Personvernerklæring for Trygderettsadvokat Inga S. Kjernlie AS
Denne personvernerklæringen gir opplysninger om hvordan advokat Inga S. Kjernlie (org. nummer: 826 418 052) samler inn og bruker personopplysninger, og hvilke rettigheter du har dersom personopplysninger om deg er registrert hos advokaten. Advokaten er spesialist innen trygderett, og behandler personopplysninger (herunder helseopplysninger) i stor grad. Advokaten er opptatt av å verne om personopplysningenes integritet, tilgjengelighet og konfidensialitet.
Advokaten behandler personopplysninger som leverandør av tjenester (juridisk bistand i trygdesaker; primært da i klagesaker for NAV og i ankesaker for Trygderetten) samt i forbindelse med besøk på advokatens hjemmeside; www.trygderettsadvokat.no og på advokatens bedriftssider/firmaprofiler på Facebook; https://www.facebook.com/trygderettsadvokat/ og https://www.facebook.com/navhjelpen/
Hvem er behandlingsansvarlig
Advokat Inga S. Kjernlie er innehaver og daglig leder av firmaet, og er derfor også behandlingsansvarlig for virksomhetens behandling av personopplysninger, se kontaktinformasjon nedenfor.
Formålet med innhenting av personopplysninger
I all hovedsak innhentes personopplysninger for å kunne ivareta klientenes interesser i de saker som advokaten bistår i. Formålet med å innhente person-opplysninger er m.a.o. å få utført avtalt oppdrag (f.eks. bistand i en klagesak for NAV eller en ankesak for Trygderetten) på en forsvarlig og best mulig måte.
Hva er det rettslige grunnlaget
Behandling av personopplysninger krever at det er hjemmel i lov for behandlingen, eller at et av vilkårene i personopplysningsloven § 8 a-f, er oppfylt. Opplysningene kan bare brukes i den utstrekning de er nødvendige for å få gjennomført avtalt oppdrag.
Rettslig grunnlag for innhenting av personopplysninger følger av GDPR artikkel 6 nr. 1. Innsamling og behandling av personopplysninger vil i all hovedsak skje på grunnlag av samtykke (bokstav a) fra den personen som opplysningene kan knyttes til (klienten) og på grunnlag av avtale (bokstav b). Avtalen vil bli nedfelt i en skriftlig oppdragsbekreftelse, der advokaten plikter å utarbeide slik bekreftelse.
I fri rettshjelpssaker (fritt rettsråd og fri sakførsel) er advokaten ikke pliktig til å utarbeide skriftlig oppdragsbekreftelse, og innhenting og behandling av personopplysninger vil da være basert på muntlig samtykke og avtale.
For å kunne søke om fri rettshjelp for klienten, må det også innhentes navn, postadresse, personnummer og inntektsopplysninger til ev. ektefelle/samboer/ partner – da på grunnlag av skriftlig samtykke fra den aktuelle ektefellen/ samboeren/partneren.
I enkelte tilfeller vil grunnlaget for innhenting og bevaring/arkivering av personopplysninger være basert på en konkret interesseavveining, jf. GDPR artikkel 6 nr. 1 bokstav f, se mer om dette nedenfor. Tilbakekall av samtykke medfører normalt at oppdraget avsluttes straks og at advokaten dermed ikke kan levere eller fullføre avtalt oppdrag.
Hvilke personopplysninger behandles
Personopplysninger omfatter bl.a. navn, postadresse, telefonnummer, mailadresse og personnummer til den aktuelle klienten, samt også andre personlige og sensitive opplysninger (f.eks. helse- og inntektsopplysninger) som kan knyttes til klienten og til dennes sak. I trygdesaker er det generelt sett mye behandling av helseopplysninger, så som lege- og spesialisterklæringer.
Videre kan personopplysninger omfatte navn, postadresse, telefonnummer, mailadresse og personnummer til klientens ektefelle/samboer/partner eller til ev. barn, dersom dette er relevant og nødvendig for å få utført oppdraget (dette er avhengig av sakstype) eller for å få søkt om fri rettshjelp, jf. reglene om økonomisk identifikasjon mellom ektefeller/samboere/partnere.
