Personvernerklæring

PERSONVERNERKLÆRING FOR ADVOKATFIRMAET GRETTE AS

Advokatfirmaet Grette AS (Grette) leverer juridiske tjenester/rådgivning til våre klienter og i den forbindelse behandler vi personopplysninger der dette er nødvendig for å kunne yte våre tjenester.

Denne personvernerklæringen beskriver hvordan vi behandler personopplysninger og hvilke rettigheter enkeltpersoner har etter personopplysningsloven og personvernforordningen (GDPR) ved slik behandling.

Ved utøvelse av våre juridiske tjenester er Grette behandlingsansvarlig etter GDPR for behandlingen av personopplysninger. Vi behandler personopplysninger i henhold til regelverket og med fokus på sikkerhet. Vår adresse er:

Besøksadresse: Filipstad Brygge 2, 0252 Oslo
Postadresse: Postboks 1397 Vika, 0114 Oslo
Epost: firmapost@grette.no
Telefon: +47 22 34 00 00
Organisasjonsnummer: NO 820 203 542 MVA

1. Når behandler vi personopplysninger som behandlingsansvarlig?
Grette behandler personopplysninger når:

  • Vi yter juridiske tjenester til våre klienter, herunder klientadministrasjon, sakshåndtering og kunnskapsforvaltning
  • Vi, i forbindelse med markedsføring, sender ut nyhetsbrev, epost og annen kurs- eller markedsføringsaktivitet
  • Vi administrerer ansatte, inkludert ansettelser og søknadsprosesser
  • Vi benytter kommunikasjonsplattformer og nettsider, eller på annen måte er tilstede på plattformer som www.grette.no, Facebook, LinkedIn og podcaster produsert og tilgjengeliggjort av Grette.
  • Vi benytter sikkerhetsløsninger for å avdekke, forhindre eller logger sikkerhetshendelser.

Behandling av personopplysninger knyttet til ansatte følger våre interne personvernrutiner.

2. De registrerte vi behandler personopplysninger om og deres rettigheter
Grette er et forretningsadvokatfirma som yter primært forretningsjuridisk rådgivning til våre klienter, og behandler derfor i utgangspunktet kun virksomhetsrelaterte opplysninger som ikke er personopplysninger. I enkelte tilfeller behandler vi likevel personopplysninger, slik som:

  • Kontaktpersoner hos våre klienter og motparter
  • Kontaktpersoner hos våre leverandører, samarbeidspartnere eller andre tredjeparter
  • Private klienter
  • Andre private personer som er involvert i saker eller som omtales i saksdokumenter
  • Epostadresser til privatpersoner i forbindelse med kurs og nyhetsbrev

De personer vi behandler personopplysninger om er å anse som registrerte etter GDPR. Hvis du er å anse som en registrert, har du som utgangspunkt, med enkelte forbehold, følgende rettigheter:

  • Innsynsrett
    • Du har rett til å se hvilke opplysninger vi behandler om deg, med mindre det er ikke er dekket av et av unntakene, slik som lovfestet taushetsplikt eller nå det vil krenke rettighetene og frihetene til andre.
  • Rett til sletting
    • Du har rett til å kreve at personopplysninger om deg slettes hvis det eksempelvis ikke lenger finnes et grunnlag for behandling, men med unntak slik som for å forsvare et rettskrav eller det behandles for å oppfylle en rettslig forpliktelse.
  • Retteplikt
    • Du har rett til å få uriktige opplysninger om deg selv rettet.
  • Begrensningsrett
    • Du kan be om at vi begrenser behandlingen av dine personopplysninger (se begrensninger som nevnt over).
  • Protest
    • Du kan protestere mot behandlingen av dine personopplysninger.
  • Dataportabilitet
    • Personopplysninger vi måtte ha om deg kan du be om å få utlevert i et strukturert, alminnelig anvendt og maskinlesbart format og skal ha rett til å overføre nevnte opplysninger til en annen behandlingsansvarlig.
  • Trekke tilbake samtykke
    • Det vår behandling er basert på samtykke fra deg, så har du rett til å trekke samtykket tilbake.

