Advokat Jan Sandtrø AS vil i forbindelse med virksomheten behandle personopplysninger, hvor behandlingen er basert på formålet med virksomheten som er å levere juridisk rådgivning og advokattjenester.
Informasjon om personopplysninger som behandles, det lovlige grunnlaget med behandlingen, formålet med behandlingen, hvor lenge personopplysningene behandles før de slettes, mv. følger nedenfor. Det kan også behandle personopplysninger på andre måter enn nevnt nedenfor, som i tilknytning til tjenester og bistand til klienter. De personopplysningene gjelder vil da bli informert på andre måter enn gjennom denne erklæringen.
Om du har spørsmål eller ønsker å vite mer om vår behandling av personopplysninger, så kan du bruke kontakte kontaktopplysningene nedenfor.
1 Ansvarlig for behandling av personopplysninger
Advokatfirma Jan Sandtrø AS er behandlingsansvarlig, dvs. bestemmer hvorfor og hvordan personopplysningene skal behandles, for behandling som omtales nedenfor.
Kontaktopplysninger for behandlingsansvarlig:
Advokatfirma Jan Sandtrø AS
E-post: jan@sandtro.no
Telefon: +4799731934
Organisasjonsnummer: 924 542 403
2 Behandling av personopplysninger
Det samles inn og brukes personopplysninger til ulike formål avhengig av hvem du er og hvordan vi kommer i kontakt med deg.
All behandling av personopplysninger skal skje i overensstemmelse med de til enhver tid gjeldende personvernregler, herunder personopplysningsloven og personvernforordningen (GDPR).
Personopplysninger er enhver opplysning om en fysisk person som kan identifisere direkte eller indirekte (sistnevnte omtales som «registrert).
Behandling av personopplysninger er enhver aktivitet som gjøres med personopplysninger for eksempel. innsamling, registrering, organisering, strukturering, lagring, tilpasning, endring, overføring eller sletting.
2.1 Klientbistand
Advokat Jan Sandtrø AS driver advokatvirksomhet i medhold av domstolloven kapittel 11 og advokatloven. I forbindelse med bistand til klienter vil det behandles personopplysninger. Behandlingen skjer da med det formål om å gi bistand til klienter, som rådgivning, og yte advokattjenester. Behandlingen vil da omfatte personopplysninger knyttet til ansatte hos klienten, motparter eller andre som er involvert i saker som det bistås med.
Personopplysninger som behandles vil normalt være navn, kontaktopplysninger, aktiviteter knyttet til bistanden, som kommunikasjon, og det som er relatert til bistanden hvor ansatte og andre hos klienter er involvert eller omtalt i dokumentasjon og kommunikasjon.
Behandlingen av personopplysninger vil skje innledningsvis i klientforholdet ved at potensiell klient tar kontakt, at det foretas en avklaring om det foreligger interessekonflikt med andre klienter, at det skjer kundekontroll etter hvitvaskingsloven, som kan være at det foretas søk i offentlige kilder som Foretaksregisteret og innhentes legitimasjon, det registreres kontaktinformasjon når klientforhold etableres, det mottas og utveksles opplysninger som følge av at oppdrag utføres, herunder at det gis råd og annen bistand, kunnskapsforvaltning ved at erfaringer fra tidligere saker benyttes i senere bistand, fakturering mv.
Behandlingen skjer på grunnlag at det foreligger en berettiget interesse (personvernforordningen artikkel 6 nr. 1 bokstav f) for å drive advokatvirksomhet og bistå klienter, herunder å administrere forholdet til og kommunisere med klienter og andre involvert i bistanden, samt ha kontakt med potensielle klienter og andre i tilknytningen til virksomheten, og at personvernet til personene opplysningene gjelder går ikke foran og setter til siden denne interessen.
Er det privat klient, dvs. bistand til privatperson, vil behandling av personopplysninger skje på grunnlag av å oppfylle en avtale med vedkommende, se personvernforordningen artikkel 6 nr. 1 bokstav b.
