PERSONVERNERKLÆRING FOR IOM LAW
[Text in English to be published soon]
Sist endret: 22.02.19
Denne personvernerklæringen gjelder for IOM Law AS ("vi" eller "oss"). Vi er behandlingsansvarlige for behandlingen av personopplysninger som er beskrevet i denne personvernerklæringen.
Personvernerklæringen forteller deg hvordan vi samler inn personopplysninger og hva vi bruker dem til. Den inneholder også informasjon om hvordan vi sikrer personopplysningene, hvem vi deler dem med og dine rettigheter.
Hvem sine og hva slags personopplysninger vi behandler
Denne personvernerklæringen retter seg mot vår behandling av personopplysninger om følgende personer:
- Privatkunder
- Kontaktpersoner hos virksomhetsklienter
- Kontaktpersoner hos våre leverandører og samarbeidspartnere
- Personer som er involvert i saker vi bistår i
- Andre personer som er omtalt i saksdokumenter vi får tilgang til
- Søkere til stillinger
IOM Law behandler blant annet opplysninger som navn, postadresse e-postadresse, telefonnummer, fødselsnummer, kredittopplysninger.
Det er frivillig å gi oss tilgang til dine personopplysninger. I enkelte tilfeller vil vi imidlertid kunne trenge slik informasjon for å levere avtalte tjenester, kontakte deg, mv.
Hvilke formål bruker vi personopplysningene til
Vi behandler personopplysninger ved håndtering av våre klientoppdrag, herunder etablering av klientforhold, sakshåndtering, klientadministrasjon, lagring og oppbevaring av saksdokumenter, kunnskapsforvaltning, fakturering, IT-drift og sikkerhet. Vi behandler også personopplysninger i jobbsøknadsprosesser.
Hva er det rettslige grunnlaget for vår behandling av personopplysninger
-Etablering av klientforhold:
Når vi kontaktes av en klient med forespørsel om vi kan ta et oppdrag, foretar vi en uavhengighetssjekk internt (konfliktavklaring) før vi eventuelt sier ja til oppdraget. Uavhengighetssjekken tjener et legitimt formål og har grunnlag i GDPR artikkel 6 nr. 1 bokstav f (interesseavveining). Konfliktsjekk av privatkunder omfatter som regel fullt navn, hva saken gjelder og, hvis relevant, kredittverdighet. Generelt sett vil ikke konfliktsjekk på vegne av virksomhetskunder innebære behandling av personopplysninger.
I tilknytning til etableringen av et klientforhold vil vi foreta en kundekontroll for å oppfylle våre lovpålagte plikter etter hvitvaskingslovgivningen. Vi vil blant annet registrere og kontrollere identitet. Det innebærer at navn, adresse og fødselsdato vil bli registrert, og det vil bli tatt kopi av identitetsdokument, som pass eller førerkort. Kundekontrollen er nødvendig for å oppfylle våre rettslige forpliktelser, jf. GDPR artikkel 6 nr. 1 bokstav c.
Dersom vi kan ta oppdraget, registreres kontaktinformasjon, herunder navn, adresse, telefonnummer og e-postadresse. For virksomhetsklienter vil det vanligvis bli registrert en eller flere kontaktpersoner, med tilhørende telefonnumre og e-postadresser. Registreringen av kontaktopplysninger er for privatkunder nødvendig for å kunne inngå avtale med vedkommende, jf. GDPR artikkel 6 nr. 1 bokstav b. For virksomhetskunder bygger registreringen av kontaktopplysninger på en interesseavveining, jf. GDPR artikkel 6 nr. 1 bokstav f.
-Sakshåndtering:
Det behandles i denne forbindelse personopplysninger som er nødvendige i relasjon til den aktuelle saken. Enkelte advokatoppdrag innebærer at vi får tilgang til personopplysninger om parter eller andre enkeltpersoner som berøres av en sak. Slike opplysninger kan fremkomme av dokumenter klienten oversender eller annen korrespondanse i saken. For privatklienter er behandlingen nødvendig for å kunne oppfylle en avtale som den registrerte er part i, jf. GDPR artikkel 6 nr. 1 bokstav b. Behandlingen av personopplysninger i forbindelse med oppdrag for virksomhetskunder er forankret i GDPR artikkel 6 nr. 1 bokstav f (interesseavveining). I noen saker får vi også tilgang til sensitive personopplysninger, f.eks. helseopplysninger eller straffedommer og lovovertredelser. I slike tilfeller har behandlingen av opplysningene hjemmel i GDPR artikkel 9 nr. 2 bokstav f (behandlingen er nødvendig for å fastsette, gjøre gjeldende eller forsvare et rettskrav), jf. personopplysningsloven § 11.
