Personvernerklæring

1 Hvem vi behandler personopplysninger om  

Denne personvernerklæringen retter seg mot SBDLs behandling av personopplysninger for andre enn ansatte og partnere i SBDL. SBDL innhenter og bruker personopplysninger til ulike formål avhengig av hvem du er og hvordan vi kommer i kontakt med deg. 

SBDL behandler personopplysninger om følgende personer (i tillegg til ansatte og partnere): 

  • Klienter og andre registrerte personer i forbindelse med advokatvirksomhet 
  • Kunderepresentanter i forbindelse med undervisningsoppdrag 
  • Kontaktpersoner hos våre leverandører og samarbeidspartnere  
  • Arbeidssøkere 
  • Mottakere av nyhetsbrev 
  • Besøkende på vår nettside   
  • Besøkende på våre sosiale medier  

Nedenfor gis en oversikt over hvilke formål SBDL behandler personopplysninger for, hvilke typer personopplysninger vi behandler og det rettslige grunnlaget for behandlingen. Du finner også informasjon om hvem SBDL deler personopplysninger med, hvor lenge de lagres, dine rettigheter som registrert og hvilke sikkerhetstiltak som er iverksatt.  

2 Klienter og andre registrerte i forbindelse med advokatvirksomhet 

2.1 Hvem SBDL behandler personopplysninger om 

I forbindelse med advokatvirksomhet behandler SBDL personopplysninger om følgende kategorier registrerte: 

  • Privatklienter  
  • Klientrepresentanter hos virksomhetsklienter  
  • Klienter i straffesaker 
  • Vitner 
  • Motparter 
  • Representanter for motparter 
  • Kontaktpersoner hos domstoler og andre offentlige myndigheter 
  • Andre personer som er involvert i saker SBDL bistår i  

 2.2 Uavhengighetskontroll 

Når SBDL kontaktes av en klient med forespørsel om vi kan ta et advokatoppdrag, foretar vi en uavhengighetssjekk internt (konfliktsjekk) før vi eventuelt sier ja til oppdraget. Uavhengighetssjekken tjener et legitimt formål og har grunnlag i GDPR artikkel 6 nr. 1 bokstav f (interesseavveining). Ved konfliktsjekk behandles navn og hva saken gjelder. SBDL lagrer ikke personopplysninger fra kontrollen.  

 2.3 Hvitvaskingskontroll 

SBDL behandler personopplysninger i forbindelse med hvitvaskingskontroll. Behandlingen er nødvendig for å oppfylle forpliktelser etter hvitvaskingsloven, jf. GDPR artikkel 6 nr. 1 bokstav c. 

Kundekontroll («kundetiltak») foretas før etablering klientforhold, gjennomføring av transaksjoner over bestemte beløp eller ved mistanke om hvitvasking eller terrorfinansieringAvhengig av omstendighetene innhentes og kontrolleres følgende personopplysninger:  

  • Navn, entydig identitetskode (fødselsnummer, D-nummer el.l.) og adresse på privatklienter og klientrepresentanter. For virksomhetsklienter innhentes også navn på daglig leder, styremedlemmer eller personer i tilsvarende stilling som kontrollere mot offentlig register eller firmaattest.  
  • Opplysninger som er nødvendig for å forstå eierskaps- og kontrollstrukturen hos klienten. 
  • Opplysninger som er nødvendige for å identifisere eventuelle andre reelle rettighetshavere 
  • Klientforholdets formål og tilsiktede art.  
  • Gyldig legitimasjon eller lignende for identitetskontroll. 
  • Skriftlig fullmakt for fullmaktskontroll.  
  • Opplysninger om politisk eksponering og eventuelle relasjoner til politisk eksponerte personer. 
  • Ytterligere personopplysninger ved behov for forsterkede kundetiltak som nevnt i hvitvaskingsloven §§ 17 og 18. 
  • Ved eiendomsmegling: Personopplysninger for gjennomføring av kundetiltak rettet mot oppdragsgiverens medkontrahent, jf. hvitvaskingsloven § 15. 

Personopplysninger kan også behandles under klientforholdet og ved undersøkelser som nevnt i hvitvaskingsloven §§ 24 og 25.  

Personopplysninger fra hvitvaskingskontroll lagres i fem år etter at klientforholdet ble avsluttet eller transaksjonen ble gjennomført, jf. hvitvaskingsloven § 30. 

