Personvernerklæring

Personvernerklæring gjeldende for advokatfirma Kogstad Lunde & Co pr. 01.04.2022 (Versjon 1)

1. Behandlingsansvarlig

Advokatfirma Kogstad Lunde & Co (KLCO) behandler personopplysninger i advokatvirksomhet, og er behandlingsansvarlig for slik behandling i medhold av EUs Forordning nr. 2016/679 (GDPR) artikkel 4 nr. 7. Kontaktopplysninger til den behandlingsansvarlige er: Advokatfirma Kogstad Lunde & Co DA v/daglig leder, Postboks 1360 Vika, 0113 Oslo. Organisasjonsnummer: 980687805.

2. Hvem vi behandler personopplysninger om

Denne personvernerklæringen retter seg mot vår behandling av personopplysninger om følgende personer:
· Private klienter
· Kontaktpersoner hos virksomhetsklienter
· Kontaktpersoner hos våre leverandører og samarbeidspartnere
· Personer som er involvert i saker vi behandler
· Andre personer som er omtalt i saksdokumenter vi får tilgang til
· Besøkende på vår nettside

3. Formål, typer personopplysninger og rettslig grunnlag

Nedenfor er det gitt en oversikt over hvilke formål vi behandler personopplysninger for, hvilke typer personopplysninger vi behandler, og det rettslige grunnlaget for behandlingen.

3.1 Etablering av klientforhold

Når vi kontaktes av en klient med forespørsel om vi kan ta et oppdrag, foretar vi en uavhengighetssjekk internt (konfliktavklaring) før vi eventuelt påtar oss oppdraget. Uavhengighetssjekken tjener et legitimt formål og har grunnlag i GDPR artikkel 6 nr. 1 bokstav f (for å ivareta en berettiget interesse). Konfliktsjekk av privatkunder omfatter som regel fullt navn og hva saken gjelder. Dersom vi kan ta oppdraget behandles det opplysninger om privat klient i form av navn, postadresse, post nr./-sted, telefon/mobiltelefonnummer, telefaksnummer, e-postadresse og fødselsnummer. Rettslig grunnlag følger av GDPR artikkel 6 nr. 1 bokstav b (for å oppfylle avtale med klient).

Behandling av klientens fødselsnummer er nødvendig for å oppnå sikker identifisering av klient for å oppfylle lovpålagt krav til hvitvaskingskontroll. Rettslig grunnlag for behandling av fødselsnummer følger av personopplysningslovens § 12 og GDPR artikkel 6 nr. 1 bokstav c (for å oppfylle rettslig forpliktelse).

Ved advokatoppdrag for virksomhetsklienter er det nødvendig å behandle personopplysninger om kontaktpersoner hos klient. Behandlingen gjelder opplysninger om navn på kontaktpersoner, telefon/mobiltelefonnummer og e-postadresse. Rettslig grunnlag følger av GDPR artikkel 6 nr. 1 bokstav f (for å ivareta en berettiget interesse).

3.2 Sakshåndtering og opplysninger om motpart og andre tredjepersoner

I saksbehandlingen vil vi behandle personopplysninger som er relevant for den sak og sakstype som behandles. Dette vil typisk være opplysninger om faktiske forhold som er nødvendige for å kunne vurdere og avgjøre rettslige problemstillinger som advokatoppdraget gjelder. Hva slags personopplysninger som er relevante og nødvendige å behandle vil variere fra sak til sak, og vil være avhengig av sakstype.

Enkelte advokatoppdrag innebærer at vi får tilgang til personopplysninger om parter eller andre enkeltpersoner som berøres av en sak. Slike opplysninger kan fremkomme av dokumenter klienten oversender eller annen korrespondanse i saken. Det kan f.eks. gjelde personopplysninger om kravstillere, motparter, kontraktsparter, vitner, kontaktpersoner hos virksomhetsklient og andre personer med tilknytning til saksforholdet.

Behandling av personopplysninger som gjelder en privat klient har rettslig grunnlag i GDPR artikkel 6 nr. 1 bokstav b (for å oppfylle avtale med klient). Rettslig grunnlag for behandling av personopplysninger om motparter og andre enkeltpersoner som berøres av saken følger GDPR artikkel 6 nr. 1 bokstav f (for å ivareta en berettiget interesse).

