+46851514070

Integritetspolicy

NICHOLS & CO ADVOKATBYRÅS POLICY FÖR BEHANDLING AV PERSONUPPGIFTER

1. Information enligt Dataskyddsförordningen (2016/679/EG) om behandling av personuppgifter

Nichols & Co Advokatbyrå AB (“Nichols & Co”) värnar om sina klienters, partners och anställdas integritet och är alltid mån zom att följa gällande dataskyddsregelverk. Var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Den 25 maj 2018 började dataskyddsförordningen tillämpas. Den medför ett förstärkt skydd för de personer vars personuppgifter behandlas och den ställer fler och hårdare krav på organisationer m.fl. som behandlar personuppgifter.

Nichols & Co är en humanjuridisk advokatbyrå som övervägande företräder privatpersoner i olika juridiska spörsmål. Advokatbyrån åtar sig uppdrag som offentlig försvarare, målsägandebiträde, särskild företrädare och offentligt biträde inom LVU, LVM och LPT. Advokatbyrån biträder även enskilda i civilrättsliga frågor av olika slag.

Nichols & Co är personuppgiftsansvarig för de personuppgifter avseende kontaktpersoner vi erhåller i samband med uppdrag eller som annars behandlas när uppdrag förbereds eller administreras. En privatperson är inte skyldig att lämna personuppgifter till oss, men utan att det sker kan vi inte åta oss ett uppdrag eftersom vi inte kan genomföra nödvändig jävs- och penningtvättskontroll.

Nichols & Co informerar härmed, med anledning av ovanstående, om hur personuppgifter kommer hanteras, samt slutligen om Nichols & Co policy för behandling av personuppgifter. Policyn är till för att säkerställa att alla inom organisationen följer dataskyddsreglerna. Det här dokumentet avser att ge medarbetare närmare vägledning om hur vi ska behandla personuppgifter samt upplysa klienter m.fl. om hur och varför vi hanterar personuppgifter.

En personuppgift är en form av upplysning avseende en identifierad, eller identifierbar person. Upplysningar som indirekt kan leda till att en person blir identifierad utgör därmed personuppgifter. Exempel på personuppgifter är namn, kontaktuppgifter, lokaliseringsuppgifter eller faktorer som är specifika för en persons fysiska, ekonomiska, kulturella eller sociala identitet.
En behandling definieras i sammanhanget som en åtgärd, eller serie av åtgärder, beträffande personuppgifter. Det innebär att när vi samlar in, registrerar, bearbetar, strukturerar, överför, ändrar, lagrar eller liknande åtgärder behandlas personuppgifter.
När vi behandlar personuppgifter har vi alltid ett ändamål och en eller flera rättsliga grunder som behandlingen stödjer sig på.
Vid vår behandling av dina personuppgifter har du rättigheter. Dess ger dig bland annat möjlighet till insyn och i viss mån påverka vad som händer med dina personuppgifter.

2. Laglig grund för behandlingen av personuppgifter

Vi behandlar personuppgifter för att genomföra obligatorisk jävs- och (i förekommande fall) penningtvättskontroll, utföra och administrera uppdraget, för att tillvarata dina intressen och för redovisnings- och faktureringsändamål. En behandling av personuppgifter är endast laglig om och i den mån någon av följande grunder är tillämplig.

Dessa uppgifter behandlas på grundval av:

a) Samtycke: Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för utförande av uppdraget, eller annat specificerat ändamål.

b) Avtalsförhållande: Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås. Detta är t.ex. fallet då du vänder dig till oss i egenskap av klient och lämnar uppgifter för att vi ska ska biträda dig i rättslig angelägenhet. Vi inhämtar också uppgifter externt, t.ex. från myndighet i syfte att tillvarata din rätt.

c) Rättslig förpliktelse: Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. Exempel på sådan uppgift är kontrolluppgift till Skatteverket.

d) Allmänt intresse/led i myndighetsutövning: Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Exempel på sådan situation är uppdrag som t ex som offentlig försvarare eller andra typer av förordnanden och uppgifter för utförandet av dessa uppdrag kan samlas från såväl den registrerade själv som andra källor.

f) Berättigat intresse: Behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, såsom affärs- och metodutveckling, marknadsanalys, statistik och riskhantering, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.

Vi kommer inte att lämna ut personuppgifter till utomstående annat än i de fall då

(i) det särskilt överenskommits mellan advokatbyrån och dig,
(ii) då det inom ramen för ett visst uppdrag är nödvändigt för att tillvarata dina rättigheter,
(iii) om det är nödvändigt för att vi skall fullgöra lagstadgad skyldighet eller efterkomma
myndighetsbeslut eller beslut av domstol, eller
(iv) för det fall vi anlitar utomstående tjänsteleverantörer som utför uppdrag för vår räkning.
Uppgifterna kan komma att lämnas ut till domstolar, myndigheter, motparter och motpartsombud om det är nödvändigt för att tillvarata dina rättigheter.