Hvor hentes personopplysningene fra
Personopplysninger hentes i stor utstrekning direkte fra klientene selv i form av saksdokumenter, medisinske uttalelser samt faktaopplysninger om den aktuelle saken/tvisten. Advokaten mottar personopplysninger via telefon, SMS, e-post, Digipost, brev/pakker sendt med posten samt via personlig overlevering av dokumenter, ev. levering i låst postkasse. Videre mottar advokaten person-opplysninger fra privatpersoner via kontaktskjemaet på advokatens hjemmeside eller via kontaktskjemaer på advokatens to firmasider på Facebook, se foran.
For å få gjennomført det avtalte oppdraget (f.eks. for å få skrevet en klage eller anke over NAV sitt vedtak om avslag på krav om sykepenger eller uføretrygd), så må advokaten ofte også innhente relevante opplysninger fra motparten NAV (det bes da vanligvis om hele saksmappen tilknyttet den aktuelle saken), ev. fra Trygderetten, SPK eller KLP, samt fra leger, spesialister og andre behandlere.
For å kunne søke om fri rettshjelp for klienten, så må advokaten ofte også innhente inntektsopplysninger fra skatteetaten.
Videre kan det være nødvendig å innhente opplysninger fra klientens forsikringsselskap for å få avklart om klienten har rettshjelpsdekning i sin forsikringsavtale.
Advokaten benytter i stor utstrekning kryptert e-post (Microsoft Office 365) og telefon i det daglige arbeidet for å få utført oppdraget og for å få kommunisert med klienten og også med NAV (motparten), med Trygderetten, med andre offentlige etater og ev. med forsikringsselskap.
Relevante opplysninger som fremkommer i telefonsamtaler og av e-postutveksling som skjer som ledd i saksbehandling, vil bli journalført.
Disse opplysningene behandles som beskrevet i nærværende personvernerklæring.
Telefonsamtaler (telefonnummer fra og til, samt tidspunkt for samtalen) logges på advokatens mobiltelefon. Slik telefonlogg er nødvendig for administrasjon og drift av firmaet/systemet, og den benyttes også som grunnlag for time-registrering og informasjon om saksbehandling. Det vil jevnlig bli slettet informasjon fra advokatens mobil, som ikke lenger er nødvendig for oppdraget.
Er det frivillig å gi fra seg personopplysninger?
I et klientforhold er det for den registrerte frivillig å oppgi personopplysninger. Det forekommer likevel tilfeller hvor det er helt avgjørende for saken at person-opplysninger innhentes. Dersom personopplysninger ikke innhentes, kan dette medføre at klientforholdet vil måtte avsluttes, eller at oppdrag på klientens vegne ikke kan utføres. Det er f.eks. vanskelig/umulig for advokaten å bistå klienten i en klage/ankesak vedr. uføretrygd, hvis klienten nekter å gi innsyn i relevante medisinske uttalelser i saken og også nekter advokaten å innhente opplysninger fra NAV.
Hvem advokaten utleverer personopplysninger til
Advokaten utleverer ikke personopplysninger til tredjeparter med mindre klienten har samtykket til dette eller med mindre det følger av oppdraget eller av oppdragsbekreftelsen/avtalen.
For å kunne få utført det aktuelle oppdraget (f.eks. skrive en klage eller anke), så må advokaten utlevere personopplysninger til motparten (som primært er NAV) og ev. også til Trygderetten eller til de ordinære domstolene.
For å kunne søke om fri rettshjelp eller klage på et vedtak om avslag på f.eks. utvidet bevilling til fritt rettsråd, så må advokaten utlevere personopplysninger til Fylkesmannen og ev. også til Statens Sivilrettsforvaltning. Tilsvarende til Trygderetten og til lagmannsretten, ved søknad om fri sakførsel og ved en ev. anke i den anledning. Personopplysninger blir dog ikke utlevert i større grad enn det som er nødvendig for at saken kan bli behandlet på en forsvarlig måte.
For å kunne få sendt en klage til Sivilombudsmannen (som advokaten ofte gjør etter avtale med klienten), så vil det bli sendt over nødvendige person-opplysninger til Sivilombudsmannen, slik at ombudsmannen kan få behandlet klagen på en forsvarlig måte.