For å kunne fastsette, gjøre gjeldende eller forsvare et rettskrav, vil det i noen saker være nødvendige å behandle særlig kategori personopplysninger, blant annet helseopplysninger, opplysninger om fagforeningsmedlemskap, straffbare forhold/ lovovertredelser. Rettslig grunnlag for slik behandling følger av GDPR artikkel 9 nr. 2 bokstav f og personopplysningsloven § 11 (ny lov i 2018).

3.3 Klientadministrasjon

Saker som behandles for klient blir registrert i vårt saksbehandlingssystem. Her lagres alle saksdokumenter og det registreres tidsforbruk og kostnader som er påløpt. Tidsforbruk og påløpte kostnader danner grunnlag for fakturering og avregning av vårt salær. Ved timeregistrering og fakturering vil det bli behandlet opplysninger som kan identifisere saken
hos klient, som for eksempel saksnummer, navn på saken, og navn på kontaktperson hos virksomhetsklient.

Rettslig grunnlag for behandlingen følger av GDPR artikkel 6 nr. 1 bokstav b (for å oppfylleavtale med klient). For virksomhetsklient følger det rettslige grunnlaget av GDPR artikkel 6 nr. 1 bokstav f (for å ivareta en berettiget interesse).

3.4 Lagring/oppbevaring av saksdokumenter

Alle saksdokumenter blir lagret/oppbevart sikkert og er underlagt streng tilgangskontroll. Saksdokumenter vil bli lagret i 10 år etter at oppdraget er avsluttet. Lagring i det angitte tidsrom er nødvendig av hensyn til både klienten og advokatfirmaet. Selv om advokatoppdaget er avsluttet kan det i ettertid oppstå spørsmål eller tvist hvor den informasjonen som er lagret kan bli aktuell. Behandlingen er i samsvar med god advokatskikk og med krav til lagringstid angitt i advokatforskriftens § 7-10.

Rettslig grunnlag for behandlingen følger av GDPR artikkel 6 nr. 1 bokstav f (for å ivareta en berettiget interesse), GDPR artikkel 9 nr. 2 bokstav f, eller GDPR artikkel 17 nr. 3 bokstav b (for å fastsette, gjøre gjeldende eller forsvare rettskrav), og personopplysningsloven § 11 (ny lov i 2018).

3.5 Avdekke og forebygge økonomisk kriminalitet

Det vil bli behandlet opplysninger som er nødvendige for å oppfylle krav gitt i medhold av hvitvaskingsloven § 4 (2) nr. 3, jf. §§ 17 og 18. Behandlingen omfatter som hovedregel opplysninger om klientens navn, fødselsnummer, adresse, referanse til legitimasjon, type legitimasjon.

Rettslig grunnlag for behandling følger av GDPR artikkel 6 nr. 1 bokstav c (oppfylle rettslig forpliktelse).

3.6 Besøkende i våre kontorlokaler

Ved besøk i våre kontorlokaler blir det registrert opplysninger om navn på den besøkende, dato for besøket, firmaet som den besøkende eventuelt representerer, navn på den medarbeider hos oss som besøkes, klokkeslett for ankomst og klokkeslett for når den besøkende forlater lokalene. Opplysningene blir lagret i to måneder.

Behandlingen er nødvendig for å ha kontroll og oversikt over besøkende i firmaets lokaler, både av hensyn til den besøkende egen sikkerhet, og for å oppfylle krav til personopplysnings-sikkerhet jf. GDPR artikkel 32. Rettslig grunnlag for behandlingen følger av GDPR artikkel 6 nr. 1 bokstav f (for å ivareta en berettiget interesse) og GDPR artikkel 6 nr. 1 bokstav c (for å oppfylle en rettslig forpliktelse).

3.7 Kunnskapsforvaltning

Dokumenter som lagres i forbindelse med saksbehandlingen kan bli lagret i egen database for intern kunnskapsdeling og gjenbruk. Slike dokumenter blir anonymisert, og det vil ikke være mulig å identifisere enkeltpersoner.