3. Tillämpningsområde och omfattning

Policyn gäller för Nichols & Co alla anställda och konsulter.

Nichols & Co styrelse ska se till att denna Policy efterlevs, vilket bland annat innefattar utbildning för alla anställda. Informationen till de anställda ska även innefatta information om att överträdelse av policyn kan komma att medföra t. ex. arbetsrättsliga konsekvenser.

4. Grundläggande principer

De grundläggande principer som beskrivs nedan ska alltid iakttas när personuppgifter behandlas. Nichols & Co ansvarar för och ska kunna visa att principerna efterlevs.

Laglighet, skälighet, transparens – personuppgifter ska behandlas lagligt, korrekt och transparent i förhållande till den registrerade. Det innebär att varje typ av behandling ska baseras på en giltig s k laglig grund, såsom exempelvis fullgörande av avtal, fullgöra en rättslig förpliktelse, utföra en uppgift av allmänt intresse, berättigat intresse eller samtycke (se avsnitt 5 nedan). Kan man inte identifiera någon laglig grund som är tillämplig för behandlingen får behandlingen således inte utföras. Utgångspunkten för principen om att laglig grund ska föreligga är tydlig kommunikation med den registrerade om bl a för vilka ändamål personuppgifterna behandlas, vilken typ av behandling som utförs, huruvida och på vilket sätt personuppgifterna delas med andra, hur länge personuppgifterna lagras och hur man kommer i kontakt med Nichols & Co. De registrerade ska alltså ges tydlig och transparent information om behandlingen av deras personuppgifter.

Ändamålsbegränsning – Personuppgifter får endast samlas in och på annat sätt behandlas för särskilda, uttryckligt angivna och berättigade ändamål och de får inte senare behandlas på ett sätt som är oförenligt med dessa ändamål.

Uppgiftsminimering – Personuppgifter som behandlas ska vara adekvata, relevanta och inte alltför omfattande i förhållande till ändamålen. Säkerställ att uppgifterna som samlas in verkligen behövs och fråga inte efter information bara för att den kanske kan vara bra att ha.

Riktighet – personuppgifter som behandlas ska vara korrekta och om nödvändigt uppdaterade. Vidta lämpliga åtgärder för att se till att felaktiga eller ofullständiga uppgifter rättas, exempelvis rutiner för ändring av adress vid flytt med en sammanställning av system och register där adressen lagras. Vi undviker att lagra kopior av uppgifterna i många system i syfte att undvika felkällor och samt att ouppdaterad information sparas.

Lagringsbegränsning – Personuppgifter får inte lagras under längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. När uppgifterna inte längre behövs måste dessa gallras, vilket innebär att de antingen måste raderas eller avidentifieras.

Principen om ansvarsskyldighet innebär att Nichols & Co måste kunna visa att dataskyddsförordningen efterlevs. Byrån måste därför exempelvis dokumentera implementerade och planerade processer och åtgärder som avser dataskyddsfrågor. Vidare ska det finnas ett register över alla typer av behandlingar av personuppgifter som utförs och Nichols & Co ska kunna redovisa ett sådant register för tillsynsmyndigheten när så krävs.

5. Behandling av personuppgifter

All behandling av personuppgifter omfattas av dataskyddsförordningen och dess regler. Med behandling menas en åtgärd eller kombination av åtgärder avseende personuppgifter, som utförs helt eller delvis automatiserat. Även personuppgifter i e-post och i dokument på servrar, i en enkel lista, på webbplatser och i annat ostrukturerat material omfattas.

Behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter, uppgifter om hälsa eller uppgifter om en persons sexualliv eller sexuella läggning (s k särskilda kategorier av personuppgifter) är som huvudregel förbjuden. För att sådan behandling ska vara tillåten krävs ett giltigt undantag från förbudet. De vanligaste undantagen är att den registrerade lämnat samtycke eller själv offentliggjort uppgifterna, för att utöva rättigheter eller fullgöra skyldigheter inom arbetsrätten, för att kunna fastställa, göra gällande eller försvara rättsliga anspråk eller för hälso- och sjukvårdsändamål.

Behandling av personnummer får bara utföras om det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.

Behandling av uppgifter om lagöverträdelser (fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder men sannolikt inte uppgift om misstanke om brott) får endast behandlas i vissa särskilda fall. Som advokatbyrå får vi behandla personuppgifter om (i) behandlingen är nödvändig för kontroll av att jävsituation inte föreligger, (ii) enstaka uppgift som är nödvändig för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras i ett enskilt fall eller (iii) för penningtvättskontroll.