2.4 Føring av klientregister 

Kontaktinformasjon registreres i klientregisteretRegistreringen er for privatklienter nødvendig for å kunne inngå avtale med vedkommende, jf. GDPR artikkel 6 nr. 1 bokstav b. For virksomhetsklienter bygger registreringen på en interesseavveining, jf. GDPR artikkel 6 nr. 1 bokstav f. Personopplysningene lagres like lenge som saksdokumentene arkiveresda dette er nødvendig for å gjenfinne saksdokumentene. 

 2.5 Sakshåndteringlagring og arkivering av saksdokumenter 

Ved advokatoppdrag vil SBDL få tilgang til personopplysninger om parter, vitner eller andre personer som berøres av en sak. Slike opplysninger kan fremkomme av dokumenter klienten oversender eller annen korrespondanse i saken. For opplysninger om privatklienter skjer behandlingen på grunnlag av avtale med klienten, jf. GDPR artikkel 6 nr. 1 bokstav b og artikkel 9 nr. 2 bokstav b. For ikke-sensitive personopplysninger om andre enn privatklienter skjer behandlingen på grunnlag av en interesseavveining, jf. GDPR artikkel 6 nr. 1 bokstav f, idet behandlingen er nødvendig for å kunne utføre oppdraget. Sensitive personopplysninger om andre enn privatklienter behandles når det er nødvendig for å oppfylle forpliktelser og utøve rettigheter innen arbeidsrett eller for å forsvare rettskrav, jf. GDPR artikkel 9 nr. 2 bokstavene b og f. Personopplysninger knyttet til straffbare forhold behandles i den grad dette er nødvendig for å gjennomføre arbeidsrettslige plikter eller rettigheter, jf. GDPR artikkel 10, jf. personopplysningsloven § 11, jf. § 6. 

Personopplysninger i arkivverdige saksdokumenter lagres og arkiveres i saksmappe, mens andre personopplysninger slettes. Saksdokumenter arkiveres i ti år regnet fra året saken er avsluttet og arkivert, jf. domstolsloven § 224, advokatforskriften kapittel 12 og Advokatforeningens anbefaling. I enkelte tilfeller kan lengre oppbevaringstid være påkrevet, bl.a. for testamenter. Lagring i det angitte tidsrommet er vurdert som nødvendig av hensyn både til klienten og for vår egen del, siden det i ettertid kan komme opp spørsmål eller en tvist hvor den informasjonen som er lagret på en sak igjen kan bli aktuell. Det rettslige grunnlaget for behandling av personopplysninger er GDPR artikkel 6 nr. 1 bokstav f (interesseavveining, jf. den legitime interessen angitt over) og GDPR artikkel 9 nr. 2 bokstav f (fastsette, gjøre gjeldende eller forsvare rettskrav), jf. personopplysningsloven (ny 2018) § 11. 

2.6 Økonomi 

2.6.1 Registrering av tid og kostnader 

Tid og kostnader som er påløpt på en sak registreres i SBDLs regnskapssystem. Behandlingen hjemlet i GDPR artikkel 6 nr. 1 bokstav f (interesseavveining), da registreringen er nødvendig for å kunne holde en løpende oversikt over påløpte kostnader og for korrekt fakturering av arbeidet i ettertid.  

2.6.2 Fakturering 

Kontaktopplysninger som er mottatt fra virksomhetsklienter benyttes for å merke faktura som sendes til virksomheten dersom klienten ber om dette. For privatklienter benyttes personens private postadresse for utsendelse av faktura. Behandlingsgrunnlaget er GDPR artikkel 6 nr. 1 bokstav f (interesseavveining) da behandlingen er nødvendig for å ta betalt for tjenester og en forutsetning for drift av virksomheten. Fakturaer arkiveres i fem år etter regnskapsårets slutt, jf. bokføringsloven § 13. 

 2.6.3 Inkasso 

Personopplysninger på faktura behandles ved inkasso. Ved rettslig inndrivelse behandles personopplysninger på faktura og i saksdokumenter. Behandlingen er nødvendig for å gjøre gjeldende rettskrav, jf. GDPR artikkel 6 nr. 1 bokstav f (interesseavveining). Personopplysningene lagres så lenge dette er nødvendig for å gjøre gjeldende og forsvare rettskravet. 

 2.6.4 Bilagsføring og oppbevaring av regnskapsmateriale 

Personopplysninger som fremgår av regnskapsbilag lagres i fem år fra regnskapsårets slutt, jf. bokføringsloven § 13. Behandlingen skjer på grunnlag av GDPR artikkel 6 nr. 1 bokstav c (rettslig forpliktelse) og bokstav f (interesseavveining). Lengre lagringstid kan etter omstendighetene være nødvendig, f.eks. ved rettstvist, jf. GDPR art 6 nr. 1 bokstav f. 