Behandlingen er et ledd i vårt arbeid med intern kunnskapsdeling og for å kunne forbedre kvaliteten på våre advokattjenester. Rettslig grunnlag for behandlingen følger av GDPR artikkel 6 nr. 1 bokstav f (for å ivareta en berettiget interesse).

3.8 IT-drift og sikkerhet

Personopplysninger som er lagret i våre IT-systemer vil være tilgjengelige for våre leverandører i forbindelse med oppdateringer av systemer, implementering eller oppfølging av sikkerhetstiltak, feilretting eller annet vedlikehold. Rettslig grunnlag for behandlingen følger av GDPR artikkel 6 nr. 1 f (interesseavveining, jf. vår legitim interesse knyttet til nevnte
aktiviteter) og vår rettslig forpliktelse til å ha tilfredsstillende informasjonssikkerhet, jf. GDPR artiklene 32 og 6 nr. 1 bokstav c (for å oppfylle en rettslig forpliktelse).

3.9 Kontaktpersoner hos våre leverandører og samarbeidspartnere

Vi behandler personopplysninger om kontaktpersoner hos våre leverandører og samarbeidspartnere. Behandlingen gjelder opplysninger om navn på kontaktpersoner, tittel/stilling, telefon/mobiltelefonnummer og e-postadresse. Behandlingen er nødvendig for å kunne følge opp avtaler og samarbeid med våre forbindelser. Rettslig grunnlag følger GDPR artikkel 6 nr. 1 bokstav f (for å ivareta en berettiget interesse).

3.10 Markedsføring, kursvirksomhet og utsendelse av nyhetsbrev

Vi bruker vår hjemmeside klco.no til markedsføring av firmaets advokattjenester, kursvirksomhet og til formidling av nyhetsbrev.

Ved oppslag på hjemmesiden brukes informasjonskapsler. For publiseringsløsningen, klcosession (er sesjons-avhengig, slettes når nettleseren lukkes). For å huske din aksept av bruk av informasjonskapsler: cookienotice_accepted (lagres i 1 år)
Ved abonnement på nyhetsbrev registreres din e-postadresse og de fagområder du abonnerer på. Opplysningene blir lagret så lenge abonnementet er aktivt. Du kan selv endre eller slette ditt abonnement ved å bruke linken "Endre mitt abonnement" i bunnteksten av nyhetsbrevet. Ved sletting av abonnement slettes alle dine opplysninger. Du vil motta nyhetsbrev dersom du har bestilt abonnement på vår hjemmeside og samtykket til behandlingen.

Utsendelse av nyhetsbrev skjer i samarbeid med Twilio Ireland Ltd. Ved utsendelse av nyhetsbrev blir din e-postadresse overført til Twilio som distribuerer våre nyhetsbrev til alle abonnenter. Twilio er et multinasjonalt selskap underlagt bindende virksomhetsregler (BCR) godkjent av European Data Protection Board (EDPB) 25. mai 2018 i medhold av GDPR artikkel 46 nr. 2 bokstav b og artikkel 47.

Rettslig grunnlag for behandlingen følger av GDPR artikkel 6 nr. 1 bokstav a (samtykke).

Ved påmelding til kurs via klco.no registreres kontaktopplysninger for kursdeltaker og nødvendige opplysninger for å kunne administrere påmeldingen og utstede faktura. Etter at kurset er avholdt vil du motta en link til et anonymt evalueringsskjema som blir lagret dersom det blir utfylt. Opplysningene vil bli lagret i 3 måneder etter at kurset er avholdt.
Rettslig grunnlag for behandlingen følger av GDPR artikkel 6 nr. 1 bokstav b (for å kunne oppfylle en avtale).

4. Hvem vi deler personopplysninger med

Vi bruker underleverandører for lagring, drift og vedlikehold av virksomhetens informasjons og kommunikasjonsteknologi. Alle personopplysninger lagres eksternt hos vår IT-leverandør. Personopplysninger som er lagret i IT-systemene vil være tilgjengelige for våre leverandører i forbindelse med drift, oppdateringer av systemer, implementering eller oppfølging av
sikkerhetstiltak, feilretting eller annet vedlikehold. Leverandørene opptrer i henhold til databehandleravtale og under vår instruks i samsvar med GDPR artikkel 28.