Behandling vil også gjøres på grunnlag av at det foreligger en lovmessig plikt til å behandle opplysninger, som ved avklaring av interessekonflikt, kundekontroll etter hvitvaskingsloven, regnskapsføring mv. (personvernforordningen artikkel 6 nr. 1 bokstav c).
Det kan også være at det behandles særlige kategorier personopplysninger som følge av bistanden, som helseopplysninger, politisk oppfatning, opplysninger om fagforeningsmedlemskap mv., se personvernforordningen artikkel 9 nr. 1. I slike tilfeller har behandlingen av opplysningene grunnlag i personvernforordningen artikkel 9 nr. 2 bokstav f (behandlingen er nødvendig for å fastsette, gjøre gjeldende eller forsvare et rettskrav), jf. personopplysningsloven § 11. Det kan også behandles opplysninger om straffbare forhold, som behandles med grunnlag i personvernforordningen artikkel 9 nr. 2 bokstav a og f, jf. personopplysningsloven § 11. Behandling av personopplysninger i tilknytning til rettspleielovene (som domstolloven, straffeprosessloven, tvisteloven og tvangsfullbyrdelsesloven) er for øvrig ikke omfattet av personvernregelverket (personopplysningsloven § 2 (2)).
Opplysningene vil komme fra personene selv eller fra tredjeparter, som kontaktpersoners arbeidsgivere eller involverte i saker, som en følge av bistanden.
Opplysningene vil ikke bli overført til tredjeparter foruten hva som er nødvendig som en følge av bistanden, som til motparter, domstolene, myndigheter mv. Hvem, når og hva som overføres er avhengig av den enkelte sak. Ut over dette vil det ikke overføres personopplysning til tredjeparter.
Opplysninger knyttet til advokatvirksomheten vil lagres i 10 år eller lenger, avhengig av oppdragets karakter og opplysningenes innhold, etter lovkrav i advokatloven § 36. Regnskapsmateriell, og personopplysning som er en del av dette, blir lagret i fem år etter utløpet av inneværende regnskapsår, dvs. opptil seks år.
2.2 Kommunikasjon og kontakt
Vi behandler personopplysninger om dem som henvender seg til oss for å besvare og dokumentere kommunikasjonen og for å henvende oss til andre. Dette gjelder alle former for kommunikasjon, fysisk og digitalt, skriftlig og muntlig.
I slike tilfeller behandler vi navn, telefonnummer, e-postadresse og eventuelle personopplysninger som måtte følge av henvendelsen, herunder historikk/logger om henvendelsen.
Behandlingen av opplysninger er basert på at vi har en nødvendig berettiget interesse av å behandle personopplysninger knyttet til ovennevnte (se personvernforordningen artikkel 6 (1) f). Vi har derfor vurdert at vår berettigede interesse i å ha kontakt med omverdenen er en del av vår virksomhet og i å dokumentere den virksomheten vi driver, samt å besvare de som kontakter oss og registrere slik kontakt. Vi har vurdert det slik at dette er nødvendig for å oss for å håndtere henvendelser vi får, og at de registrertes personvern ikke går foran disse interessene.
Det er frivillig å gi oss personopplysninger, men det vil være nødvendig å gi oss opplysningene for at vi skal kunne besvare henvendelser.
Vi behandler informasjonen inntil vi regner med at det ikke vil bli videre oppfølgning av kontakten.
2.3 E-post
Vi benytter e-post som kommunikasjonsløsning som inneholder personopplysninger. Behandlingen er basert på at vi har en nødvendig berettiget interesse av å behandle personopplysning gjennom e-post (se personvernforordningen artikkel 6 (1) f) for å ha et arbeidsverktøy og kommunikasjonsløsning, og at de registrertes personvern ikke går foran disse interessene. Hva som behandles av personopplysninger i e-poster er avhengig av e-postens formål og hva som er inntatt i denne. E-poster slettes når de ikke lenger er nødvendige, og vi har tiltak for å sørge for regelmessig sletting av e-post. Våre sikkerhetsløsninger har også tilgang til e-post, men da kun i maskinell behandling.