3. Begrensning i de registrertes rettigheter for Grettes advokatvirksomhet
Utgangspunktet for de registrertes rettigheter følger av punkt 2, men gjelder med de begrensninger som følger:

  • Unntak for lovpålagt taushetsplikt for advokater. Etter personopplysningsloven § 16 (d) følger det et unntak fra informasjonsplikt og innsynsrett for opplysninger som «i lov eller i medhold av lov er underlagt taushetsplikt». Etter straffeloven § 111 pålegges advokater taushetsplikt for opplysninger betrodd dem i anledning stillingen eller oppdraget. Advokatforskriftens kapittel 12 (regler for god advokatskikk) pålegger videre advokater taushetsplikt også for opplysninger advokaten blir kjent med i sitt virke som advokat, selv om de ikke er omfattet av lovbestemt taushetsplikt. Begge disse taushetspliktene gir derfor unntak fra de registrertes rett til innsyn etter GDPR art. 15.
  • Unntak knyttet til krav om hemmelighold i straffesaker. Etter personopplysningsloven § 16 (b) oppstilles også unntak fra informasjonsplikt og innsynsrett for opplysninger «der det er det er påkrevd å hemmeligholde av hensyn til forebygging, etterforskning, avsløring og rettslig forfølgning av straffbare handlinger». For de tilfeller Grette skulle bistå i straffesaker vil unntaket begrense den registrertes rettigheter. I slike tilfeller følger eventuelle

rettigheter isteden reglene i straffeprosessloven, slik som rett til innsyn i sakens dokumenter etter straffeprosessloven § 242.

  • GDPR art. 14 nr. 5 (b) oppstiller også et unntak fra informasjonsplikten der det å gi informasjon er umulig eller vil innebære uforholdsmessig stor innsats. Dette er spesielt relevant for andre private personer som er involvert i saker eller omtales i saksdokumenter.

Det betyr i praksis for Grette at vi ikke kan gi innsyn i kopi av personopplysninger som er oss betrodd eller vi er blitt gjort kjent med mindre du er privat klient. Videre innebærer det at informasjonsplikten og innsynsretten for vår virksomhet som advokater først og fremst er relevant dersom en av Grettes ansatte ber om innsyn.

4. Hvem kan du kontakte?
Har du spørsmål om hvordan vi behandler personopplysninger, ønsker å klage eller utøve dine rettigheter etter GDPR, så kan du sende en epost til GDPR@grette.no.

Du kan også finne ut mer om dine rettigheter etter GDPR eller klage til Datatilsynet på www.datatilsynet.no.

5. Oversikt over behandlinger
De behandlinger som er nevnt nedenfor har som formål å yte juridiske tjenester til våre klienter, samt markedsføre våre tjenester og oppfylle våre rettslige forpliktelser, slik som konfliktavklaring.

5.1. Etablering av klientforhold/konfliktavklaring
I forbindelse med etableringen av klientforhold og avtale om juridisk oppdrag er vi pliktige til å gjennomføre en konfliktavklaring (uavhengighetssjekk) for å avklare interessekonflikter og identiteten til klient for å kunne yte juridiske tjenester gjennom oppslag i databaser.

Behandlingsgrunnlag er rettslig forpliktelse (GDRP art. 6 c) for å kunne oppfylle regler for god advokatskikk og kundekontroll etter hvitvaskingsforskriften for å bekrefte klienters identitet. Videre vil annen kundekontroll være hjemlet etter en berettiget interesse (GDPR art. 6 f) som er knyttet til vår egeninteresse i å opptre etisk ut over advokatforskriften.

Hvilke personopplysninger behandles:
Klienters navn (hvis privatklient), kontaktperson, telefonnummer, adresse, stillingstittel, epostadresse. For kundekontroll etter hvitvaskingsloven benyttes gyldig legitimasjon (som passinformasjon og nasjonalt ID-kort) og adresse.