 2.7 Betrodde midler (klientmidler) 

Ved forvaltning av klientmidler i form av penger behandles klientens navn, kontaktinformasjon og beløpets størrelse. Ved forvaltning av verdipapirer behandles i tillegg personopplysninger som fremgår av verdipapirene. Behandlingen skjer på grunnlag av avtale med klient, jf. GDPR artikkel 6 nr. 1 bokstav b (avtale) og f (interesseavveining). Personopplysningene lagres så lenge klienten ønsker at SBDL forvalter klientmidlene. 

 2.8 Kunnskapsforvaltning 

SBDL behandler personopplysninger om personer som fremgår av saksdokumenter i forbindelse med utarbeidelse av dokumenter som kan gjenbrukes, typisk avtalemaler mv. Dokumentene anonymiseres før de gjenbrukes. Behandlingsgrunnlaget er SBDLs interesse i å nyttiggjøre utarbeidet kunnskap i videre rådgivning, jf. GDPR artikkel 6 nr. 1 bokstav f (interesseavveining). Det lagres ikke personopplysninger i forbindelse med behandlingen.  

 3 Mottakere av nyhetsbrev 

SBDL distribuerer nyhetsbrev på e-post til personer som abonnerer på detteAvmelding skjer ved å klikke på avregistreringslinken i hvert nyhetsbrev eller ved å sende e-post til mail@sbdl.no. Behandlingen skjer på grunnlag av samtykke, jf. GDPR artikkel 6 nr. 1 bokstav a. Personopplysningene lagres så lenge den som har samtykket ikke trekker sitt samtykke, jf. GDPR artikkel 17 nr. 1 bokstav bVi sletter personopplysningene når samtykket trekkes.  

SBDL har tilgang til aktiviteter foretatt av mottakere av nyhetsbrev, herunder om e-post eller linker er åpnet og tidspunktet for dettePersonopplysningene behandles på grunnlag av en interesseavveining, jf. GDPR art. 6 nr. 1 bokstav f. Vi har behov for denne informasjonen for å kunne vurdere kvaliteten på innholdet i nyhetsbrevet og tilpasse innholdet til våre brukere. 

4 Brukere av våre nettsider 

For å få informasjon om bruk av SBDLs nettsider benyttes informasjonskapsler (cookies)se her.

SBDL benytter analyseverktøyet Google Analytics for statistikkformål. Tjenesten benytter informasjonskapsler (cookies) til å registrer aktiviteter på nett. Din IP-adresse vil bli registrert for at vi skal få informasjon om trafikk og bruksmønstre på nettsiden, men vil anonymiseres før informasjonen lagres og benyttes for å utarbeide statistikk. Registreringen av IP-adressen før anonymisering skjer på grunnlag av en berettiget interesse da det er nødvendig for å sikre optimal drift av nettsiden. 

Personopplysninger som samles inn lagres som følger for de enkelte informasjonskapsler: 

Navn  Beskrivelse  Lagringstid 
_ga  Benyttes til å skille mellom brukere  2 år 
_gid  Benyttes til å skille mellom brukere.  1 dag
_gat  Benyttes til å vurdere forespørselsrate.  1 dag
p.gif  Oversikt over fonter brukt på nettsiden for internt bruk.    Ingen lagring av personlig identifiserbar informasjon. 

4 Brukere av sosiale medier 

SBDL deler nyheter, artikler og annet materiale over LinkedIn og FacebookDe sosiale mediene lagrer personopplysninger som brukerne har offentliggjort om seg selv og andre i innlegglagret profil, ved opplasting eller synkronisering av kontakter, kalenderinformasjon eller e-postved bruk av tjenester til kunder og samarbeidspartnere, ved loggføring av brukernes bruk av tjenestene og lagring av bruksdata og lokasjonsdata ved hjelp av informasjonskapsler og liknende teknologi. Les mer om LinkedIn og Facebook sin behandling av personopplysninger her: https://www.linkedin.com/legal/privacy-policy og https://nb-no.facebook.com/privacy/explanation

Vår behandling av bruksanalysedata er begrenset til det som rapporteres av Facebook og LinkedIn. Før SBDL gis tilgang til bruksdataene blir personopplysningene anonymisert.

Kommuniserer du direkte med oss gjennom våre sider i sosiale medier, for eksempel ved å sende oss en melding, kommentere innlegg m.m., vil vi få tilgang til den informasjonen du selv har valgt å publisere og tilgjengeliggjøre på sosiale medier. Behandlingen skjer på grunnlag av en berettiget interesse da det er nødvendig for å sikre optimal drift og yte kundeservice, jf. GDPR artikkel 6 nr. 1 bokstav f (interesseavveining).    