Dersom du er advokat eller advokatfullmektig og gir ditt samtykke, vil opplysninger om din deltakelse på våre kurs bli delt med Advokatforeningen for søknad om godkjenning av etterutdanningstimer. Rettslig grunnlag følger for behandlingen følger av GDPR artikkel 6 nr. 1 bokstav a (samtykke).

Advokater og deres medarbeidere er underlagt en straffesanksjonert taushetsplikt som følger av straffeloven § 211. Alle opplysninger som blir betrodd oss i forbindelse med et oppdrag blir håndtert konfidensielt. Vi utleverer ikke personopplysninger i andre tilfeller eller på andre måter enn dem som er beskrevet i denne personvernerklæringen med mindre klienten eksplisitt oppfordrer til, eller samtykker til dette, eller utleveringen er lovpålagt.

5. Hvor lang tid personopplysningene lagres

Personopplysninger som behandles hos oss vil bli lagret så lenge det er nødvendig for å oppfylle formålet med behandlingen. Opplysningene kan bli lagret lengre tid hvis dette er tillatt eller pålagt i lov. Her er en oversikt over hvor lang tid vi lagrer personopplysninger:
· Klientopplysninger og opplysninger om kontaktperson hos virksomhetsklienter blir lagret så lenge klientforholdet varer, og
i inntil 10 år etter at klientforholdet er avsluttet.
· Saksdokumenter, personopplysninger ved sakshåndtering og personopplysninger om motpart og andre tredjepersoner blir
lagret i 10 år etter at oppdraget er avsluttet.
· Opplysninger som behandles for å avdekke og forebygge økonomisk kriminalitet bli lagret i fem år etter at klientforholdet
er avsluttet eller transaksjonen er gjennomført, med mindre lengre frister følger av lov eller forskrift. Dokumentene og
opplysningene vil bli slettet innen ett år at oppbevaringsplikten opphørte.
· Opplysninger om besøkende i våre lokaler blir lagret i to måneder.
· Opplysninger om kontaktpersoner hos våre leverandører og samarbeidspartnere blir lagret så lenge det er nødvendig for
avtaleforhold/samarbeidet, og i inntil 10 år etter opphør av avtale/samarbeid.

Personopplysninger i forbindelse med markedsføring, kursvirksomhet, og utsendelse av nyhetsbrev, se pkt. 3.8.
Regnskapslovgivning pålegger oss ellers å lagre bestemte regnskapsdokumenter i et nærmere angitt tidsrom. Når et bestemt formål tilsier lagring i et gitt tidsrom, sørger vi for at personopplysningene utelukkende blir benyttet for det aktuelle formålet i dette tidsrommet.

6. Dine rettigheter

Etter gjeldede personvernregler (GDPR kapittel 3) har du rettigheter som kan komme til anvendelse når det behandles personopplysninger om deg. Dine rettigheter kan være begrenset av regler i GDPR, personopplysningsloven, andre lovbestemmelser, eller som følge av andre omstendigheter. Dersom du vil bruke dine rettigheter kan du ta kontakt med den advokaten som behandler din sak.

6.1 Trekke tilbake et samtykke

Dersom behandlingen hos oss er basert på ditt samtykke, kan du til enhver tid trekke tilbake samtykket. Beslutningen om å trekke tilbake samtykket påvirker ikke lovligheten av den behandling som er utført før samtykket trekkes tilbake. Tilbakekall av et samtykke har heller ikke virkning for opplysninger som kan behandles i medhold av et annet rettslig grunnlag.

Dersom du har gitt samtykke til å motta nyhetsbrev fra oss, kan du når som helst trekke dette samtykket tilbake. Vi har lagt til rette for at du enkelt kan reservere deg mot denne typen henvendelser ved å inkludere en link til avregistreringsskjema i hver enkelt henvendelse.

