POLICY FÖR BEHANDLING AV PERSONUPPGIFTER

Bakgrund och syfte

Säfwenberg & Bergh Advokatbyrå värnar om sina klienters, partners och anställdas inte­­gritet och är alltid mån om att följa gällande dataskyddsregelverk. Var och en har rätt till skydd av de personuppgifter som rör honom eller henne.

Säfwenberg & Bergh Advokatbyrå har därför antagit denna Policy för behandling av personuppgifter för att säkerställa att alla inom organisationen följer dataskydds­regler­na. Det här dokumentet avser att ge dig som medarbetare närmare vägledning om hur du ska behandla personuppgifter.

Den 25 maj 2018 började dataskyddsförordningen tillämpas. Den medför ett förstärkt skydd för de personer vars personuppgifter behandlas och den ställer fler och hårdare krav på organisationer som behandlar personuppgifter.

Om en behandling av personuppgifter skulle strida mot bestämmelserna i dataskydds­för­ordningen finns risken för intrång i den personliga integriteten för de registrerade, men även risken för skadat anseende för Säfwenberg & Bergh Advokatbyrå. Vidare kan byrån dessutom bli skyldig att utge skadestånd eller påföras en administrativ sank­tions­avgift på upp till tjugo miljoner euro eller 4 % av den totala globala årsomsätt­ningen, beroende på vilket värde som är högst. För att undvika sådana konsekvenser är alla med­arbetare skyldiga att följa dessa riktlinjer.

Tillämpningsområde och omfattning 

Policyn gäller för Säfwenberg & Bergh Advokatbyrås alla anställda och konsulter, på alla marknader och vid var tid.

Säfwenberg & Bergh Advokatbyrås styrelse ska se till att denna Policy efter­levs, vilket bland annat innefattar utbildning för alla anställda. Informationen till de an­ställ­da ska även innefatta information om att överträdelse av policyn kan komma att med­föra t ex arbetsrättsliga konsekvenser.

För vissa avsnitt finns utarbetade rutiner och formulär som ska användas vid behov.

Grundläggande principer

De grundläggande principer som beskrivs nedan ska alltid iakttas när personuppgifter behandlas. Säfwenberg & Bergh Advokatbyrå ansvarar för och ska kunna visa att prin­ciperna efterlevs

Laglighet, skälighet, transparens

Personuppgifter ska behandlas lagligt, korrekt och transparent i förhållande till den registrerade. Det innebär att varje typ av handling ska baseras på en giltig s k laglig grund, såsom exempelvis fullgörande av avtal, fullgöra en rättslig förpliktelse, utföra en uppgift av allmänt intresse, berättigat intresse eller samtycke (se avsnitt 5 nedan). Kan man inte identifiera någon laglig grund som är tillämplig för behandlingen får behand­lingen så­ledes inte utföras. Utgångspunkten för denna princip är tydlig kommunikation med den registrerade om bl a for vilka ändamålpersonuppgifterna behandlas, vilken typ av be­hand­ling som utförs, om och hur personuppgifterna delas med andra, hur länge person­uppgifterna lagras och hur man kommer i kontakt med Säfwenberg & Bergh Advokatbyrå. De registrerade ska alltså ges tydlig och transparent information om behand­lingen av eras personuppgifter.

Ändamålsbegränsning

Personuppgifter far endast samlas in och på annat sätt behandlas för särskilda, uttryck­ligt angivna och berättigade ändamål och de får inte senare behandlas på ett sätt som är oförenligt med dessa ändamål.

Uppgiftsminimering

Personuppgifter som behandlas ska vara adekvata, relevanta och inte alltför omfattande i förhållande till ändamålen. Säkerställ att uppgifterna som samlas in verkligen behövs och fråga inte efter information bara for att den kanske kan vara bra att ha.

Riktighet

Personuppgifter som behandlas ska vara korrekta och om nödvändigt uppdaterade. Vid­ta lämpliga åtgärder for att se till att felaktiga eller ofullständiga uppgifter rättas, exem­pelvis rutiner för ändring av adress vid flytt med en sammanställning av system och regi­ster där adressen lagras. Undvik dock att lagra kopior av uppgifterna i många system i syfte att undvika felkällor och att uppdaterad information sparas.

