Personuppgiftspolicy
ADVOKATFIRMAN BONDE DE JOUNGE AB
POLICY FÖR BEHANDLING AV PERSONUPPGIFTER
1 Bakgrund och syfte
1.1 Advokatfirman Bonde de Jounge AB, org.nr. 556940-2554 (”Advokatfirman”, ”oss”, ”vi” eller ”vår”) värnar om sina klienters, leverantörers, partners och anställdas integritet och är alltid måna om att följa gällande dataskyddsregelverk. Var och en har rätt till skydd av de personuppgifter som rör honom eller henne.
1.2 Vi har antagit denna policy för behandling av personuppgifter för att säkerställa att alla inom organisationen följer dataskyddsreglerna. Policyn gäller för Advokatbyråns samtliga anställda och konsulter på alla marknader och vid var tid. Advokatfirman behandlar dina personuppgifter i enlighet med den vid tillfället gällande lagstiftningen och enligt denna policy.
2 Grundläggande principer
2.1 De grundläggande principer som beskrivs nedan ska alltid iakttas när personuppgifter behandlas. Advokatfirman ansvarar för och ska kunna visa att principerna efterlevs.
2.1.1 Laglighet, skälighet, transparens – Personuppgifter ska behandlas lagligt, korrekt och transparent i förhållande till den registrerade. Det innebär att varje typ av behandling ska baseras på en giltig s k laglig grund, såsom exempelvis fullgörande av avtal, fullgörande av en rättslig förpliktelse eller genom att utföra en uppgift av allmänt intresse, berättigat intresse eller genom samtycke (se avsnitt 4 nedan). Kan man inte identifiera någon laglig grund som är tillämplig för behandlingen får behandlingen således inte utföras. Utgångspunkten för denna princip är tydlig kommunikation med den registrerade om bl a för vilka ändamål personuppgifterna behandlas, vilken typ av behandling som utförs, om och hur personuppgifterna delas med andra, hur länge personuppgifterna lagras och hur man kommer i kontakt med Advokatfirman. De registrerade ska alltså ges tydlig och transparent information om behandlingen av deras personuppgifter.
2.1.2 Ändamålsbegränsning – Personuppgifter får endast samlas in och på annat sätt behandlas för särskilda, uttryckligt angivna och berättigade ändamål och de får inte senare behandlas på ett sätt som är oförenligt med dessa ändamål.
2.1.3 Uppgiftsminimering – Personuppgifter som behandlas ska vara adekvata, relevanta och inte alltför omfattande i förhållande till ändamålen. Vi säkerställer att uppgifterna som samlas in verkligen behövs och frågar inte efter information enbart för att den kanske kan vara bra att ha.
2.1.4 Riktighet – personuppgifter som behandlas ska vara korrekta och om nödvändigt uppdaterade. Vi vidtar lämpliga åtgärder för att se till att felaktiga eller ofullständiga uppgifter rättas. Detta exempelvis genom rutiner för ändring av adress vid flytt tillsammans med en sammanställning av system och register där adressen lagras. Vi undviker att lagra kopior av uppgifter i många system i syfte att undvika felkällor och att inaktuell information sparas.
2.1.5 Lagringsbegränsning – Personuppgifter får inte lagras under längre tid än nödvändigt med hänsyn till ändamålen med behandlingen. När uppgifterna inte längre behövs ska dessa gallras, vilket innebär att de antingen måste raderas eller avidentifieras.
Nedan följer en redovisning av vilka personuppgifter som behandlas på Advokatbyrån och varför.
3 Personuppgifter
3.1 Personuppgifter är alla uppgifter som avser en identifierad eller identifierbar fysisk person och som direkt eller indirekt kan identifiera en person. Exempel på personuppgifter är namn, kontaktuppgifter, lokaliseringsuppgifter eller faktorer som är specifika för en persons fysiska, ekonomiska, kulturella eller sociala identitet. Uppgifter som enskilt inte når upp till kraven kan tillsammans ändå utgöra personuppgifter.