-Klientadministrasjon:
Det opprettes egne saksmapper for oppdrag som utføres på vegne av klienten. Tid og kostnader som er påløpt på en sak registreres i vårt regnskapssystem. For virksomhetskunder er det vi gjør i forbindelse med klientadministrasjon hjemlet i GDPR artikkel 6 nr. 1 bokstav f (interesseavveining), mens det for privatkunder anses som en nødvendig del av det å oppfylle avtalen med vedkommende, jf. GDPR artikkel 6 nr. 1 bokstav b.
-Lagring og oppbevaring av saksdokumenter:
Vi oppbevarer normalt saksdokumenter i ti år etter at oppdraget er avsluttet. Lagring i det angitte tidsrommet er vurdert som nødvendig av hensyn både til klienten og for vår egen del, siden det i ettertid kan komme opp spørsmål eller en tvist hvor den informasjonen som er lagret på en sak igjen kan bli aktuell. Det rettslige grunnlaget for behandling av personopplysninger er GDPR artikkel 6 nr. 1 bokstav f (interesseavveining) og GDPR artikkel 9 nr. 2 bokstav f (fastsette, gjøre gjeldende eller forsvare rettskrav), jf. personopplysningsloven § 11.
Advokatene arbeider i kontoravdelinger som er avlåst mot uvedkommende.
For å kunne gjenbruke utarbeidede dokumenter i senere saker, vil vi kunne registrere anonymiserte versjoner av dokumentene i et erfaringsarkiv. Offentlig tilgjengelig informasjon, slik som rettsavgjørelser mv., vil normalt ikke bli anonymisert. Behandlingsgrunnlaget er vår interesse i å nyttiggjøre utarbeidet kunnskap i videre rådgivning, jf. GDPR artikkel 6 nr. 1 bokstav f (interesseavveining).
-Fakturering:
Kontaktopplysninger som er mottatt fra virksomhetskunder benyttes for å merke faktura som sendes til virksomheten. For privatkunder, benyttes personens private postadresse for utsendelse av faktura. Behandlingsgrunnlaget er GDPR artikkel 6 nr. 1 bokstav f (interesseavveining) for virksomhetskunder og GDPR artikkel 6 nr. 1 bokstav b (nødvendige for å oppfylle avtalen med den registrerte) for privatkunder.
-IT-drift og sikkerhet:
Personopplysninger som er lagret i våre IT-systemer vil kunne være tilgjengelige for oss eller for våre leverandører i forbindelse med oppdateringer av systemer, implementering eller oppfølging av sikkerhetstiltak, feilretting eller annet vedlikehold. Behandlingsgrunnlaget er GDPR artikkel 6 nr. 1 bokstav f (interesseavveining) og vår rettslige forpliktelse til å ha tilfredsstillende informasjonssikkerhet, jf. GDPR artiklene 32 og 6 nr. 1 bokstav c.
-Rekruttering:
I forbindelse med rekruttering behandler vi CVer, søknader, attester, vitnemål mv. Behandlingen har grunnlag i GDPR artikkel 6 nr. 1 bokstav b (gjennomføre tiltak på grunnlag av søknaden med sikte på å inngå en arbeidsavtale). Personopplysningene innhentes fra søkeren og fra oppgitte referanser. Dersom vi beholder søknadsdokumentasjon etter en rekrutteringsprosess er avsluttet, skjer dette på grunnlag av samtykke fra den som søker stillingen, jf. GDPR artikkel 6 nr. 1 bokstav a.
- Sosiale medier:
IOM Law bruker Facebook. Vi følger de retningslinjer som gjelder for kontoadministratorer og behandler personopplysninger i henhold til vilkår for behandling hos Facebook.
Gjennom Facebook Innsikt kan vi se informasjon om personer som følger IOM Law som kjønn, land, by/sted og språk. Vi kan også se ut fra valgt tidsperiode hvor mange personer som har besøkt siden vår og hvor mange som er nådd gjennom innlegg. I tillegg vil vi se antall likerklikk, delinger og følgere på vår side og våre sideaktiviteter.
Behandling av personopplysninger for markedsføringsformål ved utsendelse av elektronisk kommunikasjon, bruk av hjemmesiden vår og Facebook har hjemmel i GDPR art 6 nr 1. bokstav a (samtykke) med mindre annet behandlingsgrunnlag er oppgitt.