5 Deltakere på frokostmøter og kurs 

SBDL behandler navn, e-postadresse og telefonnummer til personer som har meldt seg på frokostmøter og kurs. Behandlingen er nødvendig for kursadministrasjon og skjer på grunnlag av en interesseavveining, jf. GDPR artikkel 6 nr. 1 bokstav f. Personopplysningene slettes etter at frokostmøtet eller kurset er gjennomført. For undervisningsoppdrag, se punkt 2. 

6 Jobbsøkerereferanser og attestanter 

SBDL behandler personopplysninger om jobbsøkerereferanser og attestanter i forbindelse med rekrutteringVi behandler personopplysninger som fremgår av søknad, CV, attesterreferanser og i forbindelse med intervjuer. Behandlingen skjer på grunnlag av den registrertes anmodning før en avtaleinngåelse og en interesseavveining, jf. GDPR artikkel 6 nr. 1 bokstav f, idet det er nødvendig for å kunne gjennomføre rekrutteringsprosessen og vurdere søkers kvalifikasjoner. 

For søkere som får avslag lagres personopplysningene normalt 6 måneder fra avslaget, men kan lagres lengre dersom det er nødvendig for å forsvare eller gjøre gjeldende rettskrav, jf. GPDR artikkel 6 nr. 1 bokstav f. Dersom søker samtykker til lengre lagring lagres personopplysningene i perioden samtykket gjelder for eller til samtykket trekkes, jf. GDPR artikkel 6 nr. 1 bokstav a og artikkel 17 nr. 1 bokstav b. 

 7 Leverandører og samarbeidspartnere 

SBDL registrerer personopplysninger om kontaktpersoner hos leverandører og samarbeidspartnere. 
Personopplysninger i avtaler og arkivverdig korrespondanse lagres og arkiveres, mens andre personopplysninger slettes. Behandlingen er nødvendig for administrering av leverandører og samarbeidsforhold, jf. GDPR artikkel 6 nr. 1 bokstav f. Arkiverte personopplysninger lagres i inntil fem år etter at leverandør- eller samarbeidsforholdet har opphørt. 

 8 Sikkerhet  

SBDL har etablert prosedyrer for å håndtere personopplysninger på en sikker måte. Tiltakene er av teknisk og organisatorisk art. SBDL foretar jevnlige vurderinger av sikkerheten i systemer som benyttes for håndtering av personopplysninger. Det er inngått avtaler som pålegger våre databehandlere å sørge for tilfredsstillende informasjonssikkerhet. 

Tilgang til personopplysninger er begrenset til personell som har behov for tilgang for å utføre sine oppgaver. Det er etablert interne retningslinjer for behandling av personopplysninger. Det gis opplæring av ansatte med hensyn til sikkerhet og bruk av IT-systemer. 

Personopplysninger som er lagret i SBDLs IT-system vil kunne være tilgjengelige for oss eller for våre leverandører i forbindelse med oppdateringer av systemer, implementering eller oppfølging av sikkerhetstiltak, feilretting eller annet vedlikehold. Behandlingsgrunnlaget er GDPR artikkel 6 nr. 1 bokstav f (interesseavveining) og SBDLs forpliktelse til å ha tilfredsstillende informasjonssikkerhet og internkontroll, jf. GDPR artiklene 5 nr. 1, 24, 32 og 6 nr. 1 bokstav c.  

9 Kategorier av mottakere av personopplysninger 

Det vil kunne være aktuelt å utlevere personopplysninger til offentlige myndigheter, leverandører (IT, fjernarkivregnskap, revisjon, inkasso mv.), samarbeidspartnere og klienter. SBDL gir ikke personopplysninger videre til andre med mindre det foreligger et lovlig grunnlag for slik utlevering. Eksempler på slikt grunnlag vil kunne være et samtykke, at utleveringen er nødvendig for å oppfylle en avtale, at det foreligger lovgrunnlag som nødvendiggjør utlevering eller at SBDL har en tilstrekkelig berettiget interesse. SBDL utleverer ikke personopplysninger der dette er i strid med taushetsplikt, jf. art 14 nr. 5 bokstav d. SBDL oversender nødvendige personopplysninger til Økokrim dersom vi er pålagt dette etter hvitvaskingsloven § 26. 

SBDL bruker databehandlere til å behandle personopplysninger på våre vegne. Databehandlerne opptrer i henhold til inngått databehandleravtale. 

Enkelte mottakere kan befinne seg i land utenfor EU og EØS. Overføring av personopplysninger skjer i henhold til EUs standardavtaler for overføringer.   