2.4 Kunder, leverandører og samarbeidspartnere mv.
Vi behandler personopplysninger om kontaktpersoner hos eksisterende og potensielle kunder (i forretningsforhold), leverandører og andre samarbeidspartnere for salg- og markedsførings-aktiviteter, å administrere vårt forhold til leverandører og andre, forberede, gjennomføre og dokumentere tjenester samt evaluere bruk av tjenester. Vi vil i disse tilfelle behandle navn, kontaktinformasjon, foretaksnavn og opplysninger tilknyttet kontakten med selskapet som vedkommende arbeider i. For behandling av personopplysninger knyttet til klienter, se informasjon ovenfor.
Behandlingen av personopplysninger er basert på at vi har en nødvendig berettiget interesse (personvernforordningen artikkel 6 (1) f) for å administrere forholdet til våre kunder, samarbeidspartnere og leverandører, og at vår interesse veier tyngre enn den enkeltes personvern.
Vi lagrer og utleverer opplysninger også der vi har en rettslig forpliktelse til det, for eksempel etter regnskaps- og skattelovgivningen.
Vi kan lagre opplysninger så lenge de er nødvendige, for eksempel for å dokumentere forhold rundt tjenester.
I mange tilfeller vil det være nødvendig at vi får personopplysninger for å inngå avtaler med kunder og leverandører, blant annet for å dokumentere at avtale er inngått. Får vi ikke de opplysningene vi trenger, vil vi ikke kunne inngå avtaler.
Det er frivillig for kontaktpersonene om de ønsker å gi oss personopplysninger. Henter vi inn personopplysninger fra andre, vil det i hovedsak gjelde kontaktopplysninger (herunder navn, adresse, telefonnummer og e-postadresse), stilling, funksjon og arbeidsgiver samt eventuelt kompetanse og referanser der det er relevant. Kilde for slike opplysninger vil være kontaktpersonens arbeidsgiver, for eksempel fra arbeidsgivers nettside. I noen tilfeller henter vi inn referanser fra andre for å vurdere egnethet av leverandører og samarbeidspartnere.
Vi lagrer opplysningene inntil forholdet til kunde, leverandør eller samarbeidspart opphører eller til kontaktpersonen opphører å være kontaktperson, med de unntakene som er nevnt ovenfor.
2.5 Bruk av nettsider / informasjonskapsler (cookies)
Det samles ikke inn eller behandles personopplysning på nettsidene.
Det benyttes ingen informasjonskapsler (cookies) på nettsiden foruten cookies for å få siden til å fungere. Dette gjøres uten at samles inn personopplysninger. Det kan være at tredjepartsløsninger knyttet til eksterne funksjoner for nettsiden kan benytte cookies, men da vil det komme frem varsler og valg knyttet til disse løsningene.
3 Behandling på grunnlag av samtykke
Om det behandles personopplysning på grunnlag av samtykke, kan du trekke tilbake samtykke når som helst uten at det påvirker lovligheten av en behandling basert på et samtykke før samtykket trekkes tilbake. Ta kontakt med oss om du vil trekke samtykket. Merk at dersom du trekker samtykket, kan det være at vi kan fortsatt behandle alle eller deler av opplysningene fortsatt om det foreligger et annet grunnlag for behandlingen.
4 Oppbevaring og lagring (sletting) av personopplysninger
Vi oppbevarer personopplysninger så lenge det er nødvendig for det formål personopplysningene ble samlet inn for, og sletter opplysningene i tråd med krav i regelverket. Hvor lenge vi oppbevarer personopplysningene varierer ut fra hvordan opplysningene ble innhentet og formålet de ble innhentet for. Når vi sletter opplysningene er tatt inn i ovenfor hvor de enkelte behandlinger omtales, eller så er lagringsperioden basert på følgende kriter:
- Hvorvidt vi har et juridisk eller avtalemessig behov for å beholde opplysningene, som det kan komme krav rettet mot oss, hvor foreldelsesfristen for krav kan være opp til 20 år i tilknytning til krav på skadeserstatning, se foreldelsesloven § 9.