5.2 Klientkontakt, klientadministrasjon og sakshåndtering
For å kunne levere juridiske tjenester i henhold til oppdraget er vi avhengig av å kunne samhandle med klient og innhente opplysninger til å yte juridisk bistand.
Behandlingsgrunnlag er avtalen (GDPR art. 6 b) knyttet til eventuelle privatpersoner, og berettiget interesse (GDPR art. 6 f) for vår dialog med virksomhetsklienter.
Hvilke personopplysninger behandles: Vi registrerer vanligvis kontaktperson/navn, stilling, epostadresse, telefonnummer og adresse for å kunne kommunisere med klient (basert på oppdragsavtale), og i forbindelse med sakshåndtering vil vi kunne behandle personopplysninger om motparter, vitner eller tredjeparter som fremkommer av dokumenter, eposter, prosess-skriv, avtaler, notater etc (basert på berettiget interesse) for å kunne representere klientens krav.
I noen saker kan vi også kunne behandle (sensitive) personopplysninger av særskilt kategori, slik som helseopplysninger eller opplysninger om straffbare forhold i forbindelse med tvister eller straffesaker. I slike tilfeller vil behandlingsgrunnlaget være basert på rettskrav (GDRP art. 9 f) eller avtale (GDPR art. 9 b) for privat klient.

Vi vil også kunne behandle personopplysninger for formål som ikke er uforenlige med det opprinnelige formålet de ble innhentet for. Dette gjelder eksempelvis informasjon som er delt med oss i vår egenskap som advokater for å utføre et advokatoppdrag som en rettsprosess, oppkjøp (M&A) eller tilsvarende. I slike tilfeller vil behandlingsgrunnlaget være en berettiget interesse etter GDPR art. 6 nr 4.

5.3. Fakturering
For å kunne fakturere våre tjenester, så behandler / registrerer vi informasjon for å kunne utstede faktura gjennom vårt regnskapssystem.

Behandlingsgrunnlaget for virksomhetsklienter er berettiget interesse (GDPR art. 6 f) knyttet til vår interesse for å fakturere, samt avtale privatklienter (GDPR art. 6 b), i tillegg til lagring og regnskapsføring som er hjemlet for å oppfylle rettslige forpliktelse (GDPR art. 6 c).

Hvilke personopplysninger behandles: tidsbruk per medarbeider på sak, kostnader, saksbeskrivelse og kontaktopplysninger som vi har mottatt fra klient.

5.4 Erfaring- og kunnskapsforvaltning
Som kunnskapsbedrift vil vi se hen til tidligere saker når vi gir råd. Vi lærer av våre erfaringer, og vil i den forbindelse benytte våre erfaringer fra tidligere oppdrag til å lære opp våre medarbeidere, samt forbedre og videreutvikle vår rådgivning gjennom et erfaringsarkiv. Ved utarbeidelse av standardrapporter, maler eller annen erfaringsdokumentasjon vil vi, så langt det er mulig, anonymisere personopplysningene.

Behandlingsgrunnlaget for slik behandling av personopplysninger er berettiget interesse (GDPR art. 6 f) knyttet til vår egen interesse for å forvalte kunnskap.

Hvilke personopplysninger behandles: Personopplysninger vil i liten grad være en del av kunnskapsforvaltning, men vil kunne forekomme sporadisk i form av kontaktopplysninger eller henvisning til personer i saksdokumenter.

5.5. Lagring/arkivering
Ved siden av vårt erfaringsarkiv, oppbevarer vi saksdokumenter, herunder også korrespondanse med klienter og motparter etter at oppdraget er avsluttet. Lagring av saksdokumenter finner sted av hensyn til vår og klientens sikkerhet for etterfølgende dokumentasjon av et saksforhold, slik som etterfølgende rettssaker eller prosesser hvor behov for dokumentasjon foreligger.

