Personvern
Behandling av personopplysninger i LegalAI AS
Når du bruker nettsiden, våre digitale tjenester og/eller er i kontakt med oss på annen måte vil LegalAI AS kunne behandle personopplysninger om deg. Nedenfor finner du informasjon om når og hvilke personopplysninger som samles inn, hvorfor vi gjør dette og dine rettigheter knyttet til behandlingen av personopplysningene.
LegalAI AS (heretter «LegalAI») er ansvarlig for behandling av personopplysninger som omtalt nedenfor.
Kontaktopplysninger for behandlingsansvarlig:
Adresse: Universitetsgata 8, 0164 Oslo
E-post: post@legalai.as
Telefon: 22 40 23 00
Organisasjonsnr.: 932 295 644
For spørsmål du måtte ha om vår behandling av dine personopplysninger kan du kontakte daglig leder Henrik A. Jensen (henrik.a.jensen@legalai.as).
Hvem vi behandler personopplysninger om
Denne personvernerklæringen retter seg mot vår behandling av personopplysninger om følgende personer:
Privatpersoner som er kunder hos LegalAI
Kontaktpersoner hos virksomheter som er kunder hos LegalAI
Kontaktpersoner hos våre leverandører og samarbeidspartnere
Andre personer som er omtalt i saksdokumenter vi får tilgang til
Jobbsøkere til stillinger hos oss
Besøkende på vår nettside og personer som benytter vår tjeneste for å behandle dokumenter
Hvorfor behandler vi personopplysninger, hvilken informasjon behandles og hva er det rettslige grunnlaget
Vi samler inn og bruker dine personopplysninger til ulike formål avhengig av hvem du er og hvordan vi kommer i kontakt med deg.
All behandling av personopplysninger skjer i overensstemmelse med de til enhver tid gjeldende personvernregler, herunder personopplysningsloven og personvernforordningen (GDPR).
Med «personopplysninger» menes alle opplysninger som kan knyttes til en fysisk person (også omtalt som «registrert»).
Med «behandling» menes alt som foretas med personopplysninger, som innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring.
Vi samler inn følgende personopplysninger til formålene angitt her:
Besvare henvendelser og etablere kundeforhold. Ved henvendelse til oss registreres kontaktopplysninger som navn, telefonnummer og e-postadresse. Registreringen av kontaktopplysninger er for privatkunder nødvendig for å kunne inngå avtale med vedkommende, jf. GDPR artikkel 6 nr. 1 bokstav b. For virkssomhetskunder bygger registreringen av kontaktopplysninger på en interesseavveining, jf. GDPR artikkel 6 nr. 1 bokstav f. Om henvendelsen inneholder særlig kategorier av personopplysninger (sensitive personopplysninger), er behandlingsgrunnlaget GDPR artikkel 9 nr. 2 bokstav f) i det behandlingen er nødvendig for å fastsette, gjøre gjeldende eller forsvare et rettskrav, jf. personopplysningsloven § 11.
Sakshåndtering
Bruk av vår tjeneste innebærer at vi får tilgang til personopplysninger om parter eller andre enkeltpersoner som berøres av en sak. Slike opplysninger vil fremkomme av dokumenter kunden laster opp ved bruk av tjenesten. Behandlingen vil i hovedsak skje fordi den er nødvendig for å oppfylle en avtale med kunden, etter GDPR artikkel 6 nr. 1 bokstav b). Der den registrerte er andre enn kunde, har behandling av personopplysninger grunnlag i en interesseavveining forankret i GDPR artikkel 6 nr. 1 bokstav f).
I noen saker får vi også tilgang til sensitive personopplysninger, f.eks helseopplysninger eller straffedommer og lovovertredelser. I slike tilfeller har behandlingen av opplysningene hjemmel i GDPR artikkel 9 nr. 2 bokstav f), jf. personopplysningsloven § 11 om rettskrav.
Rekruttering
I forbindelse med søknad på ledige stillinger vil LegalAI behandle personopplysninger om jobbsøkerne. Personopplysninger vil kunne inngå i CV, søknad, attester og referanser, og ellers de opplysninger som oppgis i en intervjusituasjon.
Grunnlag for behandling av personopplysninger ved rekruttering er at behandlingen er nødvendig for å gjennomføre tiltak før en arbeidsavtale med jobbsøker eventuelt inngås (GDPR artikkel 6 (1) b).
