller på annen måte behandles. I slike tilfeller opptrer leverandøren som databehandler på vegne av virksomheten, og vi har inngått en skriftlig avtale (databehandleravtale) som regulerer hvordan leverandøren skal behandle personopplysningene. Alle databehandlere har forpliktet seg til kun å behandle personopplysninger i henhold til instruks fra oss, samt etablere tilfredsstillende informasjonssikkerhet for å beskytte personopplysningene.
Advokater er underlagt sterk taushetsplikt og vi utleverer ikke personopplysninger eller annen informasjon til andre enn vår oppdragsgiver, det vil si personen eller selskapet som vi gjennomfører oppdraget på vegne av. Unntak fra taushetsplikten kan være at vi er lovpålagt å utlevere personopplysninger og annen informasjon, eller dersom vår oppdragsgiver eksplisitt har instruert oss om å utlevere opplysninger til en annen.
4. Geografisk lagring og behandling
Vi mottar, oppbevarer (lagrer), arkiverer og behandler personopplysninger i våre interne systemer. Personopplysninger og annen informasjon i disse systemene lagres på dataservere som befinner seg innenfor EØS-området. Vi benytter ikke interne systemer som lagrer personopplysninger utenfor EØS-området.
Dersom vi gjør oppdrag for oppdragsgiver utenfor EØS-området, kan personopplysninger og annen informasjon likevel overføres til land utenfor EØS-området («tredjeland»). I så fall skjer dette enten til land som EU kommisjonen har besluttet at har tilstrekkelig beskyttelsesnivå eller ved bruk av EUs standardavtale (Standard Contractual Clauses). Gjennom disse overføringsmekanismene sikres det at fysiske personers rettigheter, friheter og personverninteresser ivaretas på en tilfredsstillende måte.
5. Behandlingsaktiviteter
5.1. Ansettelse og rekruttering
Dersom du har søkt jobb hos oss (inklusive stilling som student/trainee) har vi behov for å behandle personopplysninger for å vurdere din søknad. Dette omfatter alle opplysninger og dokumenter som du har sendt oss, typisk navn, jobbsøknad, CV, kontaktopplysninger (telefonnummer, e-postadresse, adresse), fødselsdato, fotografi, arbeidserfaring, utdanning, karakterer, vitnemål, kurs, sertifikater, verv, personlige interesser/egenskaper og kontaktopplysninger til dine referanser. Disse opplysningene samler vi inn direkte fra deg. I tillegg utarbeider vi referater fra intervjuene vi har hatt med deg og samtalene med dine referanser.
Formålet med denne behandlingsaktiviteten er å vurdere jobbsøkere opp mot den utlyste stillingen, og vårt grunnlag for å behandle opplysningene er intensjonen om å inngå en eventuell arbeidskontrakt med deg, jf. personvernforordningen artikkel 6 nr. 1 bokstav b. Bestemmelsen tillater oss å behandle personopplysninger på anmodning fra den registrerte (jobbsøker) i forkant av en mulig avtaleinngåelse.
Du behøver ikke oppgi særlige kategorier av personopplysninger (sensitive personopplysninger) i søknaden din til oss eller på stillingsintervju hos oss. Dersom du likevel velger å gjøre dette, eksempelvis informasjon om funksjonsnedsettelser, baserer vi vår behandling av slike personopplysninger på ditt eksplisitte samtykke, jf. personvernforordningen artikkel 9 nr. 2 bokstav a.
Vi mottar søknader på jobb hos oss per e-post eller via FINN. Søknader overføres og lagres på et dedikert område i virksomhetens datanettverk og vil inngå som en del av behandlingen av dine personopplysninger hos oss, dersom du blir ansatt. Jobbsøknader til personer som ikke blir ansatt, lagres frem til utløpet av prøvetiden til personen som blir ansatt (normalt seks måneder etter ansettelse). Generelle jobbsøknader (dvs. søknader som ikke gjelder en konkret utlyst stilling) lagres normalt i ett år om ikke annet blir avtalt med søkeren.
5.2. Kundeopplysninger
Forut for etablering av kundeforhold innhentes kontaktinformasjon til den private oppdragsgiveren eller til kontaktpersoner hos oppdragsgivere som representerer en virksomhet. Formålet med behandlingen av personopplysningene er gjennomføring av kundetiltak etter hvitvaskingsloven eller annen form for kundekontroll med henblikk på inngåelse av oppdragsavtale. Vi behandler navn, e-post, telefonnummer, eventuelt stillingsbetegnelse til kontaktpersoner hos virksomheten som det skal inngås avtale med, postadresse, kopi av legitimasjon og informasjon som er nødvendig for utfakturering av utført arbeid.