Behandlingsgrunnlaget for lagring/arkivering skjer på bakgrunn av berettiget interesse (GDPR art. 6 f) for å oppfylle vår egeninteresse om å ha tilgang til dokumentasjon og klientens interesse for etterfølgende dokumentasjon av et rettsforhold. Det kan også i enkelte tilfelle være hjemlet i lovkrav (GDPR art. 6 c) knyttet til krav om dokumentasjon etter hvitvaskingsloven § 4. Det kan også i enkelte tilfeller for særskilte kategorier personopplysninger være hjemlet for å forsvare et rettskrav (GDPR art. 9 f) jf. personopplysningsloven § 11.

Hvilke personopplysninger behandles: saksdokumenter som inneholder personopplysninger om saken og korrespondansen med de involverte.

5.6. Markedsføring
Vi markedsfører også vår virksomhet gjennom å sende ut nyhetsbrev og annen markedsinformasjon om kurs, webinarer, osv per epost til kontaktpersoner hos våre eksisterende klienter. Dette gjelder klienter som har blitt bistått innenfor de siste to år, samt andre som har gitt sitt samtykke til å motta slik kommunikasjon.

Behandlingsgrunnlaget for markedsføring hos eksisterende klienter er berettiget interesse (GDPR art. 6 f) for å holde klienter oppdatert om lovgivning, rettsforhold og våre tjenester, samt videre jf. markedsføringsloven § 15(3). For utsendelser til andre personer er vårt grunnlag GDPR artikkel 6a (samtykke), jf. markedsføringsloven § 15(1). Alle mottakere av våre utsendelser kan enkelt melde seg av ved å benytte lenken som er inkludert i hver epost.

Hvilke personopplysninger behandles: epostadresse, navn, telefonnummer og rolle.

5.7. Sikkerhet
Vi logger aktiviteter på våre servere, avdekker, oppklarer og følger opp sikkerhetshendelser med mål om å ha tilfredsstillende informasjonssikkerhet og fysisk sikkerhet rundt våre digitale løsninger.

Behandlingsgrunnlaget er oppfyllelse av vår rettslige forpliktelse (GDPR art. 6 c) for å sikre vår lovpålagte taushetsplikt samt krav til informasjonssikkerhet etter GDPR. For overskytende behandling av personopplysninger for sikkerhetsformål, så er det hjemlet i en berettiget interesse (GDPR art. 6 f) for å sikre dine personopplysninger fra å komme på avveie.

5.8. Samhandling med leverandører, samarbeidspartnere og andre tredjeparter
For å yte våre tjenester benytter vi leverandører/underleverandører og samarbeidspartnere og benytter kontaktinformasjon mot disse.

Behandlingsgrunnlaget er hjemlet i avtale med de nevnte (GDPR art. 6 b) eller berettiget interesse (GDPR art. 6 f) for å håndtere kommunikasjon og andre forhold som ikke er hjemlet i avtale.

5.9 Søknader og jobbsøkere
For å kunne ansette riktige personer gjennomfører vi jevnlig ansettelsesprosesser hvor arbeidssøkere sender oss sine jobbsøknader.

Behandlingsgrunnlaget er berettiget interesse (GDPR art. 6 f) for å innhente relevant informasjon om arbeidssøkeren, samt beholde slik informasjon i en begrenset periode i etterkant i de tilfeller søknaden og dennes materiale kan benyttes til nye behov som dukker opp.

Personopplysninger som benyttes: navn, adresse, CV, sivilstand og andre personopplysninger om vedkommende med referanse til tidligere arbeidsgivere og kontaktpersoner.

6. Hvem utleverer vi personopplysninger til
Som nevnt over, så pålegges advokater taushetsplikt etter straffeloven § 111 for opplysninger betrodd oss i anledning stillingen eller oppdraget. Advokatforskriftens kapittel 12 (regler for god advokatskikk) pålegger oss videre taushetsplikt også for opplysninger vi blir kjent med i vårt virke som advokat, selv om de ikke er omfattet av lovbestemt taushetsplikt. Av den grunn er vi forpliktet til å ikke utlevere opplysninger som her nevnt til andre.