Generelt sett vil det være nødvendig å utlevere opplysninger i forbindelse med representasjon og presentasjon av klient, sak og oppdrag. Dette vil følge av oppdragsavtalen og klienten må derfor reservere seg dersom opplysningene ikke skal brukes for å få gjennomført oppdraget.
Opplysninger vil også utleveres dersom det er lovbestemt plikt til det, f.eks. i anledning hvitvaskingsreglene. Advokatens virksomhet har dog til nå ikke vært omfattet av hvitvaskingsloven, og denne problemstillingen har derfor enda ikke vært aktuell.
Nødvendige personopplysninger vil også bli utlevert til advokatens regnskapsfører og til revisor, i den grad dette er nødvendig for at disse skal få utført sitt regnskaps- og revisjonsoppdrag.
Advokaten har et elektronisk faktura- og timeregistreringssystem som systematiserer og lagrer personopplysninger. Dette systemet er levert av Advisor AS, som er det mest utbredte faktura- og timeregistreringssystemet blant advokater. Advokaten har inngått egen databehandleravtale med Advisor.
Advokaten har også egen databehandleravtale med IT-firmaet Citera AS, som sørger for daglig backup/sikkerhetskopiering av alle personopplysninger. Opplysningene lagres i Azure (Microsoft) i Irland, hvorav alle data er krypterte.
Advokatens leverandører av IT-tjenester vil kunne ha tilgang til personopplysninger dersom personopplysninger er lagret hos leverandøren eller på annen måte er tilgjengelig for leverandøren i henhold til kontrakt med advokaten. Leverandørene opptrer i henhold til databehandleravtale og under advokatens instruks. Leverandørene kan bare benytte personopplysningene for de formålene advokaten har bestemt og som er beskrevet i denne personvernerklæringen.
Advokater er underlagt en straffesanksjonert taushetsplikt som følger av straffeloven § 111. Alle opplysninger som blir betrodd advokaten i forbindelse med et oppdrag blir håndtert konfidensielt. Advokaten utleverer ikke personopplysninger i andre tilfeller eller på andre måter enn dem som er beskrevet i denne personvernerklæringen med mindre klienten eksplisitt oppfordrer til eller samtykker til dette eller utleveringen er lovpålagt.
Klientadministrasjon
Det opprettes egne saksmapper for oppdrag som utføres på vegne av klienten. Tid og kostnader som er påløpt i en sak registreres i advokatens time- og fakturasystem. Det advokaten gjør i forbindelse med klientadministrasjon, anses som en nødvendig del av det å oppfylle avtalen med vedkommende, jf. GDPR artikkel 6 nr. 1 bokstav b.
Sakshåndtering
Enkelte advokatoppdrag innebærer at advokaten får tilgang til person-opplysninger om parter eller andre enkeltpersoner som berøres av en sak. Slike opplysninger kan fremkomme av dokumenter klienten oversender eller annen korrespondanse i saken. Advokaten får også i stor grad tilgang til sensitive personopplysninger i forbindelse med sakshåndtering, primært da helseopplysninger, men også straffedommer og lovovertredelser. I slike tilfeller har behandlingen av opplysningene hjemmel i GDPR artikkel 9 nr. 2 bokstav f (behandlingen er nødvendig for å fastsette, gjøre gjeldende eller forsvare et rettskrav), jf. personopplysningsloven (ny 2018) § 11.
Fakturering
For privatkunder benyttes personens private postadresse for utsendelse av faktura. Behandlingsgrunnlaget er GDPR artikkel 6 nr. 1 bokstav b (nødvendig for å oppfylle avtalen med den registrerte).
IT-drift og sikkerhet
Personopplysninger som er lagret i advokatens IT-systemer vil kunne være tilgjengelige for advokaten eller for advokatens leverandører i forbindelse med oppdateringer av systemer, implementering eller oppfølging av sikkerhetstiltak, feilretting eller annet vedlikehold. Behandlingsgrunnlaget er GDPR artikkel 6 nr. 1 f (interesseavveining, jf. advokatens legitime interesse knyttet til nevnte aktiviteter) samt advokatens rettslige forpliktelse til å ha tilfredsstillende informasjonssikkerhet, jf. GDPR artiklene 32 og 6 nr. 1 bokstav c.