Gjøres det undersøkelser av oss ut over å kontakte personer som er oppgitt som referanse, undersøke ved søk om historikk mv., så behandles personopplysninger på grunnlag av vår nødvendige berettigede interesse for å sikre at riktig kandidat til stillingen (GDPR artikkel 6 (1) f). For sistnevnte har vi vurdert at vår berettigede interesse i å rekruttere nye ansatte veier tyngre enn den enkeltes personvern. Vi oppfordrer deg til å ikke legge inn særlige kategorier personopplysninger, som helse, religion, politiske oppfatninger, fagforeningsmedlemskap mv. i din søknad.
Etter avsluttet rekrutteringsprosess slettes personopplysningene til søkere som ikke ansettes. For de som ansettes oppbevares søknad, CV og vitnemål ut ansettelsesforholdet.
Administrasjon av avtaleforhold med leverandører og samarbeidspartnere. Samarbeid med ulike leverandører, organisasjoner og samarbeidspartnere nødvendiggjør til tider behandling av personopplysninger. Da registreres kontaktinformasjon, hovedsakelig kontaktpersoners navn, telefonnummer og e-post. Behandlingen skjer med hjemmel i GDPR artikkel 6 nr. 1 bokstav f) basert på vår interesse av å administrere kontakten med leverandører og samarbeidspartnere.
IT-drift og sikkerhet
Personopplysninger som er lagret i våre IT-systemer vil kunne være tilgjengelige for oss eller for våre leverandører i forbindelse med oppdateringer av systemer, implementering eller oppfølging av sikkerhetstiltak, feilretting eller annet vedlikehold. Behandlingsgrunnlaget er GDPR artikkel 6 nr. 1 f (interesseavveining, jf. vårt ønske om å sikre gode og oppdaterte systemer) og vår rettslig forpliktelse til å ha tilfredsstillende informasjonssikkerhet, jf. GDPR artiklene 32 og 6 nr. 1 bokstav c.
Lagring av personopplysninger
LegalAI lagrer alle dokumenter og opplysninger om saker fra brukerne på servere tilhørende ServeTheWorld. Disse er lokalisert i Norge.
LegalAI vil, innenfor de rammer som følger av lovverket, oppbevare kopi av saksdokumenter etter avslutning av et kundeoppdrag. Opplysningene vil bli slettet 6 måneder etter siste aktivitet fra kunden i forbindelse med oppdraget.
Personopplysninger som vi behandler på grunnlag av ditt samtykke slettes hvis du trekker ditt samtykke. Personopplysninger vi behandler for å oppfylle øvrige avtaler enn kundeoppdrag med deg slettes når avtalen er oppfylt og alle plikter som følger av avtaleforholdet er oppfylt, som f.eks. lovmessige plikter knyttet til regnskapsføring, oppfølging av kundeforholdet knyttet til reklamasjon mv.
Utlevering av personopplysninger og bruk av databehandlere
Vi utleverer ikke personopplysninger i andre tilfeller eller på andre måter enn dem som er beskrevet i denne personvernerklæringen med mindre kunden eksplisitt oppfordrer til eller samtykker til dette eller utleveringen er lovpålagt. Andre parter, som motparter, domstol og offentlige organer, vil kun få tilgang til personopplysningene i den grad dette er nødvendig for oppdraget.
LegalAI bruker databehandlere til å samle inn, lagre eller på annen måte behandle personopplysninger på våre vegne. I slike tilfeller har vi inngått avtaler for å ivareta informasjonssikkerheten i alle ledd av behandlingen. Slike databehandlere er for eksempel leverandører av IT-løsninger. Vi benytter oss av følgende databehandlere per i dag:
OpenAI – I forbindelse med din bruk av vår AI-tjeneste, vil dokumentene du laster opp til tjenesten bli behandlet av OpenAI sin ChatGPT. I denne forbindelse vil dokumentene og personopplysninger som fremgår av disse bli midlertidig lagret på OpenAIs servere i en periode på 30 dager. OpenAI garanterer at data som legges inn ved hjelp av API-løsninger som Legal AI benytter ikke vil bli brukt av selskapet til å «trene» ChatGPT-språkmodellen, se https://openai.com/enterprise-privacy. Opplysningene som fremgår av dokumentene du laster opp vil derfor ikke bli benyttet for noen andre formål enn de som er avtalt mellom deg og Legal AI.