Lagringsbegränsning

Personuppgifter far inte lagras under längre tid än nödvändigt med hänsyn till ända­mål­en med behandlingen. När uppgifterna inte längre behövs måste dessa gallras, vilket inne­bär att de antingen måste raderas eller avidentifieras.

Principen om ansvarsskyldighet innebär att Säfwenberg & Bergh Advokatbyrå måste kunna visa att dataskyddsförordningen efterlevs. Byrån måste därför exempelvis doku­men­tera implementerade och planerade processer och åtgärder som avser dataskydds­frågor.

Vidare ska det finnas ett register över alla typer av behandlingar av personuppgifter som utförs och Säfwenberg & Bergh Advokatbyrå ska kunna redovisa ett sådant register för tillsynsmyndigheten när så krävs.

Personuppgifter

Personuppgifter är alla uppgifter som avser en identifierad eller identifierbar fysisk per­son och som direkt eller indirekt kan identifiera en person. Exempel på personuppgifter är namn, kontaktuppgifter, lokaliseringsuppgifter eller faktorer som är specifika för en persons fysiska, ekonomiska, kulturella eller sociala identitet. Uppgifter som enskilt inte når upp till kraven kan tillsammans ändå utgöra personuppgifter.

All behandling av personuppgifter omfattas av dataskyddsförordningen och dess regler. Med behandling menas en åtgärd eller kombination av åtgärder avseende person­upp­gift­er, som utförs helt eller delvis automatiserat. Även personuppgifter i e-post och i doku­ment på servrar, i en enkel lista, på webbplatser och i annat ostrukturerat material om­fattas.

Behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter, uppgifter om hälsa eller uppgifter om en per­sons sexualliv eller sexuella läggning (s k särskilda kategorier av personuppgifter) är som huvudregel förbjuden. För att sådan behandling ska vara tillåten krävs ett giltigt undan­tag från förbudet. De vanligaste undantagen är att den registrerade lämnat sam­tycke eller själv offentliggjort uppgifterna, för att utöva rättigheter eller fullgöra skyl­dig­­heter inom arbets­rätten, för att kunna fastställa, göra gällande eller försvara rättsliga anspråk eller för hälso- och sjukvårdsändamål.

Behandling av personnummer far bara utföras om det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat be­akt­ansvärt skäl.

Behandling av uppgifter om lagöverträdelser (fällande domar i brottmål och över­träd­el­ser eller därmed sammanhängande säkerhetsåtgärder men sannolikt inte uppgift om miss­tanke om brott) får endast behandlas i vissa särskilda fall. Som advokatbyrå får vi be­­hand­la personuppgifter om (i) behandlingen är nödvändig för kontroll av att jävs­situ­ation inte föreligger, (ii) enstaka uppgift som är nödvändig för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras i ett enskilt fall eller (iii) för pen­ning­tvätts­kontroll.

Laglig grund för behandlingen av personuppgifter 

En behandling av personuppgifter är endast laglig om och i den mån någon av följande grunder är tillämplig. Den registrerade har lämnat sitt samtycke till att personuppgifterna behandlas för ett eller flera specifika ändamål. Särskilda krav finns som måste vara uppfyllda för att samtycket ska vara giltigt.

  • Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.
  • Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar Säfwenberg & Bergh Advokatbyrå. Som exempel kan här nämnas kontroll­upp­gifter som läm­nas till skatteverket.
  • Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person (t ex när det är fara för livet).
  • Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse (t ex som off­ent­lig försvarare) eller som ett led i myndighetsutövning (t ex som Not­arius Publi­cus).
  • Behandlingen är nödvändig för ändamål som rör Säfwenberg & Bergh Advokatbyrå eller tredje parts in­tres­sen, om inte den registrerades intressen eller grund­­­­läggande rättig­heter och friheter väger tyngre och kräver skydd av person­uppgifter, (intresse­avvägning). Vid intresse­avvägning tillkommer särskilda krav på dokumentation avseende den bedömning som gjorts.

