POLICY FÖR BEHANDLING AV PERSONUPPGIFTER

  1. Bakgrund och syfte

Lekks Advokater värnar om integriteten för sina klienter, partners och anställda och följer alltid aktuella dataskyddsregler. Alla har rätt till skydd av sina personuppgifter. För att säkerställa att vår organisation följer dessa regler har Lekks Advokater antagit denna policy för behandling av personuppgifter.

Den 25 maj 2018 börjar dataskyddsförordningen tillämpas. Den medför ett förstärkt skydd för de personer vars personuppgifter behandlas och den ställer fler och hårdare krav på organisationer som behandlar personuppgifter.

Om behandlingen av personuppgifter bryter mot dataskyddsförordningens bestämmelser, riskerar detta att kränka de registrerades personliga integritet samt skada Lekks Advokaters anseende. Dessutom kan byrån bli skyldig att betala skadestånd eller drabbas av administrativa sanktionsavgifter. För att undvika dessa konsekvenser följer samtliga medarbetare riktlinjerna noggrant.

  1. Tillämpningsområde och omfattning

Policyn gäller för alla anställda inom Lekks Advokater, oavsett marknad och tidpunkt. Styrelsen ansvarar för att säkerställa efterlevnaden av denna policy, inklusive utbildning av alla anställda. Anställda informeras om att överträdelser av policyn kan leda till arbetsrättsliga konsekvenser.

  1. Grundläggande principer

De grundläggande principerna nedan ska alltid följas vid behandling av personuppgifter. Lekks Advokater ansvarar för att visa att dessa principer efterlevs.

  • Laglighet, skälighet, transparens: Personuppgifter ska behandlas lagligt, korrekt och transparent. Varje typ av behandling ska ha en giltig laglig grund, till exempel fullgörande av avtal eller samtycke. Tydlig kommunikation med den registrerade om behandlingen är en grundläggande del av denna princip.
  • Ändamålsbegränsning: Uppgifter får endast samlas in och behandlas för specifika och legitima ändamål.
  • Uppgiftsminimering: Endast nödvändiga och relevanta uppgifter ska samlas in.
  • Riktighet: Uppgifter ska vara korrekta och uppdaterade. Felaktiga eller ofullständiga uppgifter ska korrigeras.
  • Lagringsbegränsning: Uppgifter ska inte lagras längre än nödvändigt. När uppgifterna inte längre behövs ska de raderas eller anonymiseras.
  • Ansvarsskyldighet: Lekks Advokater måste kunna visa att dataskyddsreglerna efterlevs och dokumentera alla processer och åtgärder.
  1. Personuppgifter

Personuppgifter är alla data som kan identifiera en individ direkt eller indirekt. Behandlingen av dessa uppgifter omfattas av dataskyddsförordningen. Behandling inkluderar alla åtgärder som utförs på personuppgifter, både automatiserat och manuellt. Behandling av särskilda kategorier av personuppgifter är som regel förbjuden om inte specifika undantag gäller.

  1. Laglig grund för behandling av personuppgifter

En behandling är endast laglig om någon av följande grunder gäller:

  • Den registrerade har lämnat sitt samtycke till att personuppgifterna behandlas för ett eller flera specifika ändamål. För att samtycket ska vara giltigt måste särskilda krav vara uppfyllda.
  • För att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås
  • Behandlingen är nödvändig för att uppfylla en rättslig skyldighet som åligger Lekks Advokater. Exempelvis kan detta innefatta kontrolluppgifter som lämnas till Skatteverket.
  • Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person (t ex när det är fara för livet).
  • Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse, exempelvis som offentlig försvarare, eller som ett led i myndighetsutövning.
  • Behandlingen är nödvändig för ändamål som rör Lekks Advokater eller tredje parts intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, s.k intresseavvägning. Vid intresseavvägning tillkommer särskilda krav på dokumentation avseende den bedömning som gjorts.
  1. Säkerhetsåtgärder, behörighetsstyrning och åtkomst, radering

Personuppgifter ska behandlas säkert med tekniska och organisatoriska åtgärder såsom behörighetskontroll, loggning och kryptering. Uppgifterna ska inte lagras längre än nödvändigt och ska raderas när de inte längre behövs.

  1. Överföring till tredje land

Överföring av personuppgifter till länder utanför EU och EES kräver särskilda regler. Det är viktigt att säkerställa att överföringar endast sker under godkända förutsättningar.

  1. Konsekvensbedömning

Lekks Advokater har rutiner för att identifiera och hantera integritetsrisker. Om en ny typ av behandling kan medföra hög risk för individers rättigheter, ska en bedömning utföras innan behandlingen påbörjas.

  1. Registerutdrag och utlämnande

Registrerade personer har rättigheter enligt dataskyddsförordningen, inklusive rätt till information, rättelse, radering och dataportabilitet. Lekks Advokater åtar sig att uppfylla dessa rättigheter och har etablerade processer för att säkerställa detta.

  1. Personuppgiftsincidenter

En personuppgiftsincident är en säkerhetsincident som leder till oavsiktlig eller olaglig förlust, ändring eller obehörig åtkomst till personuppgifter. Incidenter ska anmälas till tillsynsmyndigheten inom 72 timmar om det finns risk för individers rättigheter och friheter. Vid en misstänkt incident, kontakta omedelbart oss på kontakt@lekksadvokater.se eller 011 89 030.
Vi kommer att granska anmälan och göra bedömning om huruvida tillsynsmyndighet eller registrerade behöver underrättas.

  1. Övrigt

För definitioner av termer hänvisas till dataskyddsförordningen. Advokatsamfundets vägledning för tillämpningen av dataskyddsförordningen finns tillgänglig för mer information. Policyn uppdateras årligen eller vid behov.

  1. Frågor

Vid frågor om behandling av personuppgifter, kontakta Alexandra Källström.

Policy antagen av Lekks Advokaters styrelse den 1/10 2023.