personvernerklæring.
Behandling av personopplysninger i Advokatfirmaet SGB AS
Advokatfirmaet SGB AS («SGB») vil i forbindelse med vår virksomhet behandle personopplysninger.
Vår behandling som behandlingsansvarlig av personopplysninger er basert på den virksomhet vi driver og formålet med vår virksomhet. Informasjon om personopplysninger vi behandler om deg, det lovlige grunnlaget med behandlingen, formålet med behandlingen, hvor lenge vi behandler personopplysningene, mv. er tatt inn nedenfor.
Om du har spørsmål eller ønsker å vite mer om vår behandling av personopplysninger, så kan du kontakte oss – se kontaktopplysninger nedenfor.
1. Ansvarlig for behandling av personopplysninger
SGB v/styret er behandlingsansvarlig for personopplysninger vi behandler. Det daglige behandlingsansvaret er delegert til daglig leder.
Kontaktopplysninger for behandlingsansvarlig:
Adresse: Parkveien 53B, 0256 Oslo
E-post: al@sgb.no
Telefon: 957 02 489
Org.nr.: 986 552 073
2. Hvorfor samler vi inn personopplysninger og hva slags informasjon samler vi inn
Vi samler inn og bruker personopplysninger til ulike formål avhengig av hvem du er og hvordan vi kommer i kontakt med deg.
All behandling av personopplysninger skjer i overensstemmelse med de til enhver tid gjeldende personvernregler, herunder personopplysningsloven og personvernforordningen (GDPR).
Med «personopplysninger» menes alle opplysninger som kan knyttes til en fysisk person (sistnevnte omtales som «registrert»).
Med «behandling» menes alt som foretas med personopplysninger, som innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring.
3. Behandlingsformål
3.1 Advokatvirksomhet
SGB driver advokatvirksomhet i samsvar med reglene i domstolsloven kapittel 11. Når vi registrerer nye klienter og påtar oss advokatoppdrag, samler vi inn en rekke personopplysninger som navn, kontaktinformasjon, arbeidssted, fødselsnummer og øvrige typer opplysninger og vurderinger av og om personer som vil være relevant for opprettelsen av klientforholdet og for å løse det enkelte advokatoppdraget. Dette gjelder både når vi inngår advokatoppdrag med privatpersoner og når vi inngår advokatoppdrag med juridiske personer. For forretningsklienter inngås ikke advokatoppdraget med en privatperson, men det vil alltid være minst en kontaktperson som opptrer på vegne av forretningsklienten som vi vil registrere personopplysninger om. I tillegg vil det normalt være nødvendig å samle inn og behandle en rekke andre personopplysninger fra forretningsklienten for å løse advokatoppdraget. Opplysningene vi behandler som ledd i vår advokatvirksomhet vil i tillegg til klientopplysninger og opplysninger om kontaktpersoner, normalt også inneholde personopplysninger om andre tredjeparter, eksempelvis motparter, vitner, sakkyndige og andre involverte. Slike tredjeparter har ikke rett til verken informasjon om eller innsyn i de personopplysninger SGB behandler om dem som ledd i et advokatoppdrag begrunnet i advokatens lovfestede taushetsplikt.
Personopplysningene vi behandler kommer i all hovedsak fra klienten. Advokater er i henhold til hvitvaskingsloven pålagt å foreta kundekontroll ved registrering av nye klienter, se våre standardvilkår.
Visse advokatoppdrag forutsetter at vi kan samle inn og behandle såkalt «særlig kategorier» av personopplysninger (tidligere omtalt som «sensitive personopplysninger»). Dette omfatter bl.a. helseopplysninger, opplysninger som fagforeningsmedlemskap, seksuell legning, politisk oppfatning og trosretning mv. I tillegg vil kunne behandle saker der det samles informasjon om straffbare forhold eller mistanke om slike. Slike personopplysninger vil i all hovedsak samles inn fra våre klienter, andre personer klienten bringer inn som vitne i saken, men kan også komme fra motparter og andre tredjeparter.