6. Säkerhetsåtgärder, behörighetsstyrning och åtkomst, radering

Personuppgifterna ska behandlas på ett säkert sätt med användning av tekniska och organisatoriska åtgärder. Organisatoriska säkerhetsåtgärder kan innebära att behörighetskontroll används för de system som innehåller personuppgifter, loggning av åtkomst till personuppgifter eller att datorer och dylikt som innehåller personuppgifter ska förvaras så att obehörig åtkomst försvåras och inte lämnas framme. Exempel på tekniska åtgärder som måste kontrolleras är huruvida advokatbyrån har tillräckliga back-up rutiner, tillräckliga brandväggar, lösenordsskyddade trådlösa nätverk, uppdaterat virusskydd, lösenordsskydd för mobila enheter såsom mobiltelefoner och surfplattor, skydd mot obehörig intern åtkomst, lösenordskrav, kryptering vid behov, loggning av, åtkomst till och användning av IT-system m.m.

Personuppgifterna sparas, i enlighet med den skyldighet som åvilar Nichols & Co Advokatbyrå enligt Advokatsamfundets vägledande regler för god advokatsed, under en tid om tio år från dagen för ärendets slutförande, eller den längre tid som påkallas av ärendets natur. Uppgifter som behandlas i syfte att utveckla, analysera och marknadsföra advokatbyråns verksamhet sparas under en tid om tio år efter den senaste kontakten. Personuppgifter får inte bevaras längre än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Genom att upprätta och följa en gallringsrutin för respektive databas/behandling säkerställs det strukturerade gallringsarbetet. Även personuppgifter i så kallat ostrukturerat material såsom i dokument på servrar, i en enkel lista, på webbplatser etc behöver raderas när ändamålet med behandlingen är uppfyllt.

7. Överföring till tredje land

För överföring av personuppgifter till länder utanför EU och EES (så kallad tredjelandsöverföring) gäller särskilda regler. Dataskyddsförordningen innebär att alla EU:s medlemsstater samt EES-länderna har ett likvärdigt skydd för personuppgifter och personlig integritet och därför kan personuppgifter föras över fritt inom det området utan begränsningar. För länder utanför det området finns däremot inte några generella regler som ger motsvarande garantier och därför får tredjelandsöverföring endast ske under särskilda förutsättningar. Det här berör varje form av överföring av information över gränserna, t ex många online IT-tjänster, molnbaserade tjänster, tjänster för extern åtkomst eller globala databaser m m och behöver analyseras särskilt.

Personuppgifter kommer att överföras till USA genom användning av byråns IT-system och arkivering. Nichols & Co Advokatbyrå använder sig endast av tjänsteleverantör ansluten till Privacy Shield (www.privacyshield.gov), som garanterar adekvat nivå på skydd för personuppgifterna och enligt dataskyddsförordningens artikel 45 inte kräver något särskilt tillstånd.


8. Konsekvensbedömning

Nichols & Co har en särskild rutin på plats för strukturerad uppföljning och för att kunna identifiera och hantera särskilda integritetsrisker inom verksamheten. Det kan exempelvis förekomma särskilda risker för fysiska personers rättigheter och friheter i samband med en viss typ av behandling av uppgifter, särskilt känsliga uppgifter, behandling i särskilt stor omfattning, användning av ny teknik eller dylikt.

Om en ny eller ändrad personuppgiftsbehandling i visst avseende sannolikt kan komma att medföra hög risk för fysiska personers rättigheter och friheter ska rutinen alltid följas och en bedömning ska göras av effekterna av de påtänkta behandlingarna för skyddet av personuppgifter innan behandlingen påbörjas.

Innan sådan personuppgiftsbehandling påbörjas ska Tove Nichols Rhudin kontaktas för utredning om en konsekvensbedömning krävs och vid behov utförs då en konsekvensbedömning.

9. Registerutdrag, information och utlämnande

Dataskyddsförordningen ger de registrerade ett flertal rättigheter vad gäller behandling av personuppgifter. Det är Nichols & Co:s uppgift att uppfylla dessa rättigheter och tillse att tillräckliga processer härför finns för att tillmötesgå de registrerade.

Den registrerade har rätt till information när personuppgifterna samlas in. Denna information ska tillhandahållas i en lättillgänglig skriftlig form med ett klart och tydligt språk. I dataskyddsförordningen föreskrivs ett antal tydliga krav som måste vara uppfyllda och kraven varierar beroende på om informationen har samlats in från den registrerade själv eller från tredje man.

Den registrerade har rätt att kostnadsfritt begära information från Nichols & Co Advokatbyrå AB om användningen av personuppgifter. Den registrerade har rätt att få bekräftelse på huruvida personuppgifter som tillhör denne behandlas, och i sådana fall få en kopia av personuppgifterna (registerutdrag). Denna rättighet gäller oberoende av den plats där personuppgifterna behandlas.