Rettslig grunnlag for behandlingen overfor privatklienter er GDPR artikkel 6 bokstav b (nødvendig for å inngå avtale). For virksomhetskunder bygger registreringen av kontaktopplysninger på en interesseavveining, jf. GDPR artikkel 6 nr. 1 bokstav f. Gjennomført kundetiltak lagres på egen mappe hos oss for hver oppdragsgiver.
Tid og kostnader som er påløpt på en sak registreres i vårt regnskapssystem. For virksomhetskunder er behandlingen av personopplysninger i forbindelse med vår administrasjon, hjemlet i GDPR artikkel 6 nr. 1 bokstav f (interesseavveining), mens det for privatkunder anses som en nødvendig del av det å oppfylle avtalen med vedkommende, jf. GDPR artikkel 6 nr. 1 bokstav b.
Kontaktopplysninger, kontoopplysninger og eventuell kredittsjekk av private oppdragsgivere, og kontaktopplysninger til ansatte hos virksomheter som oppdragsgivers representant, benyttes for å sende faktura fra oss. Behandlingsgrunnlaget er GDPR artikkel 6 nr. 1 bokstav b (nødvendig for å oppfylle avtale med den registrerte) for privatkunder, og GDPR artikkel 6 nr. 1 bokstav f (interesseavveining) for virksomhetskunder.
5.3. Sakshåndtering og lagring av saksdokumenter
Enkelte advokatoppdrag, granskingsoppdrag, undersøkelsessaker eller varslingssaker innebærer at vi får tilgang til personopplysninger om parter eller andre enkeltpersoner som berøres av en slik sak. Slike opplysninger kan komme frem av dokumenter oppdragsgiver oversender, intervjuer eller annen korrespondanse i saken. Behandlingen (håndtering og lagring) av personopplysninger i forbindelse med oppdrag for virksomhetskunder er forankret i GDPR artikkel 6 nr. 1 bokstav f (interesseavveining).
I noen saker får vi også tilgang til personopplysninger i særlige kategorier, for eksempel helseopplysninger, straffedommer eller lignende. I slike tilfeller har behandlingen av opplysningene hjemmel i GDPR artikkel 9 nr. 2 bokstav f (nødvendig for å fastsette, gjøre gjeldende eller forsvare et rettskrav), jf. personopplysningsloven § 11, eller GDPR artikkel 9 nr. 2 bokstav b (nødvendig for behandling på arbeids-, trygde-, og sosialrettens område), jf. personopplysningsloven §§ 6 og 11.
Saksdokumentasjon overføres til vårt arkiv etter at saken er avsluttet. En sak avsluttes når oppdraget er avsluttet etter avtale med oppdragsgiver. Saken slettes fra arkivet i samsvar med lovpålagte krav slik som arkivregler som gjelder for advokatvirksomhet (som hovedregel arkivplikt i 10 år). Lagringstiden er satt av hensyn både til vår oppdragsgiver og til advokatfirmaets behov for arkivering av informasjon i saken, f.eks. for at advokatfirmaet skal kunne forsvare rettskrav ved eventuell tvist knyttet til utføring av oppdrag for oppdragsgiver. Saksdokumenter vi arkiverer kan ha betydning for klienten i ettertid enten ved utføring av andre oppdrag for oppdragsgiver eller andre formål som klienten bestemmer.
Referater fra intervjuer/samtaler i granskingsoppdrag, undersøkelser eller varslingssaker og andre saksdokumenter som er innhentet i slike oppdrag arkiveres i saksmappe i vårt arkiv og slettes i samsvar med lovpålagte krav som beskrevet over.
5.4. Seminarer og kurs
Det er mulig å melde seg på våre seminarer, og å abonnere på seminarinvitasjoner. Ved påmelding til seminarer behandler vi navn, e-post og arbeidssted til deltakere. Informasjonen brukes til å oppnå oversikt over antall deltakere og til å spisse innholdet i seminarene.
Det rettslige grunnlaget for å behandle personopplysninger i forbindelse med påmelding til seminarer er GDPR artikkel 6 nr. 1 bokstav f (interesseavveining). Det rettslige grunnlaget for å sende ut seminarinvitasjoner til tidligere seminardeltakere er GDPR artikkel 6 nr. 1 bokstav a (samtykke). Dersom du har samtykket til å i fremtiden motta invitasjoner til seminarer, kan du når som helst trekke tilbake ditt samtykke. Du vil da bli slettet fra vår e-post-liste.