- Hvorvidt opplysningene er nødvendige for vår virksomhet
- Der behandlingsgrunnlaget er samtykke, når samtykket trekkes tilbake.
På grunn av karakteren av de tjenestene vi yter, er det imidlertid behov for å lagre opplysninger knyttet til klientbistand i et relativt langt tidsrom etter at bistanden er avsluttet, se ovenfor om behandling av personopplysning ved klientbistand.
Når vi ikke lenger har et pågående berettiget behov for å behandle personopplysningene dine, blir de slettet eller anonymisert så raskt som mulig i samsvar med gjeldende lov. I stedet for å slette personopplysningene, kan det i enkelte tilfeller være aktuelt å anonymisere personopplysningene. Med anonymisering menes at alle identifiserende eller potensielt identifiserende kjennetegn fjernes fra datasett som tas vare på.
Ovennevnte betyr for eksempel at personopplysninger som vi behandler på grunnlag av ditt samtykke slettes hvis du trekker ditt samtykke. Personopplysninger vi behandler for å oppfylle en avtale med deg slettes når avtalen er oppfylt og alle plikter som følger av avtaleforholdet er oppfylt, som f. eks. lovmessige plikter knyttet til regnskapsføring, oppfølging av kundeforholdet knyttet til reklamasjon mv. Personopplysninger vi behandler som følge av lovmessig plikt, vil slettes så snart vi ikke har plikt til å oppbevare opplysningene.
5 Overføring eller utlevering av personopplysninger til andre
Vi gir ikke personopplysninger videre til andre i andre tilfeller enn nevnt i denne erklæringen og med mindre det foreligger et lovlig grunnlag for dette. Eksempler på slikt grunnlag vil typisk være en avtale med eller samtykke fra den registrerte eller en lovmessig plikt som pålegger oss å gi ut informasjonen. Sistnevnte gjelder til offentlig virksomhet som skatteinnkreving (om nødvendig), regnskapsfører/revisor, samt andre som vi har behov for i vår virksomhet som bankforbindelse.
Vi bruker databehandlere til å samle inn, lagre eller på annen måte behandle personopplysninger på våre vegne, som leverandører av it-tjenester og -systemer. I slike tilfeller har vi inngått avtaler for å ivareta dine rettigheter og sikkerhet for dine personopplysninger i alle ledd av behandlingen. Leverandørene skal opptre i henhold til databehandleravtale og under vår instruks. Leverandøren kan bare benytte personopplysningene for de formålene vi har bestemt og som er beskrevet i denne personvernerklæringen.
Er det pålagt ved lov eller det er mistanke om at det er begått lovbrudd i forbindelse med bruk av våre tjenester, vil personopplysninger vi har lagret om deg kunne utleveres til offentlige myndigheter. Dersom personopplysninger kan bli gjenstand for overføring til en annen organisasjon i forbindelse med fusjon, finansiering, omorganisering eller oppløsningstransaksjon av hele eller deler av oss, vil vi kun gjøre dette dersom de involverte partene har inngått en avtale der innsamlingen, bruk og deling av personopplysningene er begrenset til de formålene som angår transaksjonen, herunder en bestemmelse om hvorvidt transaksjonen skal gå videre eller ikke, og personopplysningene skal kun brukes av de involverte parter for å gjennomføre og fullføre transaksjonen. Hvis et annet selskap kjøper oss eller vår virksomhet eller eiendeler, vil dette selskapet ha tilgang til personopplysningene innsamlet av oss, og vil påta seg de rettigheter og forpliktelser vedrørende dine personopplysninger som beskrevet i denne personvernerklæringen.
6 Overføring av personopplysninger til mottakere i land utenfor EØS
All behandling av personopplysninger skjer innenfor EU/EØS, i land som er godkjent av EU-kommisjonen eller i samsvar med gyldig rettslig grunnlag for overføringen av personopplysninger etter personvernforordningen kapittel V. Skjer ikke overføring til land godkjent av EU-kommisjonen, vil overføring kun skje etter de garantier som er oppstilt i personvernforordningen artikkel 46 nr. 2. Hvilket grunnlag som er benyttet for overføring kan du få opplyst om du kontakter oss.