 

Säkerhetsåtgärder, behörighetsstyrning och åtkomst, radering

Personuppgifterna ska behandlas på ett sätt som säkerställer lämplig säkerhet för per­son­uppgifterna med användning av tekniska och organisatoriska åtgärder. Organi­sa­toriska säkerhetsåtgärder kan innebära att behörighetskontroll används för de system som inne­håller personuppgifter, loggning av åtkomst till personuppgifter eller att dator­er och dylikt som innehåller personuppgifter ska förvaras så att behörig åtkomst försvåras och inte lämnas framme. Exempel på tekniska åtgärder som måste kontrolleras är om advokat­byrån har tillräckliga back-up rutiner, tillräckliga brandväggar, lösenord­skyddade tråd­lösa nätverk, uppdaterat virusskydd. Lösenordsskydd för mobila enheter såsom mobil­telefoner och surfplattor, skydd mot obehörig intern åtkomst, lösenords­krav, kryptering vid behov, loggning av, åtkomst till och användning av IT-system m.m.

Personuppgifter far inte bevaras längre än vad som är nödvändigt med hänsyn till ända­målet med behandlingen. Genom att upprätta och följa respektive databas/behandling säkerställer man det strukturerade gallringsarbetet. Även personuppgifter i så kallat ostruk­­turerat material såsom i dokument på servrar, i en enkel lista, på webbplatser etc. behöver raderas när ändamålet med behandlingen är uppfyllt.

Överföring till tredje land

För överföring av personuppgifter till länder utanför EU och EES (så kallad tredje­lands­överföring) gäller särskilda regler. Dataskyddsförordningen innebär att alla EU:s med­lems­stater samt EES-länderna har ett likvärdigt skydd för personuppgifter och personlig integritet och därför kan personuppgifter föras över fritt inom det området utan be­gräns­ningar. För länder utanför det området finns däremot inte några generella regler som ger motsvarande garantier och därför får tredjelandsöverföring endast ske under särskilda förutsättningar. Det här berör varje form av överföring av information över gränserna, t ex många online IT-tjänster, molnbaserade tjänster, tjänster för extern åtkomst eller glo­bala databaser m.m. och behöver analyseras särskilt.

Konsekvensbedömning

Säfwenberg & Bergh Advokatbyrå har en särskild rutin på plats för att kunna identifiera och hantera sär­skilda integritetsrisker inom verksamheten och för strukturerad upp­föl­jning. Sär­skilda risker för fysiska personers rättigheter och friheter kan exempelvis före­komma i sam­band med en viss typ av behandling av uppgifter, särskilt känsliga uppgifter, behandling i särskilt stor omfattning, användning av ny teknik eller dylikt.

Om en ny eller ändrad personuppgiftsbehandling i visst avseende sannolikt kan komma att medföra hög risk för fysiska personers rättigheter följas och en bedömning göras av skyddet av personuppgifter innan behandlingen påbörjas.

Innan sådan personuppgiftsbehandling påbörjas ska Rickard Bergh kontaktas för utred­ning om en konsekvensbedömning krävs och vid behov utförs konsekvens­bedömning tillsammans med den ansvarige genom.

Registerutdrag och utlämnande

Dataskyddsförordningen ger de registrerade ett flertal rättigheter vad gäller behandling av personuppgifter. Det är Säfwenberg & Bergh Advokatbyrås uppgift att uppfylla dessa rättigheter och tillse att tillräckliga processer härför finns för att tillmötesgå de regi­strer­ade.

Den registrerade har rätt till information när personuppgifterna samlas in. Denna infor­mation ska tillhandahållas i en lättillgänglig skriftlig form med ett klart och tydligt språk. I dataskyddsförordningen föreskrivs ett antal tydliga krav som måste vara upp­fyllda och kraven varierar beroende på om informationen har samlats in från den regi­strerade själv eller från tredje man.

Den registrerade har rätt att få bekräftelse på huruvida personuppgifter som tillhör denne behandlas, och i sådana fall få en kopia av personuppgifterna (registerutdrag). Denna rättighet gäller oberoende av den plats där personuppgifterna behandlas.