Hvem utleverer vi eventuelt personopplysninger til
Våre leverandører av IT-tjenester vil kunne ha tilgang til personopplysninger dersom personopplysninger er lagret hos leverandøren eller på annen måte er tilgjengelig for leverandøren i henhold til kontrakten med oss. Leverandørene opptrer i henhold til databehandleravtale og under vår instruks. Leverandøren kan bare benytte personopplysningene for de formålene vi har bestemt og som er beskrevet i denne personvernerklæringen.
Advokater er underlagt en straffesanksjonert taushetsplikt som følger av straffeloven § 111. Alle opplysninger som blir betrodd oss i forbindelse med et oppdrag blir håndtert konfidensielt.
Vi utleverer ikke personopplysninger i andre tilfeller eller på andre måter enn dem som er beskrevet i denne personvernerklæringen med mindre klienten eksplisitt oppfordrer til eller samtykker til dette eller utleveringen er lovpålagt. Eksempler på dette er rettslige forpliktelser som pålegger oss å gi ut informasjon til motparter, domstoler eller offentlige organer
Hvor lenge lagres personopplysningene
Vi oppbevarer ikke personopplysninger lengre enn det som er nødvendig for å levere våre advokattjenester eller for å oppfylle formålet med behandlingen på annen måte. Som det fremgår ovenfor vil saksdokumenter og tilhørende kontaktinformasjon normalt bli lagret i ti år.
Faktureringsinformasjon og personopplysninger relatert til klientkontroll vil bli lagret i det tidsrommet som følger av lovpålagte krav, slik som bokføringslovgivningen og hvitvaskingslovgivningen.
Når et bestemt formål tilsier lagring i et gitt tidsrom, sørger vi for at personopplysningene utelukkende blir benyttet for det aktuelle formålet i dette tidsrommet.
Dine rettigheter som registrert
Du har rettigheter i personopplysninger som omhandler deg. Hvilke rettigheter du har, avhenger av omstendighetene.
Trekke samtykke tilbake: Du kan når som helst trekke ditt samtykke tilbake med henblikk på behandlingen av personopplysninger ved å rette en henvendelse til oss om dette.
Be om innsyn: Du har rett til innsyn i hvilke personopplysninger vi har registrert om deg, så langt ikke taushetsplikten er til hinder for dette. For å sikre at personopplysninger utleveres til rett person, kan vi stille krav om at begjæring om innsyn skjer skriftlig eller at identitet verifiseres på annen måte.
Be om retting eller sletting: Du kan be oss om å rette feilaktige opplysninger vi har om deg eller be oss om å slette personopplysninger. Vi vil så langt som mulig imøtekomme en forespørsel om å slette personopplysninger, men vi kan ikke gjøre dette dersom det er tungtveiende grunner for ikke å slette, for eksempel at vi må lagre opplysningene av dokumentasjonshensyn.
Dataportabilitet: I noen tilfeller vil du kunne ha adgang til å få utlevert personopplysninger du har oppgitt til oss for å få disse overført i et maskinlesbart format til et annet advokatfirma. Dersom det er teknisk mulig vil det i enkelte tilfeller være adgang til å få disse overført direkte til det andre firmaet.
Klage til tilsynsmyndigheten: Dersom du er uenig i måten vi behandler dine personopplysninger på, kan du sende inn en klage til Datatilsynet.
Sikkerhet
Vi har etablert prosedyrer for å håndtere personopplysninger på en sikker måte. Tiltakene er både av teknisk og organisatorisk art. Vi foretar jevnlige vurderinger av sikkerheten i alle sentrale systemer som benyttes for håndtering av personopplysninger, og det er inngått avtaler som pålegger leverandører av slike systemer å sørge for tilfredsstillende informasjonssikkerhet. Tilgang til personopplysninger (og klient-/saksinformasjon) er begrenset til personell som har behov for tilgang for å utføre sine oppgaver. Vi har vedtatt interne IT-retningslinjer, og vi foretar jevnlig opplæring av ansatte med hensyn til sikkerhet og bruk av IT-systemer.
Endringer i personvernerklæringen
Vi vil kunne gjøre mindre endringer i denne personvernerklæringen. Ved vesentlige endringer vil vi varsle om dette.
Kontakt oss
Dersom du har spørsmål eller kommentarer til vår personvernerklæring eller du vil utøve dine rettigheter, kan du ta kontakt med oss på meg@iomlaw.no