7 Linker til tredjeparter/andre nettsteder
Det kan være linker til andre nettsteder eller tredjeparter som tilbyr produkter eller tjenester, og andre steder som ikke er under vår kontroll, på våre nettsider. Disse koblingene tilbys kun som en mulighet for brukere til å få mer informasjon. Nettsider som ikke er en del av våre, dvs. som ikke er under adressene sandtro.no vil behandle personopplysninger som behandlingsansvarlig selv og vil kunne ha separate og uavhengige retningslinjer for personvern. Vi har ikke noe ansvar for innholdet og aktivitetene til disse nettsidene.
8 Konfidensialitet og sikkerhet for behandlingen
Ved advokatvirksomhet er sikkerhet av opplysninger generelt, herunder personopplysninger, av stor betydning og det iverksettes alle påkrevede tekniske og organisatoriske tiltak for å sikre opplysninger. Advokater er også underlagt streng taushetsplikt, se straffeloven § 211, og alle opplysninger, herunder personopplysninger, blir behandlet med konfidensialitet.
Vi håndterer informasjon slik at den er riktig, tilgjengelig og håndtert i henhold til grad av sensitivitet på opplysningene. Vi benytter også en rekke sikkerhetsteknologier og informasjonssikkerhetsprosedyrer for å beskytte personopplysningene fra uautorisert tilgang, bruk eller formidling. Sikring av informasjonssystemer mv. gjøres med grunnlag i personvernforordningen artikkel 6 nr. 1 bokstav c som er oppfylle den rettslige forpliktelse vi har med å sikre opplysningene, se personvernforordningen artikkel 32, og basert på den berettigede interesse vi har i å sikre opplysningene for våre klienter, se personvernforordningen artikkel 6 nr. 1 bokstav f.
Vi har inngått databehandleravtaler med alle våre leverandører som behandler personopplysninger, hvor de påtar seg samme grad av sikkerhet som vi har for vår behandling av personopplysninger.
Vi begrenser tilgangen til personopplysninger til det personalet eller de tredjepartene som skal behandle opplysningene på våre vegne. Disse partene er underlagt konfidensialitetsplikt.
Det er etablert rutiner for håndtering av brudd på informasjonssikkerhet og rutiner (personvernbrudd), og vi vil, dersom det foreligger brudd som medfører risiko for personvernet til de personopplysningene gjelder, sende avviksmelding til Datatilsynet så raskt som mulig og senest innen 72 timer etter bruddet ble oppdaget. Medfører bruddet høy sannsynlighet for personvernet til de bruddet gjelder, vil vi også varsle disse.
9 Dine rettigheter n¨år vi behandler personopplysninger om deg
Nedenfor følger dine rettigheter for behandlingen av personopplysninger. For å ta i bruk dine rettigheter må du kontakte oss, se kontaktinformasjon over, eller på annen måte om det følger nedenfor.
Vi vil svare på din henvendelse til oss så fort som mulig, og senest innen én måned. Tar det lenger tid enn én måned vil du få beskjed.
Vi vil be deg om å bekrefte identiteten din eller å oppgi ytterligere informasjon før vi lar deg ta i bruk dine rettigheter overfor oss. Dette gjør vi for å være sikre på at vi kun gir tilgang til dine personopplysninger til deg – og ikke noen som gir seg ut for å være deg.
9.1 Informasjon
Du har rett til å få informasjon om de personopplysninger vi behandler om deg. Gjennom denne erklæringen informerer vi deg om vår behandling av personopplysninger. Du kan også kontakte oss om du ønsker mer informasjon.
Om vi har utlevert opplysninger til andre, så har vi en plikt til å informere mottakeren om krav om retting og sletting av personopplysning, se punkt 9.3 nedenfor, eller begrensninger av behandlingen, se punkt 9.5 nedenfor, om slik informering er umulig eller innebærer en uforholdsmessig stor innsats. Vi har plikt til å informere deg om slik utlevering om det ber om det.
