1.1 Hvem Helmr behandler personopplysninger om

I forbindelse med advokatvirksomhet behandler Helmr personopplysninger om følgende kategorier registrerte:

- Privatklienter
- Klientrepresentanter hos virksomhetsklienter
- Klienter i straffesaker
- Vitner
- Motparter
- Representanter for motparter
- Kontaktpersoner hos domstoler og andre offentlige myndigheter
- Andre personer som er involvert i saker Helmr bistår i

1.2 Uavhengighetskontroll

Når Helmr kontaktes av en klient med forespørsel om vi kan ta et advokatoppdrag, foretar vi en uavhengighetssjekk internt (konfliktsjekk) før vi eventuelt sier ja til oppdraget. Uavhengighetssjekken tjener et legitimt formål og har grunnlag i GDPR artikkel 6 nr. 1 bokstav f (interesseavveining). Ved konfliktsjekk behandles navn og hva saken gjelder. Helmr lagrer ikke personopplysninger fra kontrollen.

1.3 Hvitvaskingskontroll

Helmr behandler personopplysninger i forbindelse med hvitvaskingskontroll. Behandlingen er nødvendig for å oppfylle forpliktelser etter hvitvaskingsloven, jf. GDPR artikkel 6 nr. 1 bokstav c.

Kundekontroll («kundetiltak») foretas før etablering klientforhold, gjennomføring av transaksjoner over bestemte beløp eller ved mistanke om hvitvasking eller terrorfinansiering. Avhengig av omstendighetene innhentes og kontrolleres følgende personopplysninger:

- Navn, entydig identitetskode (fødselsnummer, D-nummer el.l.) og adresse på privatklienter og klientrepresentanter. For virksomhetsklienter innhentes også navn på daglig leder, styremedlemmer eller personer i tilsvarende stilling som kontrollere mot offentlig register eller firmaattest.
- Opplysninger som er nødvendig for å forstå eierskaps- og kontrollstrukturen hos klienten.
- Opplysninger som er nødvendige for å identifisere eventuelle andre reelle rettighetshavere.
- Klientforholdets formål og tilsiktede art.
- Gyldig legitimasjon eller lignende for identitetskontroll.
- Skriftlig fullmakt for fullmaktskontroll.
- Opplysninger om politisk eksponering og eventuelle relasjoner til politisk eksponerte personer.
- Ytterligere personopplysninger ved behov for forsterkede kundetiltak som nevnt i hvitvaskingsloven §§ 17 og 18.

Personopplysninger kan også behandles under klientforholdet og ved undersøkelser som nevnt i hvitvaskingsloven §§ 24 og 25.

Personopplysninger fra hvitvaskingskontroll lagres i fem år etter at klientforholdet ble avsluttet eller transaksjonen ble gjennomført, jf. hvitvaskingsloven § 30.

1.4 Føring av klientregister

Kontaktinformasjon registreres i klientregisteret. Registreringen er for privatklienter nødvendig for å kunne inngå avtale med vedkommende, jf. GDPR artikkel 6 nr. 1 bokstav b. For virksomhetsklienter bygger registreringen på en interesseavveining, jf. GDPR artikkel 6 nr. 1 bokstav f. Personopplysningene lagres like lenge som saksdokumentene arkiveres, da dette er nødvendig for å gjenfinne saksdokumentene.

1.5 Sakshåndtering, lagring og arkivering av saksdokumenter

Ved advokatoppdrag vil Helmr få tilgang til personopplysninger om parter, vitner eller andre personer som berøres av en sak. Slike opplysninger kan fremkomme av dokumenter klienten oversender eller annen korrespondanse i saken. For opplysninger om privatklienter skjer behandlingen på grunnlag av avtale med klienten, jf. GDPR artikkel 6 nr. 1 bokstav b og artikkel 9 nr. 2 bokstav b. For ikke-sensitive personopplysninger om andre enn privatklienter skjer behandlingen på grunnlag av en interesseavveining, jf. GDPR artikkel 6 nr. 1 bokstav f, idet behandlingen er nødvendig for å kunne utføre oppdraget. Sensitive personopplysninger om andre enn privatklienter behandles når det er nødvendig for å oppfylle forpliktelser og utøve rettigheter innen arbeidsrett eller for å forsvare rettskrav, jf. GDPR artikkel 9 nr. 2 bokstavene b og f. Personopplysninger knyttet til straffbare forhold behandles i den grad dette er nødvendig for å gjennomføre arbeidsrettslige plikter eller rettigheter, jf. GDPR artikkel 10, jf. personopplysningsloven § 11, jf. § 6.