I advokatoppdrag med privatklienter og forretningsklienter vil behandlingsgrunnlaget for personopplysningene være at behandlingen er nødvendig for; å oppfylle vår avtale (advokatoppdraget) med klienten, jf. personvernforordningens artikkel 6 nr. 1 (b), for å oppfylle en rettslig forpliktelse som påligger SGB, jf. personvernforordningens artikkel 6 nr. 1 (c). For behandlingen av personopplysninger om andre tredjeparter i et advokatoppdrag, vil i tillegg behandlingsgrunnlaget være artikkel 6 nr. 1 (f) når behandlingen av opplysningene er nødvendig for å løse advokatoppdraget og den registrertes interesser eller grunnleggende rettigheter og friheter ikke går foran og krever vern av personopplysningene.
Dersom vi behandler særlige kategorier opplysninger i et advokatoppdrag vil vi i tillegg oppfylle et av følgende behandlingsgrunnlag; eventuelt samtykke fra den registrerte, jf. personvernforordningens artikkel 9 nr. 2 (a), eller behandlingen er nødvendig for å forsvare et rettskrav, jf. personvernforordningens artikkel 9 nr. 2 (f). For behandling av personopplysninger om straffbare eller mulig straffbare forhold, er behandlingsgrunnlaget tilsvarende personvernforordningen artikkel 9 nr. 2 (a) og, eller (f), jf. personopplysningsloven § 11.
Alle opplysninger om sak arkiveres i 10 år etter saken er avsluttet, deretter blir opplysningene slettet.
3.2 Markedsføring, presentasjon av SGB på nett
Våre websystemer logger din aktivitet på våre nettsider. Slike logger analyseres i tilfelle hacking eller andre typer angrep eller kriminell aktivitet rettet mot våre nettsider. Opplysningene som lagres er din ip-adresse og hvilke lenker du har klikket på, din nettleser og annen informasjon om din nettleser og maskin. Behandlingsgrunnlaget følger av personvernforordningen artikkel 6 nr. 1 (f), hvor vi etter en vurdering har funnet det nødvendig å logge slik trafikk for å kunne overvåke og sikre våre systemer.
SGB utfører også analyse av besøk på nettsiden med hjelp av Google Analytics. Din unike internet-adresse (ip-adresse) er ansett som en personopplysning. Denne ip-adressen anonymiseres før overføring til Google. Dermed lagres ingen personopplysninger hos Google, en praksis som er i tråd med Datatilsynets anbefaling. For å kunne analysere besøk på websidene benytter SGB cookies. Behandlingsgrunnlaget er ditt samtykke, jf. ekomloven § 2-7b.
3.3 Markedsføring, nyhetsbrev
SGB kan sende nyhetsbrev med relevante fagartikler eller informasjon om kurs og seminarer. Vi sender bare nyhetsbrev til deg som har samtykket til å motta slike. Behandlingsgrunnlaget er ditt samtykke til behandling av personopplysninger som følger av personvernforordningens artikkel 6 nr. 1 (a) og samtykke til å motta nyhetsbrev per e-post i henhold til markedsføringsloven § 15.
Får kunne sende deg nyhetsbrev behøver vi å samle inn ditt navn og din e-postadresse. Du kan også velge hvilke kategorier med nyhetsbrev du ønsker å motta.
Det er frivillig å abonnere på nyhetsbrev fra oss og du kan når som helst trekke tilbake ditt samtykke til nyhetsbrev. Dette gjør du ved å klikke på egen avmeldingslenke i nyhetsbrevet du mottar, eller sende en e-post til al@sgb.no.
Opplysningene lagres så lenge du samtykker til mottak av nyhetsbrev. Dine personopplysninger slettes fra nyhetsbrevregisteret vårt når du trekker ditt samtykke. Dersom du er klient hos oss eller på annen måte har gitt nødvendige kontaktopplysninger til oss så beholdes disse. Se ellers dine rettigheter under.
3.4 Kurs- og seminarvirksomhet
Ved påmelding til våre kurs, seminar eller webinar, samler vi inn personopplysninger som er nødvendige for å administrere og gjennomføre slike arrangementer. Vi vil også sende deg nødvendig informasjon og påminnelse om arrangementet per e-post. Dersom du har gitt oss ditt mobilnummer, vil påminnelse også sendes per SMS. Opplysningene som samles inn vil være navn, kontaktinformasjon og arbeidssted, samt at vi stiller spørsmål om allergier og eventuelt andre mathensyn vi bør ta når arrangementet involverer matservering. Behandlingsgrunnlaget følger av personvern-forordningens artikkel 6 nr. 1 bokstav b), og er basert på at vi har en avtale med deg om deltakelse på og gjennomføring av arrangement. Innsamling og behandling av opplysninger om allergi og mathensyn er basert på ditt samtykke til at vi behandler disse opplysningene, jf. personvernforordningen art. 9. nr. 2 bokstav a, jf. art. 6. nr. 1 bokstav a).