Rettigheter til den registrerte – innsyn, retting, sletting og tilbaketrekking av samtykke
Alle som spør har rett på grunnleggende informasjon om behandling av personopplysninger i en virksomhet etter personopplysningslovens § 18, 1. ledd. Advokaten har gitt slik grunnleggende informasjon i denne erklæringen, og vil henvise til den ved eventuelle forespørsler.
Dersom du er registrert i advokatens systemer, har du til enhver tid rett på innsyn i egne opplysninger. Du har krav på å få vite hvilke opplysninger som er registrert om deg og hvilke sikkerhetstiltak som foreligger ved behandlingen, så langt slikt innsyn ikke svekker sikkerheten. Videre kan du kreve at advokaten utdyper ovennevnte informasjon i den grad dette er nødvendig for at du skal kunne ivareta egne interesser.
Hvis du har samtykket til behandling av personopplysninger, kan du når som helst trekke ditt samtykke tilbake med henblikk på denne behandlingen ved å rette en henvendelse til advokaten om dette.
Dersom advokaten behandler personopplysninger om deg som er uriktige, ufullstendige eller som det ikke er adgang til å behandle, kan du innenfor de begrensninger som er fastsatt i personopplysningsloven og annen lovgivning kreve å få rettet eller slettet personopplysningene. Videre kan du kreve sletting dersom behandling av personopplysningene ikke lenger er nødvendig for å oppfylle formålet de ble samlet inn for, eller dersom behandlingen baserer seg på ditt samtykke og du trekker dette tilbake. Behandlingen vil være nødvendig dersom den er lovpålagt. For eksempel kan du ikke kreve at personopplysninger som inngår i oppdragsdokumentasjon til revisor og regnskapsfører skal rettes eller slettes, jf. revisorloven § 5-5, revisorforskriften kap. 5 og bokføringsloven § 13. Ved krav om retting og sletting i oppdrag der advokaten er databehandler, skal den registrerte som hovedregel henvende seg direkte til behandlingsansvarlig.
I noen tilfeller vil du kunne ha adgang til å få utlevert personopplysninger du har oppgitt til advokaten for å få disse overført i et maskinlesbart format til et annet advokatfirma (dataportabilitet). Dersom det er teknisk mulig vil det i enkelte tilfeller være adgang til å få disse overført direkte til det andre firmaet.
Advokaten skal svare på henvendelser om innsyn, retting, sletting og andre rettigheter etter personopplysningsloven §§ 18, 22, 25, 27 og 28 (GDPR artikkel 15, 16, 17 og 20) uten ugrunnet opphold, og senest innen 30 dager fra den dagen henvendelsen kom inn, med mindre særlige forhold gjør det umulig å svare på henvendelsen innen denne fristen. Advokaten skal i så fall gi et foreløpig svar med opplysninger om grunnen til forsinkelsen og sannsynlig tidspunkt for når svar kan gis.
Nærmere om sletting, arkivering og lagringstid
Etter at oppdraget er avsluttet, vil personopplysninger oppbevares i den grad det anses nødvendig for senere oppfølging og gjenopptagelse av saken.
Både når det gjelder fysiske og elektroniske dokumenter, så vil det - i forhold til nødvendigheten av makulering/sletting og når dette skal skje - bli foretatt en interesseavveining i henhold til GDPR artikkel 6 nr. 1 bokstav f. I trygdesaker er det ofte slik at klientene kommer tilbake for nye oppdrag noen år etter at første oppdrag ble avsluttet. Første oppdrag gjaldt f.eks. bistand i klagesak vedr. avslag på krav om sykepenger eller arbeidsavklaringspenger, og nytt oppdrag noen år senere gjelder f.eks. bistand i uføretrygdsak eller i sak vedr. ung-ufør-tillegg. I den nye saken (dette gjelder særlig saker vedr. avslag på krav om «ung uførhet»), så kan gamle medisinske lege- og spesialistuttalelser i tidligere sak fortsatt være høyst relevante og også helt avgjørende. I slike tilfeller (som det er mange av), vil det være svært uheldig at personopplysninger i den første saken er blitt makulert/slettet – dette kan være føre til avslag og rettstap i den nye saken. Av denne grunn er det i trygdesaker ofte nødvendig å oppbevare personopplysninger lengre enn i andre type saker.