9.2 Innsyn
Du har rett til å kreve innsyn i personopplysningene som behandles om deg. Ta kontakt med oss om du ønsker innsyn.
Dersom du krever det, vil du også få en kopi av de personopplysninger vi behandler om deg. Vi vil kunne be deg om å spesifisere hvilke opplysninger du ønsker kopi av, for å gjøre utleveringen enklere for oss. Ved utlevering av kopi av dine personopplysninger vil vi kunne kreve at du identifiserer seg, for at vi skal sikre at vi ikke utleverer personopplysninger til uvedkommende. Opplysningene om deg vil bli oversendt i digital form med mindre du ber om å få dem overført på annen måte.
9.3 Endring og sletting
Du kan også be oss om å rette feilaktige opplysninger vi har om deg eller be oss om å slette personopplysninger. Vi vil så langt som mulig imøtekomme en forespørsel om å slette personopplysninger, men vi kan ikke gjøre dette dersom vi fremdeles har behov for opplysningene.
9.4 Behandling på grunnlag av samtykke
Behandler vi personopplysninger på grunnlag av ditt samtykke, så kan du til enhver tid trekke tilbake samtykket. Den enkleste måten å gjøre dette på, er å bruke den måte som er opplyst om da du ga samtykket eller kontakte oss.
9.5 Rett til å begrense eller protestere mot behandlingen
Du kan kreve at behandlingen vår av dine personopplysninger begrenses i visse tilfelle, dersom vilkårene for dette er oppfylt. Dersom behandlingen begrenses, vil personopplysningene kun lagres. Se nærmere i personvernforordningen artikkel 21.
Der vår behandling har grunnlag i berettigede interesser, har du rett til å protestere mot behandlingen av personopplysningene dine. Dersom du protesterer, skal vi stanse den aktuelle behandlingen, med mindre det foreligger tvingende berettigede grunner til å fortsette behandlingen.
Du kan også reservere deg mot behandling av personopplysninger som angår deg til markedsføring, herunder profilering i den grad dette er knyttet til direkte markedsføring, se personvernforordningen artikkel 22 nr. 2.
9.6 Retten til dataportabilitet
Det foregår ikke behandling i virksomheten som gir rett til dataportabilitet, dvs. behandling av opplysninger som er gitt til oss og er nødvendig for å gjennomføre en avtale med oss, og som behandles automatisk (dvs. ikke manuelt av oss) som en kan be om å få utlevert eller overført til annen leverandør i et strukturert, alminnelig anvendt og maskinlesbart format (dataportabilitet).
9.7 Automatisert behandling, herunder profilering
Det vil ikke bli foretatt automatisert behandling, herunder profilering, basert på dine personopplysninger som har rettsvirkninger eller som i betydelig grad påvirker dem som personopplysninger gjelder. Se personvernforordningen artikkel 22 nr. 1 og 4.
9.8 Rett til å bli varslet
Dersom det skjer et personvernbrudd, dvs. brudd på sikkerheten for personopplysning som vil medføre en høy risiko for personvernet ditt, vil vi varsle deg uten ugrunnet opphold.
10 Klager
Opplever du at vår behandling av personopplysninger ikke er i overensstemmelse med det vi har beskrevet her eller at vi på andre måter bryter personvernlovgivningen, så kan du klage til Datatilsynet. Vi ber deg imidlertid å først kontakte oss, slik at vi kan få utbedret eventuelle feil behandling raskest mulig.
Du finner informasjon om dine rettigheter og hvordan kontakte Datatilsynet på Datatilsynets nettsider: www.datatilsynet.no.
11 Endringer
Hvis det skulle skje endring i vår behandling av personopplysninger eller endringer i regelverket om behandling av personopplysninger, kan det medføre forandring i informasjonen du er gitt her. Er det endringer som vedrører deg direkte og som har betydning for ditt personvern, vil vi kunne kontakte deg om vi har dine kontaktopplysninger. Ellers vil du til enhver tid finne oppdatert versjon av denne personvernerklæring på våre nettsider.