3.2 All behandling av personuppgifter omfattas av dataskyddsförordningen och dess regler. Med behandling menas en åtgärd eller kombination av åtgärder avseende personuppgifter, som utförs helt eller delvis automatiserat. Även personuppgifter i e-post och i dokument på servrar, i en enkel lista, på webbplatser och i annat ostrukturerat material omfattas.
Behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse,medlemskap i fackförening, behandling av genetiska uppgifter, biometriska uppgifter, uppgifter om hälsa eller uppgifter om en persons sexualliv eller sexuella läggning (s k särskilda kategorier av personuppgifter), är som huvudregel förbjuden. För att sådan behandling ska vara tillåten krävs ett giltigt undantag från förbudet. De vanligaste undantagen är att du lämnat samtycke eller själv offentliggjort uppgifterna, för att utöva rättigheter eller fullgöra skyldigheter inom arbetsrätten, för att kunna fastställa, göra gällande eller försvara rättsliga anspråk eller för hälso- och sjukvårdsändamål.
3.4 Behandling av personnummer får bara utföras om det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.
3.5 Behandling av uppgifter om lagöverträdelser (fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder men sannolikt inte uppgift om misstanke om brott) får endast behandlas i vissa särskilda fall. Som advokatbyrå får vi behandla dessa personuppgifter om behandlingen är nödvändig för (i) kontroll av att jävssituation inte föreligger, (ii) enstaka uppgift som är nödvändig för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras i ett enskilt fall eller (iii) för penningtvättskontroll.
3.6 För klienter samlar vi in uppgifter som hör till uppdraget, vilket kan variera. Vidare samlar vi in uppgifter om namn och adress för att kunna fakturera för våra uppdrag. När det gäller klienter som är juridiska personer samlar vi in uppgifter kopplade till den person eller de personer som utgör kontaktperson hos företaget, organisationen eller myndigheten. Detta omfattar exempelvis namn, titel, och kontaktuppgifter.
3.7 Vad gäller motparter samlar vi framförallt in uppgifter om namn och adress i syfte att inte hamna i en jävssituation.
3.8 Namn, titel, kontaktuppgifter kan även samlas in för andra personer med anknytning till det juridiska uppdraget (t ex kontaktpersoner till klient, motpartsombud, vittnen).
4 Laglig grund för behandling av personuppgifter
4.1 En behandling av personuppgifter är endast laglig om och i den mån någon av följande grunder är tillämplig.
4.1.1 Den registrerade har lämnat sitt samtycke till att personuppgifterna behandlas för ett eller flera specifika ändamål. Särskilda krav finns som måste vara uppfyllda för att samtycket ska vara giltigt. För att ett samtycke ska anses giltigt ska det lämnas frivilligt baserat på ett informerat beslut. Samtycket ska lämnas för ett specifikt ändamål och personen ska uttryckligen avfattat samtycket på ett klart och tydligt språk.
4.1.2 Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.
4.1.3 Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar Advokatfirman. Som exempel kan här nämnas kontrolluppgifter som lämnas till Skatteverket.
4.1.4 Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person (t ex när det är fara för livet).
4.1.5 Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse (t ex som offentlig försvarare) eller som ett led i myndighetsutövning (t ex som Notarius Publicus).
4.1.6 Behandlingen är nödvändig för ändamål som rör Advokatfirman eller tredje parts intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, (intresseavvägning). Vid intresseavvägning tillkommer särskilda krav på dokumentation avseende den bedömning som gjorts.
5 Radering av uppgifter
5.1 Personuppgifter får inte bevaras längre än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Vi gallrar löpande personuppgifter som inte längre är nödvändiga med hänsyn till ändamålet genom att radera eller avidentifiera uppgifterna.
6 Delning av personuppgifter
6.1 Dina personuppgifter kan komma att delas med våra anförtrodda samarbetspartners och tjänsteleverantörer när det krävs för att vi ska kunna tillhandahålla våra tjänster till dig eller fullgöra avtal. Personuppgifter som överförts till våra tjänsteleverantörer får endast behandlas av dem i den utsträckning som krävs för att de ska kunna utföra sina uppgifter. Exempel på tjänsteleverantör är Raqs SEO-byrå i Stockholm som hjälper oss med hemsidan.