Personopplysninger i arkivverdige saksdokumenter lagres og arkiveres i saksmappe, mens andre personopplysninger slettes. Saksdokumenter arkiveres i ti år regnet fra året saken er avsluttet og arkivert, jf. domstolsloven § 224, advokatforskriften kapittel 12 og Advokatforeningens anbefaling. I enkelte tilfeller kan lengre oppbevaringstid være påkrevet, bl.a. for testamenter. Lagring i det angitte tidsrommet er vurdert som nødvendig av hensyn både til klienten og for vår egen del, siden det i ettertid kan komme opp spørsmål eller en tvist hvor den informasjonen som er lagret på en sak igjen kan bli aktuell. Det rettslige grunnlaget for behandling av personopplysninger er GDPR artikkel 6 nr. 1 bokstav f (interesseavveining, jf. den legitime interessen angitt over) og GDPR artikkel 9 nr. 2 bokstav f (fastsette, gjøre gjeldende eller forsvare rettskrav), jf. personopplysningsloven (ny 2018) § 11.

1.6 Økonomi

1.6.1 Registrering av tid og kostnader

Tid og kostnader som er påløpt på en sak registreres i Helmrs regnskapssystem. Behandlingen hjemlet i GDPR artikkel 6 nr. 1 bokstav f (interesseavveining), da registreringen er nødvendig for å kunne holde en løpende oversikt over påløpte kostnader og for korrekt fakturering av arbeidet i ettertid.

1.6.2 Fakturering

Kontaktopplysninger som er mottatt fra virksomhetsklienter benyttes for å merke faktura som sendes til virksomheten dersom klienten ber om dette. For privatklienter benyttes personens private postadresse for utsendelse av faktura. Behandlingsgrunnlaget er GDPR artikkel 6 nr. 1 bokstav f (interesseavveining) da behandlingen er nødvendig for å ta betalt for tjenester og en forutsetning for drift av virksomheten. Fakturaer arkiveres i fem år etter regnskapsårets slutt, jf. bokføringsloven § 13.

1.6.3 Inkasso

Personopplysninger på faktura behandles ved inkasso. Ved rettslig inndrivelse behandles personopplysninger på faktura og i saksdokumenter. Behandlingen er nødvendig for å gjøre gjeldende rettskrav, jf. GDPR artikkel 6 nr. 1 bokstav f (interesseavveining). Personopplysningene lagres så lenge dette er nødvendig for å gjøre gjeldende og forsvare rettskravet.

1.6.4 Bilagsføring og oppbevaring av regnskapsmateriale

Personopplysninger som fremgår av regnskapsbilag lagres i fem år fra regnskapsårets slutt, jf. bokføringsloven § 13. Behandlingen skjer på grunnlag av GDPR artikkel 6 nr. 1 bokstav c (rettslig forpliktelse) og bokstav f (interesseavveining). Lengre lagringstid kan etter omstendighetene være nødvendig, f.eks. ved rettstvist, jf. GDPR art 6 nr. 1 bokstav f.

1.7 Betrodde midler (klientmidler)

Ved forvaltning av klientmidler i form av penger behandles klientens navn, kontaktinformasjon og beløpets størrelse. Ved forvaltning av verdipapirer behandles i tillegg personopplysninger som fremgår av verdipapirene. Behandlingen skjer på grunnlag av avtale med klient, jf. GDPR artikkel 6 nr. 1 bokstav b (avtale) og f (interesseavveining). Personopplysningene lagres så lenge klienten ønsker at Helmr forvalter klientmidlene.

1.8 Kunnskapsforvaltning

Helmr behandler personopplysninger om personer som fremgår av saksdokumenter i forbindelse med utarbeidelse av dokumenter som kan gjenbrukes, typisk avtalemaler mv. Dokumentene anonymiseres før de gjenbrukes. Behandlingsgrunnlaget er Helmrs interesse i å nyttiggjøre utarbeidet kunnskap i videre rådgivning, jf. GDPR artikkel 6 nr. 1 bokstav f (interesseavveining). Det lagres ikke personopplysninger i forbindelse med behandlingen.

Helmr distribuerer nyhetsbrev på e-post til personer som abonnerer på dette. Avmelding skjer ved å svare på nyhetsbrevet eller sende e-post til mail@helmr.no. Behandlingen skjer på grunnlag av samtykke, jf. GDPR artikkel 6 nr. 1 bokstav a. Personopplysningene lagres frem til du trekker ditt samtykke, jf. GDPR artikkel 17 nr. 1 bokstav b. Vi sletter personopplysningene når samtykket trekkes.