Vi kan ta fotografier på arrangementer. Fotografiene vil kunne benyttes i forbindelse med markedsføring av SGB i sosiale medier og på når nettside. Vi vil alltid be om samtykke før vi publiserer bilder der deltakere har en fremtredende plass eller er i fokus.
Deltakerlistene vil være tilgjengelige for ansatte hos SGB. Ved arrangementer i samarbeid med eksterne foredragsholdere, kan dine personopplysninger bli delt med disse. Vi vil alltid informere om hvilke andre foredragsholdere dine personopplysninger deles med.
3.5 Administrasjon av rekruttering og nyansettelser
Når du søker jobb hos oss må du dele en rekke opplysninger om deg selv, dette omfatter navn, kontaktinformasjon, utdanning, tidligere arbeidssteder og andre opplysninger som inngår i en CV.
Grunnlag for behandling av personopplysninger ved rekruttering er at behandlingen er nødvendig for å gjennomføre tiltak før en arbeidsavtale med jobbsøker eventuelt inngås (GDPR artikkel 6 (1) b).
Dersom du får jobb hos oss overføres nødvendige personopplysninger til vårt personalsystem og du vil motta en egen personvernerklæring for ansatte i SGB. Som jobbsøker kan du samtykke til at vi lagrer dine personopplysninger for eventuelt senere vurderinger. Ønsker du ikke dette, slettes dine opplysninger innen 1 år etter at den aktuelle ansettelsesprosessen er avsluttet.
Gjøres det undersøkelser av oss ut over å kontakte personer som er oppgitt som referanse, undersøke ved søk om historikk mv., så behandles personopplysninger på grunnlag av vår nødvendige berettigede interesse for å sikre at riktig kandidat til stillingen (GDPR artikkel 6 (1) f). For sistnevnte har vi vurdert at vår berettigede interesse i å rekruttere nye ansatte veier tyngre enn den enkeltes personvern. Vi oppfordrer deg til å ikke legge inn særlige kategorier personopplysninger, som helse, religion, politiske oppfatninger, fagforeningsmedlemskap mv. i din søknad.
Personopplysninger slettes så snart rekrutteringen er gjennomført, om du ikke har samtykket til lenger oppbevaring.
3.6 Kommunikasjon og dialog
Vi behandler personopplysninger om de som henvender seg til oss for å besvare og dokumentere kommunikasjonen og for å henvende oss til andre. Dette gjelder alle former for kommunikasjon, fysisk og digitalt, skriftlig og muntlig.
I slike tilfeller behandler vi navn, telefonnummer, e-postadresse og eventuelle personopplysninger som måtte følge av henvendelsen, herunder historikk/logger om henvendelsen.
Behandlingen av opplysninger er basert på at vi har en nødvendig berettiget interesse av å behandle personopplysninger knyttet til ovennevnte (se GDPR artikkel 6 (1) f). Vi har derfor vurdert at vår berettigede interesse i å ha kontakt med omverdenen er en del av vår virksomhet og i å dokumentere den virksomheten vi driver, samt å besvare de som kontakter oss og registrere slik kontakt. Vi har vurdert det slik at dette er nødvendig for å oss for å håndtere henvendelser vi får, og at de registrertes personvern ikke går foran disse interessene.
Opplysninger som samles inn og oppbevares via elektronisk kommunikasjon vil ofte også omfattes av advokatvirksomhet eller andre tjenester vi yter som beskrevet over.
Det er frivillig å gi oss personopplysninger, men det vil være nødvendig å gi oss opplysningene for at vi skal kunne besvare henvendelser.
Vi behandler informasjonen inntil vi regner med at det ikke vil bli videre oppfølgning av kontakten, normalt i ett år.
3.7 Fakturaadministrasjon og administrasjon av leverandører
Kontaktpersoner hos underleverandører vil registreres i vårt regnskapssystem med informasjon nødvendig for å administrere avtaleforholdet og for å kunne betale fakturaer. Opplysninger som samles inn er navn, stilling, e-post og mobilnummer.