6.2 Personuppgifter kan även komma att delas för att följa legala eller regulatoriska krav, domstolsbeslut eller om det är nödvändigt för att uppfylla gällande bestämmelser.
7 Överföring till tredje land
7.1 För överföring av personuppgifter till länder utanför EU och EES (så kallad tredjelandsöverföring) gäller särskilda regler. Dataskyddsförordningen innebär att alla EU:s medlemsstater samt EES-länderna har ett likvärdigt skydd för personuppgifter och personlig integritet och därför kan personuppgifter föras över fritt inom det området utan begränsningar. För länder utanför det området finns däremot inte några generella regler som ger motsvarande garantier och därför får tredjelandsöverföring endast ske under särskilda förutsättningar. Det här berör varje form av överföring av information över gränserna, t ex IT-tjänster online, molnbaserade tjänster, tjänster för extern åtkomst eller globala databaser m m sombehöver analyseras särskilt.
8 Dina rättigheter
8.1 Dataskyddsförordningen ger dig ett flertal rättigheter vad gäller behandling av personuppgifter. Det är Advokatfirmans uppgift att uppfylla dessa rättigheter och tillse att tillräckliga processer finns för att tillmötesgå dig som lämnar personuppgifter.
8.1.1 Du har rätt till information när personuppgifterna samlas in. Denna information ska tillhandahållas i en lättillgänglig skriftlig form med ett klart och tydligt språk.
8.1.2 Du har rätt att få bekräftelse på huruvida personuppgifter som tillhör dig behandlas, och i sådana fall få en kopia av personuppgifterna (registerutdrag). Denna rättighet gäller oberoende av den plats där personuppgifterna behandlas.
8.1.3 Om personuppgifter som behandlas är felaktiga eller ofullständiga kan du kräva korrigering. Om den registrerade visar att ändamålet för vilket personuppgifterna behandlas inte längre är tillåtet, nödvändigt eller rimligt under omständigheterna, ska de aktuella personuppgifterna raderas, om det inte finns några lagbestämmelser som anger annat.
8.1.4 Du har rätt att överföra personuppgifter som du lämnat till Advokatfirman till annan personuppgiftsansvarig (rätt till dataportabilitet) om behandlingen stöds på de lagliga grunderna avtal eller samtycke.
8.1.5 Du har i vissa fall rätt att kräva att Advokatfirman begränsar behandlingen av dina personuppgifter, d v s begränsar behandlingen till vissa avgränsade syften.
8.1.6 Du har rätt att invända mot behandling av personuppgifter som stöds på legitimt intresse som rättslig grund. Vid en invändning ska Advokatbyrån upphöra med behandlingen om man inte kan visa på tvingande legitima grunder för behandlingen som överväger den registrerades intressen, rättigheter och friheter, eller om behandlingen av personuppgifter utförs för etablering, utövande eller försvar av rättsliga anspråk.
8.1.7 I vissa fall har du rätt att begära radering av sina personuppgifter (”rätten att bli bortglömd”). Ett exempel är när samtycke är den lagliga grunden för behandlingen och du återkallar ditt samtycke.
8.1.8 När personuppgifter behandlas för direktmarknadsföring har du rätt att när som helst invända mot behandling av dessa personuppgifter.
9 Klagomål
9.1 Intergritetsskyddsmyndigheten (IMY) är tillsynsmyndighet i Sverige vad gäller personuppgifter. Om du anser att vi på något sätt agerat i strid mot gällande lagstiftning om behandling av personuppgifter har du rätt att inge klagomål till IMY, www.imy.se.
Kontakta oss på info@notpublicus.se eller adress nedan om du har några frågor.
Personuppgiftsansvarig är:
Advokatfirman Bonde de Jounge AB (556940-2554)
Box 7001
103 86 Stockholm