Informasjon kommer

Helmr deler nyheter, artikler og annet materiale over LinkedIn og Facebook. De sosiale mediene lagrer personopplysninger som brukerne har offentliggjort om seg selv og andre i innlegg, i lagret profil, ved opplasting eller synkronisering av kontakter, kalenderinformasjon eller e-post, ved bruk av tjenester til kunder og samarbeidspartnere, ved loggføring av brukernes bruk av tjenestene og lagring av bruksdata og lokasjonsdata ved hjelp av informasjonskapsler og liknende teknologi. Les mer om LinkedIn og Facebook sin behandling av personopplysninger her: https://www.linkedin.com/legal/privacy-policy og https://nb-no.facebook.com/privacy/explanation

Vår behandling av bruksanalysedata er begrenset til det som rapporteres av Facebook og LinkedIn. Før Helmr gis tilgang til bruksdataene blir personopplysningene anonymisert.

Kommuniserer du direkte med oss gjennom våre sider i sosiale medier, for eksempel ved å sende oss en melding, kommentere innlegg m.m., vil vi få tilgang til den informasjonen du selv har valgt å publisere og tilgjengeliggjøre på sosiale medier. Behandlingen skjer på grunnlag av en berettiget interesse da det er nødvendig for å sikre optimal drift og yte kundeservice, jf. GDPR artikkel 6 nr. 1 bokstav f (interesseavveining).

Helmr behandler navn, e-postadresse og telefonnummer til personer som har meldt seg på frokostmøter og kurs. Behandlingen er nødvendig for kursadministrasjon og skjer på grunnlag av en interesseavveining, jf. GDPR artikkel 6 nr. 1 bokstav f. Personopplysningene slettes etter at frokostmøtet eller kurset er gjennomført. For undervisningsoppdrag, se punkt 2.

Helmr behandler personopplysninger om jobbsøkere, referanser og attestanter i forbindelse med rekruttering. Vi behandler personopplysninger som fremgår av søknad, CV, attester, referanser og i forbindelse med intervjuer. Behandlingen skjer på grunnlag av den registrertes anmodning før en avtaleinngåelse og en interesseavveining, jf. GDPR artikkel 6 nr. 1 bokstav f, idet det er nødvendig for å kunne gjennomføre rekrutteringsprosessen og vurdere søkers kvalifikasjoner.

For søkere som får avslag lagres personopplysningene normalt i 6 måneder fra avslaget, men kan lagres lengre dersom det er nødvendig for å forsvare eller gjøre gjeldende rettskrav, jf. GPDR artikkel 6 nr. 1 bokstav f. Dersom søker samtykker til lengre lagring lagres personopplysningene i perioden samtykket gjelder for eller til samtykket trekkes, jf. GDPR artikkel 6 nr. 1 bokstav a og artikkel 17 nr. 1 bokstav b.

Helmr registrerer personopplysninger om kontaktpersoner hos leverandører og samarbeidspartnere. Personopplysninger i avtaler og arkivverdig korrespondanse lagres og arkiveres, mens andre personopplysninger slettes. Behandlingen er nødvendig for administrering av leverandører og samarbeidsforhold, jf. GDPR artikkel 6 nr. 1 bokstav f. Arkiverte personopplysninger lagres i inntil fem år etter at leverandør- eller samarbeidsforholdet har opphørt.

Det vil kunne være aktuelt å utlevere personopplysninger til offentlige myndigheter, leverandører (IT, fjernarkiv, regnskap, revisjon, inkasso mv.), samarbeidspartnere og klienter. Helmr gir ikke personopplysninger videre til andre med mindre det foreligger et lovlig grunnlag for slik utlevering. Eksempler på slikt grunnlag vil kunne være et samtykke, at utleveringen er nødvendig for å oppfylle en avtale, at det foreligger lovgrunnlag som nødvendiggjør utlevering eller at Helmr har en tilstrekkelig berettiget interesse. Helmr utleverer ikke personopplysninger der dette er i strid med taushetsplikt, jf. art 14 nr. 5 bokstav d. Helmr oversender nødvendige personopplysninger til Økokrim dersom vi er pålagt dette etter hvitvaskingsloven § 26.

Helmr bruker databehandlere til å behandle personopplysninger på våre vegne. Databehandlerne opptrer i henhold til inngått databehandleravtale.

Enkelte mottakere kan befinne seg i land utenfor EU og EØS. Overføring av personopplysninger skjer i henhold til EUs standardavtaler for overføringer.