Advokaten vil regelmessig gjennomgå personopplysninger som ligger lagret i systemet og deretter slette opplysninger om personer som antas ikke å ønske videre bistand fra advokaten.
Personopplysninger knyttet til klientforhold vil uansett bli slettet etter 10 års inaktivitet i klientforholdet, med mindre det er innhentet samtykke fra klienten til fortsatt lagring. Personopplysninger som advokaten har plikt til å lagre i henhold til lov, forskrift eller annet regelverk, vil dog ikke bli slettet så lenge plikten består.
Nærmere om sikring av personopplysninger
Personopplysninger blir behandlet og lagret i samsvar med sikkerhetskravene i personopplysningsloven og personopplysningsforskriften. Som nevnt foran, tas det også daglig backup/sikkerhetskopiering av alle personopplysninger som lagres hos advokaten, se foran.
Det gjøres oppmerksom på at «vanlig» e-post er ukryptert. Opplysninger som sendes pr. e-post kan derfor fort komme på avveie. Advokaten vil av denne grunn oppfordre klienten til ikke å sende taushetsbelagte, sensitive eller andre fortrolige opplysninger via e-post, uten at det er opprettet en kryptert forbindelse til advokaten. Som nevnt foran, har advokaten en avtale med Digipost som ev. kan benyttes til oversendelse av slik fortrolig informasjon, i tillegg til at advokaten bruker Microsoft Office 365 i sitt daglige virke som har en innebygd kryptering
Spesielt vedr. bruk av kontaktskjemaer på advokatens nettside samt på advokatens to firmasider på Facebook
Opplysninger du fyller inn via kontaktskjemaene på ovennevnte steder, blir kun behandlet av advokaten, og ikke av andre.
Ved bruk av skjemaet «Kontakt advokaten» på , må du oppgi navn, postadresse, mailadresse, telefonnummer og også hva saken gjelder. Opplysningene lagres i nettsidens database, som administreres av advokaten.
Det rettslige grunnlaget for denne type behandling av personopplysninger, er personopplysningsloven § 8 a (GDPR artikkel 6 bokstav b).
Sikkerhet
Advokaten har etablert prosedyrer for å håndtere personopplysninger på en sikker måte. Tiltakene er både av teknisk og av organisatorisk art. Advokaten foretar jevnlige vurderinger av sikkerheten i alle sentrale systemer som benyttes for håndtering av personopplysninger, og det er inngått avtaler som pålegger leverandører av slike systemer å sørge for tilfredsstillende informasjonssikkerhet.
Klager
Du kan til enhver kontakte advokaten dersom du har spørsmål eller henvendelser knyttet til behandling av dine personopplysninger. Dersom du mener at advokatens behandling av personopplysninger bryter med det som fremgår her eller av personvernlovgivningen, herunder personopplysningsloven eller personvernforordningen (GDPR), så har du anledning til å klage til Datatilsynet. Du finner informasjon om klageadgang m.v. på Datatilsynets nettside: www.datatilsynet.no.
Endringer
Det vil kunne skje at nærværende informasjon om behandling av person-opplysninger vil bli endret fra tid til annen, bl.a. som følge av endringer i tjenester eller endringer i regelverket om behandling av personopplysninger. Endres informasjonen på vesentlige punkter, vil advokaten gjøre deg oppmerksom på dette dersom advokaten har dine kontaktopplysninger. Ellers vil oppdatert informasjon alltid finnes lett tilgjengelig på advokatens nettside.
Kontaktinformasjon
Alle spørsmål vedrørende denne personvernerklæringen eller vedr. advokatens behandling av personopplysninger, kan rettes til advokat Inga S. Kjernlie, som har følgende kontaktinformasjon:
Nordahl Griegsgate 7
N-2000 Lillestrøm
Telefon: 41 40 82 92
E-post: advokat@kjernlie.no