Personvernerklæring

Sist endret: 29. januar 2019

Denne lovpålagte personvernerklæringen gjelder for Advokat Gunn Kathrine Stangvik. Jeg er behandlingsansvarlig for behandlingen av personopplysninger som er beskrevet i denne personvernerklæringen. Du finner kontaktinformasjonen min til slutt, eventuelt på hovednettsiden.

***

Et par viktige bemerkninger ønsker jeg å gi innledningsvis for å gjøre «GDPR» mer forståelig og få denne personvernerklæringen i sitt rette lys:

GDPR er en forkortelse for: EUROPAPARLAMENTS- OG RÅDSFORORDNING (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (generell personvernforordning) [GDPR)

GDPR har  som mål å ramme vesentlig annen bruk av personopplysninger enn det som gjøres som ledd i advokatvirksomhet. EU bruker 173 avsnitt i fortalen på å si noe nærmere om hva man har tenkt med forordningen.

Fra punkt 44 hitsettes, da dette kan anses retningsgivende relatert til «arten av advokatvirksomhet»:

Behandlingen bør anses som lovlig når den er nødvendig i forbindelse med en avtale, eller når det foreligger en hensikt om å inngå en avtale.

Og det er jo nettopp det som er essensen når du  kontakter advokat og ber om hjelp til din sak. Advokaten må få tilgang til og kunne forvalte den informasjon, herunder personopplysninger, som er nødvendig for å føre/hjelpe til med saken din.

Den behandling av personopplysninger som skjer i en advokatvirksomhet vil som oftest ha grunnlag i GDPR artikkel 6, der flere av bokstavene a) – f) er aktuelle samt artikkel 9 nr. 2 bokstav f). Det vises til www.lovdata.no for mer informasjon.

I tillegg nevner jeg at alle opplysninger som blir betrodd meg som advokat i forbindelse med et oppdrag blir, slik kravene lenge har vært for min profesjon, håndtert konfidensielt av meg og i overenstemmelse med gjeldende lover og det etiske regelverket for advokater. Alle advokater er dessuten underlagt en straffesanksjonert taushetsplikt, jf. straffeloven § 211.

***

Da går jeg over til GDPR og det som jeg plikter å opplyse her i henhold til den nye personopplysningsloven av 15. juni 2018 nr. 38, som følge av vår inkorporering av GDPR.

1: Hva er en personopplysning?

En personopplysning er enhver opplysning som kan knyttes til en enkeltperson, direkte eller indirekte, herunder også navn, postadresse, e-postadresse og mobilnummer.

Personopplysninger innbefatter selvsagt også alle de meget sensitive opplysningene jeg som advokat regelmessig mottar i tilknytning til de sakene jeg arbeider med.

2: Hvem jeg behandler personopplysninger om, og hvorfor?

Denne personvernerklæringen retter seg mot min behandling av personopplysninger om følgende personer:

  • Private klienter
  • Klienter i straffesaker
  • Personer som er involvert i saker jeg bistår i
  • Andre personer som er omtalt i saksdokumenter jeg får tilgang til i forbindelse med oppdrag
  • Kontaktpersoner hos virksomhetsklienter
  • Kontaktpersoner hos mine leverandører og samarbeidspartnere

Formål, typer personopplysninger og rettslig grunnlag

Etablering av klientforhold: Når jeg kontaktes av en klient med forespørsel om jeg kan ta et oppdrag, foretar jeg en uavhengighetssjekk internt (konfliktavklaring) før jeg eventuelt sier ja til oppdraget. Uavhengighetssjekken tjener et legitimt formål og har grunnlag i GDPR artikkel 6 nr. 1 bokstav f (interesseavveining). Konfliktsjekk av privatkunder omfatter som regel fullt navn og hva saken gjelder.

I tilknytning til etableringen av et klientforhold vil jeg foreta en kundekontroll i samsvar med reglene i hvitvaskingsloven. Dette gjelder bla. innhenting av og kontroll av navn, personnummer og adresse. Kundekontrollen er nødvendig for å oppfylle mine rettslige forpliktelser etter hvitvaskingsloven, jf. GDPR artikkel 6 nr. 1 bokstav c.

Dersom jeg kan ta oppdraget, registreres nødvendig kontaktinformasjon samt betalingsopplysninger, herunder eventuell avtale om forskudd. Registreringen av kontaktopplysninger er for privatkunder nødvendig for å kunne inngå avtale med vedkommende, jf. GDPR artikkel 6 nr. 1 bokstav b. For virkssomhetskunder bygger registreringen av kontaktopplysninger på en interesseavveining, jf. GDPR artikkel 6 nr. 1 bokstav f.