5.5. Nettsider
Nettstatistikk: Advokatfirmaet samler inn avidentifiserte opplysninger om besøkende på governance.no. Formålet med dette er å utarbeide statistikk som vi bruker til å forbedre og videreutvikle informasjonstilbudet og innholdet på våre nettsider. Eksempler på hva statistikken gir svar på, er hvor mange som besøker ulike sider, hvor lenge besøket varer, hvilke nettsteder brukerne kommer fra og hvilke land besøkende kommer fra.
Opplysningene behandles i avidentifisert og aggregert form. Med avidentifisert menes at vi ikke kan spore opplysningene vi samler inn tilbake til den enkelte bruker.
Vi bruker analyseverktøyet Koko Analytics.
Informasjonskapsler: Våre nettsider bruker informasjonskapsler slik nesten alle nettsider gjør. Se egen cookie banner for informasjon om informasjonskapsler på vår nettside.
Kontaktskjema: På våre nettsider kan du frivillig kontakte oss via et kontaktskjema ved å oppgi navn og e-post. Personopplysningene vi mottar fra kontaktskjemaet blir ikke benyttet til andre formål enn å besvare din henvendelse. Grunnlaget for behandlingen er GDPR artikkel 6 nr. 1 bokstav a (samtykke). Etter at vi har besvart din henvendelse vil dine personopplysninger bli slettet, dersom annet ikke avtales særskilt.
6. Dine rettigheter
Innledning
Når vi behandler personopplysninger om deg har du rettigheter etter personvernregelverket. Nedenfor redegjør vi nærmere for disse rettighetene og når de gjelder. Dersom du ønsker å håndheve dine rettigheter ber vi deg om å ta kontakt med personene som nevnt nedenfor (se kontaktinformasjon).
Rett til informasjon
Retten til informasjon innebærer at du kan henvende deg til oss og be om detaljert informasjon om hvordan vi behandler personopplysninger om deg. Det foreligger imidlertid enkelte unntak fra retten til informasjon.
Rett til innsyn
Retten til innsyn innebærer at du har krav på å få utlevert en kopi av den informasjonen som vi har lagret om deg. Det foreligger imidlertid enkelte unntak fra retten til informasjon.
Rett til retting
Retten til retting innebærer at du har krav på å få uriktige eller ufullstendige personopplysninger om deg selv korrigert eller oppdatert.
Rett til sletting
Retten til sletting innebærer at du har krav på å få opplysninger om deg selv slettet dersom personopplysningene ikke lenger er nødvendig for det formålet de var innhentet, du trekker tilbake ditt samtykke eller dersom du protesterer mot lovligheten av behandlingen. Det foreligger imidlertid et unntak fra denne retten dersom vi er rettslig forpliktet til å oppbevare opplysningene over en lenger periode.
Rett til begrensning av behandling
Retten til begrensning av behandling innebærer at du har krav på at behandlingen begrenses dersom du bestrider riktigheten av personopplysningene, behandlingen er ulovlig eller personopplysningene ikke lenger er nødvendig for det formålet de var innhentet.
Rett til å protestere mot behandlingen
Retten til å protestere mot behandlingen innebærer at du kan motsette deg en behandling som bygger på våre berettigede interesser, dersom det foreligger særlige grunner. Dette gjelder likevel ikke dersom vi kan vise til en tvingende berettiget grunner.
Retten til å trekke tilbake samtykke
Hvis du har gitt oss samtykke til at vi bruker opplysninger om deg, kan du trekke tilbake samtykket når som helst. At du trekker tilbake ditt samtykke vil ikke påvirke lovligheten av behandlingen av personopplysninger som skjedde før du trakk samtykket tilbake.
Klage til Datatilsynet
Hvis du mener at vi bryter personvernregelverket eller ikke er fornøyd med vår behandling av din henvendelse kan du klage til Datatilsynet. Vi oppfordrer deg til å først ta kontakt med oss, slik at vi kan gi svar og avklare eventuelle misforståelser.
7. Kontaktinformasjon
Det er daglig leder i virksomheten som har det øverste ansvaret for at virksomheten overholder personvernregelverket.
Dersom du har spørsmål eller kommentarer til hvordan vi behandler personopplysninger om ansatte, kan du ta kontakt med en av de ovennevnte personene eller sende e-post til hello@governance.no.
8. Endringer i denne personvernerklæringen
Denne personvernerklæringen kan oppdateres fortløpende uten at vi legger ut et spesifikt varsel for dette. Derimot, hvis endringene er materielle og/eller påvirker dine rettigheter, vil vi legge ut et varsel om at personvernerklæringen er oppdatert. Den til enhver tid gjeldene personvernerklæringen er publisert på vår nettside.