Om personuppgifter som behandlas är felaktiga eller ofullständiga kan den registrerade kräva korrigering. Om den registrerade visar att ändamålet för vilket personuppgifterna behandlas inte längre är tillåtet, nödvändigt eller rimligt under omständigheterna, ska de aktuella personuppgifterna raderas, om det inte finns några lagbestämmelser som anger annat.

Den registrerade har rätt att överföra personuppgifter som denne lämnat till Säfwenberg & Bergh Advokatbyrå till annan personuppgiftsansvarig (rätt till data­portabilitet) om behandlingen stöds på de lagliga grunderna avtal eller samtycke. Per­son­uppgifterna ska tillhandahållas den registrerade i ett strukturerat, allmänt använt och Tiaskinläsbart format. Om det är tekniskt möjligt kan den registrerade begära att upp­gifterna överförs direkt till annan personuppgiftsansvarig. Rätten gäller endast för de personuppgifter som den registrerade själv har lämnat till Säfwenberg & Bergh Advokatbyrå.

Den registrerade har i vissa fall rätt att kräva att Säfwenberg & Bergh Advokatbyrå begränsar behandlingen av dennes personuppgifter, dvs begränsar behandlingen till vissa avgränsade syften. Rätten till begränsning gäller bland annat när den registrerade inser att uppgifterna är felaktiga och har begärt att personuppgifterna rättas. Den regi­strerade kan då begära att behandlingen av personuppgifterna begränsas under tiden upp­gifternas korrekthet utreds. När begränsningen upphör ska den enskilde informeras om detta.

Den registrerade har rätt att invända mot behandling av personuppgifter som stöds på legitimt intresse som rättslig grund. Vid en invändning ska byrån upphöra med behand­lingen om man inte kan visa tvingande legitima grunder för behandlingen som över­väg­er den registrerades intressen, rättigheter och friheter eller om behandlingen av person­uppgifter utförs för etablering, utövande eller försvar av rättsliga anspråk.

I vissa fall har den registrerade rätt att begära radering av sina personuppgifter (”rätten att bli bortglömd”). Ett exempel är när samtycke är den lagliga grunden för behand­ling­en och den registrerade återkallar sitt samtycke.

När personuppgifter behandlas för direktmarknadsföring har den registrerade rätt att när som helst invända mot behandling av personuppgifter om denne. Om en registrerad mot­­sätter sig behandling av personuppgifter for direktmarknadsändamål ska behandling för sådana ändamål upphöra.

Personuppgiftsincidenter

En personuppgiftsincident är en säkerhetsincident som leder till oavsiktlig eller olaglig förstörelse, förlust, ändring eller obehörig åtkomst till personuppgifter. Exempel på per­sonuppgiftsincidenter kan vara stöld av kundregister, oavsiktligt avslöjande av löne­information via e-post till fel mottagare, en anställd tar hem en okrypterad arbetsdator som senare stjäls i ett inbrott och som leder till att information om anställda eller kunder avslöjas, personuppgifter publiceras på webben av misstag, en bärbar dator innehållande personuppgifter tappas bort eller stjäls, m.m.

Personuppgiftsincidenter kan behöva anmälas till tillsynsmyndigheten inom 72 timmar från upptäckten av incidenten om det är sannolikt att det föreligger en risk för fysiska personers rättigheter och friheter. Inträffade incidenter ska dokumenteras och man kan behöva underrätta berörda registrerade.

Vid en misstänkt personuppgiftsincident kontakta omedelbart Rickard Bergh.  Det är sedan Rickard Bergh som avgör om tillsynsmyndigheten eller de registrerade behöver underrättas.

Övrigt

För definitioner avseende termer som används i den här policyn hänvisas till data­skydds­förordningen. Advokatsamfundet har utarbetat en vägledning för tillämpningen av EU:s dataskyddsförordning i advokatverksamhet, vilken hänvisas till för närmare information.

Denna policy ska uppdateras årligen eller vid behov baserat på instruktioner från Säfwenberg & Bergh Advokatbyrås styrelse.

Frågor

Vid frågor som anknyter till behandling av personuppgifter, vänligen kontakta advokat Rickard Bergh.

Stockholm den 29 mars 2022

SÄFWENBERG & BERGH ADVOKATBYRÅ AB

genom styrelsen