Sakshåndtering (internt og utad): De fleste advokatoppdrag i min virksomhet innebærer at jeg får tilgang til personopplysninger om parter eller andre enkeltpersoner som berøres av en sak. Det ligger som regel i oppdraget at jeg SKAL formidle visse opplysninger til andre, for eksempel offentlig etat i forbindelse med klagesak, hvilket er en type virksomhet GDPR egentlig ikke er innrettet mot eller tar høyde for.

Personopplysninger kan fremkomme av dokumenter klienten oversender, fra offentlige etater eller annen korrespondanse eller journaler etc. i saken. Behandlingen av personopplysninger i forbindelse med oppdrag for virksomhetskunder er forankret i GDPR artikkel 6 nr. 1 bokstav f (interesseavveining).

I noen saker får jeg også tilgang til sensitive personopplysninger, f.eks. helseopplysninger eller straffedommer og lovovertredelser. I slike tilfeller har behandlingen av opplysningene hjemmel i GDPR artikkel 9 nr. 2 bokstav f (behandlingen er nødvendig for å fastsette, gjøre gjeldende eller forsvare et rettskrav), jf. personopplysningsloven (ny 2018) § 11.

Kunnskapsforvaltning: Alle personopplysninger vil kun bli benyttet internt og eksternt i den utstrekning det er hjemlet i lov og i samsvar med oppdraget/avtalen med klienten, herunder ligger også en generell fullmakt til å foreta det som er nødvendig med sikte på å ivareta klientens interesse i en sak. Behandlingsgrunnlaget er min interesse i å nyttiggjøre utarbeidet kunnskap i videre rådgivning, jf. GDPR artikkel 6 nr. 1 bokstav f (interesseavveining).

Klientadministrasjon: Det opprettes egne saksmapper for oppdrag som utføres på vegne av en klient. Tiden som er benyttet i en sak registreres fortløpende. For virksomhetskunder er det jeg gjør i forbindelse med klientadministrasjon hjemlet i GDPR artikkel 6 nr. 1 bokstav f (interesseavveining), mens det for privatkunder anses som en nødvendig del av det å oppfylle avtalen med vedkommende, jf. GDPR artikkel 6 nr. 1 bokstav b.

Lagring og oppbevaring av saksdokumenter: Jeg oppbevarer som regel saksdokumenter i 10 år etter at oppdraget er avsluttet. Unntak gjøres der dokumentene er underlagt arkiveringsplikt i det offentlige (for eksempel avsluttede asylsaker eller andre saker med endelige vedtak fra forvaltningen).

Lagring i det angitte tidsrommet er vurdert som nødvendig både av hensyn til klienten og for min egen del, siden det i ettertid kan komme opp spørsmål, eventuelt en tvist, hvor den informasjonen som er lagret på en sak kan bli aktuell igjen. Det rettslige grunnlaget for behandling av personopplysninger er GDPR artikkel 6 nr. 1 bokstav f (interesseavveining, jf. legitim interesse i private kundeforhold) og GDPR artikkel 9 nr. 2 bokstav f (fastsette, gjøre gjeldende eller forsvare rettskrav), jf. personopplysningsloven (ny 2018) § 11.

Fakturering: Kontaktopplysninger som er mottatt fra virksomhetskunder benyttes for å merke faktura som sendes til virksomheten dersom klienten ber om dette. For privatkunder, benyttes klientens private postadresse for utsendelse av faktura. Behandlingsgrunnlaget er GDPR artikkel 6 nr. 1 bokstav f (interesseavveining) for virksomhetskunder og GDPR artikkel 6 nr. 1 bokstav b (nødvendige for å oppfylle avtalen med den registrerte) for privatkunder.

IT-drift og sikkerhet: Personopplysninger som er lagret i mine IT-systemer vil kunne være tilgjengelige for meg eller for mine leverandører i forbindelse med oppdateringer av systemer, implementering eller oppfølging av sikkerhetstiltak, feilretting eller annet vedlikehold. Behandlingsgrunnlaget er GDPR artikkel 6 nr. 1 f (interesseavveining, jf. legitim interesse i private kundeforhold) og min rettslige forpliktelse til å ha tilfredsstillende informasjonssikkerhet, jf. GDPR artiklene 32 og 6 nr. 1 bokstav c. Særskilt taushetserklæring er signert av IT-Leverandøren, se neste punkt.