Der det er nødvendig for å utføre oppdraget vil vi dele personopplysninger med domstoler, motparter og andre rådgivere, eller der vi er forpliktet etter lov eller pålagt av klienter å utlevere slike personopplysninger som klienter råder over.
Vi benytter videre leverandører av IT-tjenester, herunder også IT-baserte administrasjonsløsninger som regnskapsløsninger, hvor leverandørene er våre underleverandører som behandler personopplysninger på våre vegne etter tilfredsstillende krav til informasjonssikkerhet og i henhold til en databehandleravtale for å kunne levere tjenestene til oss.
Vi utleverer ikke personopplysninger til tredjeparter, herunder gir ingen tilgang til disse, ut over det som er nevnt over.

7. Behandling av personopplysninger innenfor EU/EØS
Personopplysninger som nevnt i denne erklæringen behandles utelukkende innenfor EU/EØS. Det overføres ingen personopplysninger utenfor EU/EØS. Skulle det bli aktuelt med overføring utenfor EU/EØS vil det skje etter GDPR og med tilhørende behandlingsgrunnlag.

8. Hvor lenge lagres personopplysningene
Personopplysninger som nevnt i denne erklæringen behandles kun så lenge vi trenger de for å oppfylle formålene som er beskrevet. For enkelte kategorier:

  • Kontaktinformasjon: slettes 5 år etter opphør av klientforhold eller leverandørforhold
  • Klientkontroll etter hvitvaskingsloven: slettes etter 5 år etter opphør av klientforhold.
  • Saksdokumenter for lagring og arkivering, samt erfaringsarkiv: 20 år for dokumenter som vi har tilgang til selv og er ansvarlig for. For virksomhetsoverdragelser/M&A er tilgangen til personopplysninger i datarom begrenset til oppdragsperioden med mindre annet er avtalt.
  • Fakturering: 5 år for alminnelige fakturaopplysninger i henhold til bokføringsloven, og 3.5 år for sekundærinformasjon.
  • Markedsføring: Slettes etter 2 år etter opphør av klientforhold, med mindre samtykke til utsendelse av epost/nyhetsbrev trekkes tilbake.
  • Søknadsprosesser: Med mindre søkere som ikke har fått tilbud om arbeidsforhold eksplisitt ber om sletting av CV slettes CV 12 måneder etter at en søker har fått tilbud om stillingen.

9. Informasjonskapsler (cookies)
Websidene som er tilgjengelig gjennom www.grette.no benytter ingen informasjonskapsler som behandler personopplysninger. Websidene benytter kun nødvendige tekniske informasjonskapsler for å få nettsidene til å fungere.

Grette benytter tredjepartstjenester og kommunikasjonsplattformer, slik som LinkedIn og Spotify, som kan benytte informasjonskapsler og som er regulert av tjenestevilkårene til disse tjenestene og plattformene.

10. Informasjonssikkerhet
Etter GDPR behandler vi personopplysninger på en tilfredsstillende sikker måte og med fokus på informasjonssikkerhet. Vi har implementert tekniske og organisatoriske tiltak og tilhørende rutiner, og krever tilsvarende fra våre leverandører og samarbeidspartnere, inkludert dokumentasjon på slik informasjonssikkerhet. Vi reviderer også jevnlig vår informasjonssikkerhet.
Vår digitale infrastruktur leveres av en IT-partner som er sertifisert etter ISO27001 og har iverksatt nødvendige og proaktive tiltak for å beskytte sensitiv informasjon mot uautorisert adgang og endringer.

11. Versjon
Denne personvernerklæringen vil være gjenstand for jevnlig evaluering og oppdatering basert på faktiske endringer i vår behandling av personopplysninger. Siste tilgjengelige versjon vil du alltid finne på www.grette.no.
Eksisterende versjon: 1.0 (dato: 01-03-2022)

Gå til
  • Spisskompetanse
  • Mennesker
  • Cases
  • Kurs