Behandlingsgrunnlaget er vår berettigede interesse av å lagre personopplysninger nødvendige for å administrere leverandørforholdet, jf. personvernforordningens artikkel 6 nr. 1 (f).
Personopplysningene lagres i våre systemer så lenge du er ansatt hos en leverandør til SGB.
Likevel vil visse opplysninger kunne lagres utover dette, da bokføringsloven pålegger SGB å oppbevare regnskapsbilag (som fakturer) i fem år etter avsluttet regnskapsår. Behandlingsgrunnlaget for slik lagring følger av personvernforordningen artikkel 6 nr. 1 (c), rettslig forpliktelse.
4. Oppbevaring og lagring (sletting) av personopplysninger
Vi oppbevarer personopplysninger så lenge det er nødvendig for det formål personopplysningene ble samlet inn for, og sletter opplysningene i tråd med krav i regelverket. Hvor lenge vi behandler de enkelte typene opplysninger vi behandler, er tatt inn i ovenfor hvor de enkelte behandlinger omtales.
Dette betyr for eksempel at personopplysninger som vi behandler på grunnlag av ditt samtykke slettes hvis du trekker ditt samtykke. Personopplysninger vi behandler for å oppfylle en avtale med deg slettes når avtalen er oppfylt og alle plikter som følger av avtaleforholdet er oppfylt, som f.eks. lovmessige plikter knyttet til regnskapsføring, oppfølging av kundeforholdet knyttet til reklamasjon mv. Personopplysninger vi behandler som følge av lovmessig plikt, vil slettes så snart vi ikke har plikt til å oppbevare opplysningene.
5. Utlevering av personopplysninger til andre
Vi gir ikke personopplysningene dine videre til andre med mindre det foreligger et lovlig grunnlag for dette. Eksempler på slikt grunnlag vil typisk være en avtale med deg eller lovmessig plikt som pålegger oss å gi ut informasjonen, som følgende:
5.1 Lovpålagt rapporteringsplikt, hvitvasking
I henhold til hvitvaskingslovens skal advokater rapportere til ØKOKRIM dersom det foreligger mistanke om at transaksjoner knyttet til straffbare handlinger eller terrorfinansiering. SGB vil ved slik mistanke overføre nødvendige opplysninger til ØKOKRIM.
5.2 Nødvendig bistand fra underleverandører
For å kunne utøve vår virksomhet er vi avhengig av samarbeidspartnere som kan bistå med utvikling, leveranse og drift av våre ikt-systemer. Våre underleverandører vil kunne få tilgang til personopplysninger vi behandler som ledd i deres leveranse og drift av våre ikt-systemer. Alle våre databehandlere er lokalisert innenfor EØS-området, og er pålagt å følge gjeldende personvernlovgivning, herunder nødvendige tekniske og organisatoriske tiltak for å sikre at personopplysninger vi har samlet inn sikres og behandles på en trygg måte. Vi har inngått skriftlige databehandleravtaler med alle våre underleverandører.
5.3 Overføring med bakgrunn i lov eller dom/kjennelse
SGB vil overføre personopplysninger til offentlige myndigheter om dette pålegges med hjemmel i lov eller med rettskraftig dom eller kjennelse.
5.4 Overføring av personopplysninger utenfor EØS-området
SGB overfører i utgangspunktet ikke dine personopplysninger utenfor EØS-området. Imidlertid kan en slik overføring være nødvendig i tilknytning til advokatoppdrag dersom vi på dine vegne skal forfølge eller forsvare deg mot et rettskrav rettet mot/fra myndigheter, personer eller organisasjoner utenfor EØS-området.
6. Sikkerhet for behandlingen
All behandling av personopplysninger sikres med de påkrevede tekniske og organisatoriske tiltak.
Vi håndterer informasjon slik at den er riktig, tilgjengelig og håndtert i henhold til grad av sensitivitet på opplysningene. Vi benytter også en rekke sikkerhetsteknologier og informasjonssikkerhets-prosedyrer for å beskytte personopplysningene fra uautorisert tilgang, bruk eller formidling. Det gjennomføres risikovurderinger for behandling av personopplysninger.
Vi har inngått databehandleravtaler med alle våre leverandører som behandler personopplysninger, hvor de påtar seg samme grad av sikkerhet som vi har for vår behandling av personopplysninger.
Vi begrenser tilgangen til personopplysninger til det personalet eller de tredjepartene som skal behandle opplysningene på våre vegne. Disse partene er underlagt konfidensialitetsplikt.