Om personuppgifter som behandlas är felaktiga eller ofullständiga kan den registrerade kräva korrigering. Om den registrerade visar att ändamålet för vilket personuppgifterna behandlas inte längre är tillåtet, nödvändigt eller rimligt under omständigheterna, ska de aktuella personuppgifterna raderas, om det inte finns några lagbestämmelser som anger annat.

Den registrerade har rätt att överföra personuppgifter som denne lämnat till Nichols & Co till annan personuppgiftsansvarig (rätt till dataportabilitet) om behandlingen stöds av de lagliga grunderna avtal eller samtycke. Personuppgifterna ska tillhandahållas den registrerade i ett strukturerat, allmänt använt och maskinläsbart format. Om det är tekniskt möjligt kan den registrerade begära att uppgifterna överförs direkt till annan personuppgiftsansvarig. Rätten gäller endast för de personuppgifter som den registrerade själv har lämnat till Nichols & Co.

Den registrerade har i vissa fall rätt att kräva att Nichols & Co begränsar behandlingen av dennes personuppgifter,
d v s begränsar behandlingen till vissa avgränsade syften. Rätten till begränsning gäller bland annat när den registrerade anser att uppgifterna är felaktiga och har begärt att personuppgifterna rättas. Den registrerade kan då begära att behandlingen av personuppgifterna begränsas under tiden uppgifternas korrekthet utreds. När begränsningen upphör ska den enskilde informeras om detta.

Den registrerade har rätt att invända mot behandling av personuppgifter som stöds på legitimt intresse som rättslig grund. Vid en invändning ska byrån upphöra med behandlingen om man inte kan visa tvingande legitima grunder för behandlingen som överväger den registrerades intressen, rättigheter och friheter eller om behandlingen av personuppgifter utförs för etablering, utövande eller försvar av rättsliga anspråk.

I vissa fall har den registrerade rätt att begära radering av sina personuppgifter (”rätten att bli bortglömd”). Ett exempel är när samtycke är den lagliga grunden för behandlingen och den registrerade återkallar sitt samtycke.

När personuppgifter behandlas för direktmarknadsföring har den registrerade rätt att när som helst invända mot behandling av personuppgifter om denne. Om en registrerad motsätter sig behandling av personuppgifter för direktmarknadsändamål ska behandling för sådana ändamål upphöra.

Om du är missnöjd med vår behandling av personuppgifter kan du lämna in ett klagomål till en tillsynsmyndighet vilket i Sverige är Datainspektionen (www.datainspektionen.se). Du kan också vända dig till tillsynsmyndigheten i det land där du bor eller arbetar.

10. Personuppgiftsincidenter

En personuppgiftsincident är en säkerhetsincident som leder till oavsiktlig eller olaglig förstörelse, förlust, ändring eller obehörig åtkomst till personuppgifter. Exempel på personuppgiftsincidenter kan vara stöld av kundregister, oavsiktligt avslöjande av löneinformation via e-post till fel mottagare, en anställd tar hem en okrypterad arbetsdator som senare stjäls i ett inbrott och som leder till att information om anställda eller kunder avslöjas, personuppgifter publiceras på webben av misstag, en bärbar dator innehållande personuppgifter tappas bort eller stjäls, m.m.

Personuppgiftsincidenter ska anmälas till tillsynsmyndigheten inom 72 timmar från upptäckten av incidenten om det är sannolikt att det föreligger en risk för fysiska personers rättigheter och friheter. Inträffade incidenter ska dokumenteras och i de fall det anses behövligt ska berörda registrerade underrättas.

Vid en misstänkt personuppgiftsincident kontakta omedelbart Tove Rhudin Nichols, [email protected] eller 08-515 140 70. Det är sedan Tove Rhudin Nichols som avgör om tillsynsmyndigheten eller de registrerade behöver underrättas.

11. Övrigt

För definitioner avseende termer som används i den här policyn hänvisas till dataskyddsförordningen.

Advokatsamfundet har utarbetat en vägledning för tillämpningen av EU:s dataskyddsförordning i advokatverksamhet, vilken finns tillgänglig på Advokatsamfundets hemsida (www.advokatsamfundet.se). För närmare information hänvisas till denna..

Denna policy ska uppdateras årligen eller vid behov baserat på instruktioner från Nichols & Co styrelse.

Vid frågor som anknyter till behandling av personuppgifter, vänligen kontakta Tove Rhudin Nichols, [email protected] eller 08-515 140 70.


Policy antagen av Nichols & Co Advokatbyrås styrelse den 20 maj 2018.