6.2 Innsyn og informasjon om behandlingen

Du kan be om å få informasjon om formålet med behandlingen, hvilken kategori personopplysninger som er registrert, hvem som har mottatt eller fått utlevert opplysningene, hvor lenge det forventes at opplysningene vil bli lagret, og informasjon om hvor opplysningene stammer fra dersom disse er innhentet fra andre. Du kan også be om å få kopi av de personopplysninger som behandles om deg. For å sikre at personopplysninger utleveres til rett person, kan vi stille krav om at begjæring om innsyn skjer skriftlig eller at identitet verifiseres på annen måte.

Begrensninger i din rett til innsyn og informasjon følger av GDPR artikkel 14 nr. 5 og personopplysningslovens § 16. Retten gjelder blant annet ikke for opplysninger som det er påkrevd å hemmeligholde av hensyn til forebygging, etterforskning, avsløring og rettslig forfølgning av straffbare handlinger. Retten til innsyn og informasjon gjelder heller ikke for
opplysninger som i lov eller i medhold av lov er underlagt taushetsplikt. Unntak fra informasjonsplikten gjelder også dersom det å gi informasjon er umulig eller vil innebære uforholdsmessig stor innsats.

6.3 Retting eller sletting

Du kan be oss om å rette feilaktige opplysninger vi har om deg, eller be oss om å slette personopplysninger. Opplysningene kan ikke slettes dersom behandlingen er nødvendig for å oppfylle en avtale med deg som klient, eller dersom behandlingen har et annet rettslig grunnlag.

6.4 Dataportabilitet

I noen tilfeller vil du kunne ha adgang til å få utlevert personopplysninger du har oppgitt til oss for å få disse overført i et maskinlesbart format til et annet advokatfirma. Dersom det er teknisk mulig vil det i enkelte tilfeller være adgang til å få disse overført direkte til det andre firmaet.

6.5 Protestere mot behandlingen

Du kan protestere mot behandlingen av personopplysninger der behandling skjer på grunnlag av samtykke, eller er basert på en interesseavveining jf. GDPR artikkel 6 nr. 1 bokstav f.

6.6 Klage til tilsynsmyndigheten

Dersom du mener at vi behandler dine personopplysninger i strid med gjeldende personvernregler eller at dine rettigheter etter personvernreglene blir krenket, kan du sende en skriftlig klage til Datatilsynet, Postboks 8177 Dep., 0152 Oslo. Datatilsynets vedtak kan påklages videre til Personvernnemda.

Vi har utpekt et personvernombud. Før du eventuelt klager til Datatilsynet kan du først sende en skriftlig henvendelse til vårt personvernombud. Se pkt. 8.

7. Sikkerhet

Vi har etablert prosedyrer for å håndtere personopplysninger på en sikker måte. Tiltakene er både av teknisk, og organisatorisk art. Vi foretar jevnlige vurderinger av sikkerheten i alle sentrale systemer som benyttes for håndtering av personopplysninger, og det er inngått avtaler som pålegger leverandører av slike systemer å sørge for tilfredsstillende informasjonssikkerhet. Tilgang til personopplysninger (og klient-/saksinformasjon) er begrenset til personell som har behov for tilgang for å utføre sine oppgaver. Vi har vedtatt interne IT-retningslinjer, og vi foretar jevnlig opplæring av ansatte med hensyn til sikkerhet og bruk av IT-systemer.

8. Personvernombud

Vi har oppnevnt advokat Jan Aubert som personvernombud. Du kan ta kontakt med ham angående spørsmål om behandling av dine personopplysninger hos oss. Ombudet kan også svare på spørsmål om dine personvernrettigheter etter gjeldende personvernregler. Kontaktopplysninger til vårt personvernombud: Partner/advokat Jan Aubert, Advokatfirma Kogstad Lunde & Co DA, Postboks 1360 Vika, 0113 Oslo. E-post: ja@klco.no

KLCO, 01. april 2022


Vi vil kunne gjøre mindre endringer i denne personvernerklæringen. Du vil alltid finne siste versjon på vår nettside. Ved vesentlige endringer vil vi varsle om dette.