Det er etablert rutiner for håndtering av brudd på informasjonssikkerhet og rutiner (personvernbrudd), og vi vil, dersom det foreligger brudd som medfører risiko for personvernet til de personopplysningene gjelder, sende avviksmelding til Datatilsynet så raskt som mulig og senest innen 72 timer etter bruddet ble oppdaget. Medfører bruddet høy sannsynlighet for personvernet til de bruddet gjelder, vil vi også varsle disse.
7. Dine rettigheter når vi behandler personopplysninger om deg
Nedenfor følger dine rettigheter for behandlingen av personopplysninger. For å ta i bruk dine rettigheter må du ta kontakt med daglig leder. Kontaktinfo fremgår over.
Vi vil svare på din henvendelse til oss så fort som mulig, og senest innen én måned. Tar det lenger tid enn én måned vil du få beskjed.
Vi vil be deg om å bekrefte identiteten din eller å oppgi ytterligere informasjon før vi lar deg ta i bruk dine rettigheter overfor oss. Dette gjør vi for å være sikre på at vi kun gir tilgang til dine personopplysninger til deg - og ikke noen som gir seg ut for å være deg.
7.1 Informasjon
Du har rett til å få informasjon om de personopplysninger vi behandler om deg. Gjennom denne erklæringen informerer vi deg om vår behandling av personopplysninger. Du kan også kontakte oss om du ønsker mer informasjon.
7.2 Innsyn
Du har rett til å kreve innsyn i personopplysningene som behandles om deg. Ta kontakt med oss om du ønsker innsyn.
7.3 Endring og sletting
Du kan også be oss om å rette feilaktige opplysninger vi har om deg eller be oss om å slette personopplysninger. Vi vil så langt som mulig imøtekomme en forespørsel om å slette personopplysninger, men vi kan ikke gjøre dette dersom vi fremdeles har behov for opplysningene.
7.4 Behandling på grunnlag av samtykke
Behandler vi personopplysninger på grunnlag av ditt samtykke, så kan du til enhver tid trekke tilbake samtykket. Den enkleste måten å gjøre dette på, er å bruke den måte som er opplyst om da du ga samtykket eller kontakte oss.
7.5 Rett til å begrense eller protestere mot behandlingen
Du har rett til å få behandlingen begrenset i visse tilfeller, se GDPR artikkel 21, som:
a) Du bestrider riktigheten av personopplysningene - behandlingen stanses i en periode som gjør det mulig for oss å kontrollere riktigheten av personopplysningene.
b) Behandlingen er ulovlig, og du motsetter seg sletting av personopplysningene og isteden anmoder om at bruken av personopplysningene begrenses.
c) Vi ikke lenger trenger personopplysningene til formålet med behandlingen, men du har behov for disse for å fastsette, gjøre gjeldende eller forsvare rettskrav.
Du kan også protestert mot behandling etter GDPR artikkel 21 nr. 1 i påvente av kontrollen av om hvorvidt våre berettigede interesser går foran ditt personvern.
7.6 Retten til dataportabilitet
For opplysninger som du har gitt til oss og er nødvendig for å gjennomføre en avtale med oss, og som behandles automatisk (dvs. ikke manuelt av oss) kan du be om å få personopplysningene om deg utlevert eller overført til annen leverandør i et strukturert, alminnelig anvendt og maskinlesbart format (dataportabilitet).
7.7 Automatisert behandling, herunder profilering
Det vil ikke bli foretatt automatisert behandling, herunder profilering, basert på dine personopplysninger som har rettsvirkninger eller som i betydelig grad påvirker de som personopplysninger gjelder. Se GDPR artikkel 22 nr. 1 og 4.
8. Klager
Opplever du at vår behandling av personopplysninger ikke er i overensstemmelse med det vi har beskrevet her eller at vi på andre måter bryter personvernlovgivningen, så kan du klage til Datatilsynet.
Du finner informasjon om dine rettigheter og hvordan kontakte Datatilsynet på Datatilsynets nettsider: www.datatilsynet.no.
9. Endringer
Hvis det skulle skje endring av våre tjenester eller endringer i regelverket om behandling av personopplysninger, kan det medføre forandring i informasjonen du er gitt her. Du vil alltid finne gjeldende versjon av personvernerklæringen på våre nettsider.