3: Hvem jeg deler personopplysninger med utover det som er nødvendig i forbindelse med utøvelsen av selve advokatoppdraget

Mine leverandører av IT-tjenester vil kunne ha tilgang til personopplysninger dersom personopplysninger er lagret hos leverandøren eller på annen måte er tilgjengelig for leverandøren i henhold til kontrakten med meg. Leverandøren opptrer i henhold til en databehandleravtale og etter min instruks. Leverandøren kan bare benytte personopplysninger for de formål jeg har bestemt og som er beskrevet i denne personvernerklæringen.

4: Dine rettigheter knyttet til tilstedeværelsen og lagringen av dine personopplysninger hos meg

Du har rettigheter i/til personopplysninger som omhandler deg. Hvilke rettigheter du har, avhenger av omstendighetene.

Trekke samtykke tilbake: Dersom du har samtykket til behandling av personopplysninger (ref. det oppdrag jeg har fått som advokat og nødvendigheten av å gi (innsyn i) informasjon i denne forbindelse), kan du når som helst trekke ditt samtykke tilbake med henblikk på denne behandlingen ved å rette en henvendelse til meg om dette.

Jeg utleverer ikke personopplysninger i andre tilfeller eller på andre måter enn det som er beskrevet i denne personvernerklæringen og i samsvar med oppdraget jeg har som advokat i den enkelte sak. Unntak gjelder dersom klienten eksplisitt oppfordrer til eller samtykker til dette, eller dersom utleveringen er lovpålagt.

Regnskapslovgivning pålegger advokatene ellers å lagre bestemte regnskapsdokumenter i et nærmere angitt tidsrom. Når et bestemt formål tilsier lagring i et gitt tidsrom, sørger jeg for at personopplysningene utelukkende blir benyttet for det aktuelle formålet i dette tidsrommet.

Be om innsyn: Du har rett til innsyn i hvilke personopplysninger jeg har registrert om deg, så langt ikke taushetsplikten er til hinder for dette. For å sikre at personopplysninger utleveres til rett person, kan jeg stille krav om at begjæring om innsyn skjer skriftlig eller at identitet verifiseres på annen måte.

Be om retting eller sletting: Du kan be meg om å rette feilaktige opplysninger jeg har om deg eller be meg om å slette personopplysninger. Jeg vil så langt som mulig imøtekomme en forespørsel om å slette personopplysninger, men jeg kan ikke gjøre dette dersom det er tungtveiende grunner for ikke å slette, for eksempel dersom jeg plikter å lagre opplysningene av dokumentasjonshensyn i min advokatvirksomhet.

Klage til tilsynsmyndigheten: Dersom du er uenig i måten jeg behandler dine personopplysninger på, kan du sende inn en klage til Datatilsynet.

5: Sikkerhet

Jeg har prosedyrer for å håndtere personopplysninger på en mest mulig sikker måte. Tiltakene er både av teknisk og organisatorisk art. Jeg foretar kontinuerlig vurdering av sikkerheten i alle sentrale systemer som benyttes for håndtering av personopplysninger, og det er inngått avtaler som pålegger mine leverandører å sørge for tilfredsstillende informasjonssikkerhet.

Foruten IT-leverandør samt revisor, som begge bare har tilgang til opplysninger om enkeltklienter i den utstrekning det er nødvendig for å løse sine respektive oppgaver, er det ingen andre enn jeg som har tilgang til personopplysninger og annet som håndteres i min advokatvirksomhet.

6: Endringer i personvernerklæringen

Jeg vil kunne gjøre mindre endringer i denne personvernerklæringen. Du vil alltid finne siste versjon på min nettside. Ved vesentlige endringer vil jeg varsle om dette på hensiktsmessig måte.

7: Kontakt meg

Dersom du har spørsmål eller kommentarer til min personvernerklæring eller min virksomhet for øvrig med hensyn til personvern og sikkerhet, eller dersom du vil utøve dine rettigheter som nevnt i punkt 4 overfor, ber jeg om at du tar kontakt med meg. Du finner meg via følgende kontaktinformasjon:

Advokat Gunn Kathrine Stangvik, Postboks 305, 9502 ALTA

Telefon 78 44 06 86      Epost: post@advokatstangvik.no