De relevante persondataretlige regler, som på nuværende tidspunkt gælder for vores behandling af personoplysninger, er fastsat i databeskyttelsesforordningen (forordning nr. 2016/679 af 27. april 2016) og databeskyttelsesloven (lov nr. 502 af 23. maj 2018).
Vores databeskyttelsespolitik vedrører vores behandling af personoplysninger, når vi er dataansvarlige. Det er tilfældet i en række situationer, bl.a. ved behandling af vores klienters sager, ansættelse af nye medarbejdere og markedsføringsaktiviteter.
1. Hvem behandler vi personoplysninger om?
Poul Schmith/Kammeradvokaten beskytter og behandler vores klienters, modparters, leverandørers, medarbejderes, samarbejdspartneres, brugere af vores hjemmesider og apps og modtagere af markedsføringsinformationer mv. personoplysninger i overensstemmelse med den til enhver tid gældende persondataretlige lovgivning.
2. Hvilke personoplysninger er der tale om?
”Personoplysninger” omfatter enhver form for information om en identificerbar fysisk person, f.eks. personens navn, mailadresse, CPR-nummer og adresse samt oplysninger om personens fysiske, psykiske, økonomiske, kulturelle eller sociale forhold. Oplysninger om juridiske personer er således ikke omfattet af definitionen ”personoplysninger”.
Vi behandler afhængig af sagens eller henvendelsens karakter almindelige oplysninger, identifikationsoplysninger (CPR-nr.), oplysninger om strafbare forhold og følsomme oplysninger.
3. Hvor kommer oplysningerne fra?
Vi indsamler personoplysninger direkte hos dig eller fra tredjemand, f.eks. vores klienter, offentlige myndigheder eller samarbejdspartnere.
4. Hvordan behandler vi oplysningerne?
”Behandling” af personoplysninger dækker over enhver aktivitet, som personoplysninger gøres til genstand for, f.eks. indsamling, registrering, systematisering, organisering, opbevaring, tilpasning, ændring, søgning, brug eller videregivelse.
Vi behandler primært personoplysninger om vores klienter, modparter, leverandører, medarbejdere og samarbejdspartnere, dog kun i det omfang, at det er nødvendigt til de konkrete formål, og der er et lovligt grundlag herfor.
Som oftest vil det være nødvendigt for os at behandle almindelige personoplysninger i form af navn, titel, telefonnummer og e-mailadresse. Denne behandling sker, så vi kan levere vores juridiske ydelser, fakturere samt kvalitetssikre og kontrollere korrekt, og så vi kan leve op til de krav om dokumentation for identitet efter hvidvaskloven, som vi er underlagt i forhold til en række sager.
Derudover kan det i visse situationer være nødvendigt for os at behandle oplysninger om strafbare forhold og følsomme oplysninger såsom helbredsoplysninger.
5. Anvendelse af kunstig intelligens i vores sagsbehandling
Vi kan i vores sagsbehandling anvende værktøjer baseret på kunstig intelligens (“AI værktøjer”) som støtte, f.eks. til juridisk informationssøgning, dokumentanalyse, transskribering, oversættelse og strukturering af information. AI værktøjer anvendes alene som hjælpemiddel.
Der træffes ikke automatiske afgørelser om dig i den betydning, der er omfattet af databeskyttelsesforordningens art. 22. Alle vurderinger og beslutninger, herunder den juridiske rådgivning, der gives til klienten, foretages af vores medarbejdere, som fagligt vurderer og kvalitetssikrer de resultater, der eventuelt stammer fra AI værktøjer.
Når vi anvender AI værktøjer, sker behandlingen af personoplysninger i overensstemmelse med databeskyttelsesforordningen (forordning (EU) 2016/679, “GDPR”) og databeskyttelsesloven. Vi efterlever principperne om formålsbegrænsning og dataminimering, jf. GDPR art. 5, stk. 1, litra b og c, ved kun at behandle de personoplysninger i AI løsningerne, som er nødvendige for den konkrete opgave. Vi gennemfører passende tekniske og organisatoriske sikkerhedsforanstaltninger, jf. art. 32, under hensyntagen til karakteren af de oplysninger, vi behandler, og de involverede risici.
I det omfang vi anvender eksterne leverandører af AI værktøjer (f.eks. hosting leverandører eller specialiserede AI tjenester) som databehandlere, indgår vi databehandleraftaler efter GDPR art. 28. Vi sikrer, at disse leverandører kun behandler personoplysninger efter instruks fra os og ikke anvender oplysningerne til egne formål, herunder til træning af generelle modeller, medmindre dette er særskilt aftalt og oplyst eller følger af ufravigelig lovgivning.
6. Hvem videregiver vi dine personoplysninger til?
Vi videregiver alene dine personoplysninger til eksterne parter, hvis det er nødvendigt, og der er et lovligt grundlag herfor. Det kan være offentlige myndigheder, private virksomheder eller personer, fonde, foreninger mv. afhængigt af sagens karakter. Derudover overlader vi oplysninger til vores databehandlere (f.eks. IT-leverandører).
Vores medarbejdere kan udføre arbejde fra arbejdssteder uden for EU/EØS. Adgangen sker udelukkende som led i intern behandling i Poul Schmith, som er dansk selvstændig dataansvarlig, og udgør ikke en videregivelse eller overførsel til tredjelande.
Internt er det alene de af vores medarbejdere, der har et arbejdsbetinget behov for at se dine personoplysninger, der har adgang til disse.