10 Dine rettigheter 

10.1 Rett til å trekke tilbake samtykke 

Dersom en behandling av dine personopplysninger bygger på samtykke kan du til enhver tid trekke tilbake ditt samtykke. Dersom samtykket trekkes, påvirker det ikke lovligheten av tidligere behandling som bygger på samtykket før det trekkes, se GDPR artikkel 7.   

10.2 Rett til innsyn 

Du har som hovedregel rett til å kreve innsyn i personopplysningene som behandles om deg, se GDPR artikkel 15Retten til innsyn gjelder ikke for personopplysninger som nevnt i personopplysningsloven § 16, herunder for personopplysninger underlagt lovbestemt taushetsplikt. SBDL har taushetsplikt om opplysninger som innhentes fra klienter eller andre i forbindelse med advokatoppdrag, jf. advokatforskriften kapittel 12 punkt 2.3. SBDL har også taushetsplikt om behandling av personopplysninger ved hvitvaskingskontroll og eventuell oversendelse til Økokrim for etterforskning, jf. hvitvaskingsloven §§ 28 og 32. 

 10.3 Rett til retting 

Du kan etter GDPR artikkel 16 ha rett til å få uriktige personopplysninger rettet. Du har som hovedregel også rett til å få ufullstendige personopplysninger komplettert, herunder ved å framlegge en supplerende erklæring. 

 10.4 Rett til å kreve behandling begrenset 

Du kan etter GDPR artikkel 18 nr. 1 ha rett til å kreve behandling av personopplysninger om deg begrenset. Dersom behandlingen er blitt begrenset skal den behandlingsansvarlige, med unntak for lagring, kun behandle personopplysningene på for behandlinger oppgitt i personvernforordningen art. 18 nr. 2. Dersom behandlingen har blitt begrenset har du rett til å bli underrettet før begrensningen oppheves. 

 10.5 Rett til å protestere mot behandling 

Du har etter GDPR artikkel 21 nr. 1 rett til å protestere mot behandling av personopplysninger om deg som har grunnlag i berettiget interesse etter GDPR artikkel 6 nr. 1 bokstav f. SBDL kan fortsette å behandle personopplysningene dersom det foreligger tvingende berettigede grunner for behandlingen som går foran dine interesser, rettigheter og friheter eller for å fastsette, gjøre gjeldende eller forsvare rettskrav. 

 10.6 Rett til dataportabilitet 

Du kan etter GDPR artikkel 20 ha rett til å motta personopplysninger om deg i et strukturert, alminnelig anvendt og maskinlesbart format og har rett til å overføre opplysningene til en annen behandlingsansvarlig.  

 Du har rett til å få personopplysningene overført direkte til en annen behandlingsansvarlig (for eksempel et advokatfirma) dersom det er teknisk mulig. Vi har rett til å nekte å utlevere dokumenter som vi har fått i forbindelse med advokatvirksomhet så lenge utlegg og salær ikke er betalt, med mindre dette vil medføre rettstap, jf. advokatforskriften kapittel 12 punkt 3.1.7.  

 10.7 Rett til sletting («rett til å bli glemt») 

Du kan etter GDPR artikkel 17 på nærmere vilkår ha rett til å få personopplysninger om deg slettet. SBDL vil så langt som mulig imøtekomme en forespørsel om å slette personopplysninger, men kan ikke gjøre dette dersom det er tungtveiende grunner for ikke å slette, for eksempel at SBDL har lovbestemt lagringsplikt eller fortsatt lagring er nødvendig for å fastsette, gjøre gjeldende eller forsvare rettskrav. 

 11 Kontakt oss 

Du kan ta kontakt med oss dersom du har spørsmål eller kommentarer til vår personvernerklæring eller dersom du vil utøve dine rettigheter. 

Behandlingsansvarlig for personopplysningene vi behandler er Advokatfirmaet Storeng, Beck & Due Lund (SBDL) AS. Representant for behandlingsansvarlig er Thomas Braut Svendsen 

Kontaktinformasjonen til SBDL er:  

Besøksadresse: St. Olavs gate 27 

Postadresse: Postboks 1234 Vika, 0110 Oslo 

E-postadresse: firmapost@sbdl.no 

Telefon: 22 01 70 50 

Organisasjonsnr.: 922 696 810  

Din henvendelse vil bli besvart så fort som mulig og senest innen en måned etter at henvendelsen er mottatt. 

12 Rett til å klage til Datatilsynet 

Du har rett til å klage til Datatilsynet dersom du er uenig i måten SBDL behandler dine personopplysningerDu finner informasjon om hvordan kontakte Datatilsynet på Datatilsynets nettsider: www.datatilsynet.no.