Helmr har etablert prosedyrer for å håndtere personopplysninger på en sikker måte. Tiltakene er av teknisk og organisatorisk art. Helmr foretar jevnlige vurderinger av sikkerheten i systemer som benyttes for håndtering av personopplysninger. Det er inngått avtaler som pålegger våre databehandlere å sørge for tilfredsstillende informasjonssikkerhet.

Tilgang til personopplysninger er begrenset til personell som har behov for tilgang for å utføre sine oppgaver. Det er etablert interne retningslinjer for behandling av personopplysninger. Det gis opplæring av ansatte med hensyn til sikkerhet og bruk av IT-systemer.

Personopplysninger som er lagret i Helmrs IT-system vil kunne være tilgjengelige for oss eller for våre leverandører i forbindelse med oppdateringer av systemer, implementering eller oppfølging av sikkerhetstiltak, feilretting eller annet vedlikehold. Behandlingsgrunnlaget er GDPR artikkel 6 nr. 1 bokstav f (interesseavveining) og Helmrs forpliktelse til å ha tilfredsstillende informasjonssikkerhet og internkontroll, jf. GDPR artiklene 5 nr. 1, 24, 32 og 6 nr. 1 bokstav c.

10.1 Rett til å trekke tilbake samtykke

Dersom en behandling av dine personopplysninger bygger på samtykke kan du til enhver tid trekke tilbake ditt samtykke. Dersom samtykket trekkes, påvirker det ikke lovligheten av tidligere behandling som bygger på samtykket før det trekkes, se GDPR artikkel 7.

10.2 Rett til innsyn

Du har som hovedregel rett til å kreve innsyn i personopplysningene som behandles om deg, se GDPR artikkel 15. Retten til innsyn gjelder ikke for personopplysninger som nevnt i personopplysningsloven § 16, herunder for personopplysninger underlagt lovbestemt taushetsplikt. Helmr har taushetsplikt om opplysninger som innhentes fra klienter eller andre i forbindelse med advokatoppdrag, jf. advokatforskriften kapittel 12 punkt 2.3. Helmr har også taushetsplikt om behandling av personopplysninger ved hvitvaskingskontroll og eventuell oversendelse til Økokrim for etterforskning, jf. hvitvaskingsloven §§ 28 og 32.

10.3 Rett til retting

Du kan etter GDPR artikkel 16 ha rett til å få uriktige personopplysninger rettet. Du har som hovedregel også rett til å få ufullstendige personopplysninger komplettert, herunder ved å framlegge en supplerende erklæring.

10.4 Rett til å kreve behandling begrenset

Du kan etter GDPR artikkel 18 nr. 1 ha rett til å kreve behandling av personopplysninger om deg begrenset. Dersom behandlingen er blitt begrenset skal den behandlingsansvarlige, med unntak for lagring, kun behandle personopplysningene på for behandlinger oppgitt i personvernforordningen art. 18 nr. 2. Dersom behandlingen har blitt begrenset har du rett til å bli underrettet før begrensningen oppheves.

10.5 Rett til å protestere mot behandling

Du har etter GDPR artikkel 21 nr. 1 rett til å protestere mot behandling av personopplysninger om deg som har grunnlag i berettiget interesse etter GDPR artikkel 6 nr. 1 bokstav f. Helmr kan fortsette å behandle personopplysningene dersom det foreligger tvingende berettigede grunner for behandlingen som går foran dine interesser, rettigheter og friheter eller for å fastsette, gjøre gjeldende eller forsvare rettskrav.

10.6 Rett til dataportabilitet

Du kan etter GDPR artikkel 20 ha rett til å motta personopplysninger om deg i et strukturert, alminnelig anvendt og maskinlesbart format og har rett til å overføre opplysningene til en annen behandlingsansvarlig.

Du har rett til å få personopplysningene overført direkte til en annen behandlingsansvarlig (for eksempel et advokatfirma) dersom det er teknisk mulig. Vi har rett til å nekte å utlevere dokumenter som vi har fått i forbindelse med advokatvirksomhet så lenge utlegg og salær ikke er betalt, med mindre dette vil medføre rettstap, jf. advokatforskriften kapittel 12 punkt 3.1.7.

10.7 Rett til sletting («rett til å bli glemt»)

Du kan etter GDPR artikkel 17 på nærmere vilkår ha rett til å få personopplysninger om deg slettet. Helmr vil så langt som mulig imøtekomme en forespørsel om å slette personopplysninger, men kan ikke gjøre dette dersom det er tungtveiende grunner for ikke å slette, for eksempel at Helmr har lovbestemt lagringsplikt eller fortsatt lagring er nødvendig for å fastsette, gjøre gjeldende eller forsvare rettskrav.