ServeTheWorld – Alle opplysninger og dokumenter som lagres og lastes opp i forbindelse med bruk av tjenesten, på servere tilhørende selskapet ServeTheWorld. Disse er lokalisert i Norge.
Domeneshop – E-postadresse som oppgis av bruker for å få tilgang til tjenesten lagres midlertidig hos det norske selskapet Domeneshop. Opplysningene slettes etter 1 måned.
Onlinecity.ioApS–Mobilnummer som oppgis av bruker for å få tilgang til tjenesten behandles av det danske selskapet Onlinecity.io ApS gjennom tjenesten Gatewayapi. Opplysningene slettes etter 1 måned.
Sikkerhet for behandlingen
All behandling av personopplysninger sikres med de påkrevede tekniske og organisatoriske tiltak.
Vi håndterer informasjon slik at den er riktig, tilgjengelig og håndtert i henhold til grad av sensitivitet på opplysningene. Vi benytter også en rekke sikkerhetsteknologier og informasjonssikkerhets-prosedyrer for å beskytte personopplysningene fra uautorisert tilgang, bruk eller formidling. Det gjennomføres risikovurderinger for behandling av personopplysninger.
Vi har inngått databehandleravtaler med alle våre leverandører som behandler personopplysninger, hvor de påtar seg samme grad av sikkerhet som vi har for vår behandling av personopplysninger.
Vi begrenser tilgangen til personopplysninger til det personalet eller de tredjepartene som skal behandle opplysningene på våre vegne. Disse partene er underlagt konfidensialitetsplikt.
Det er etablert rutiner for håndtering av brudd på informasjonssikkerhet og rutiner (personvernbrudd), og vi vil, dersom det foreligger brudd som medfører risiko for personvernet til de personopplysningene gjelder, sende avviksmelding til Datatilsynet så raskt som mulig og senest innen 72 timer etter bruddet ble oppdaget. Medfører bruddet høy sannsynlighet for personvernet til de bruddet gjelder, vil vi også varsle disse.
Dine rettigheter når vi behandler personopplysninger om deg
Du har følgende rettigheter:
Informasjon
Du har rett til å få informasjon om de personopplysninger vi behandler om deg. Gjennom denne erklæringen informerer vi deg om vår behandling av personopplysninger. Du kan også kontakte oss om du ønsker mer informasjon.
Innsyn
Du har rett til å kreve innsyn i personopplysningene som behandles om deg. Ta kontakt med oss om du ønsker innsyn.
Endring og sletting
Du kan også be oss om å rette feilaktige opplysninger vi har om deg eller be oss om å slette personopplysninger. Vi vil så langt som mulig imøtekomme en forespørsel om å slette personopplysninger, men vi kan ikke gjøre dette dersom vi fremdeles har behov for opplysningene.
Behandling på grunnlag av samtykke
Behandler vi personopplysninger på grunnlag av ditt samtykke, så kan du til enhver tid trekke tilbake samtykket. Den enkleste måten å gjøre dette på, er å bruke den måte som er opplyst om da du ga samtykket eller kontakte oss.
Rett til å begrense eller protestere mot behandlingen
Du har rett til å få behandlingen begrenset i visse tilfeller, se GDPR artikkel 21, som:
Du bestrider riktigheten av personopplysningene – behandlingen stanses i en periode som gjør det mulig for oss å kontrollere riktigheten av personopplysningene.
Behandlingen er ulovlig, og du motsetter seg sletting av personopplysningene og isteden anmoder om at bruken av personopplysningene begrenses.
Vi ikke lenger trenger personopplysningene til formålet med behandlingen, men du har behov for disse for å fastsette, gjøre gjeldende eller forsvare rettskrav.
Du kan også protestert mot behandling etter GDPR artikkel 21 nr. 1 i påvente av kontrollen av om hvorvidt våre berettigede interesser går foran ditt personvern.
Retten til dataportabilitet
For opplysninger som du har gitt til oss og er nødvendig for å gjennomføre en avtale med oss, og som behandles automatisk (dvs. ikke manuelt av oss) kan du be om å få personopplysningene om deg utlevert eller overført til annen leverandør i et strukturert, alminnelig anvendt og maskinlesbart format (dataportabilitet).
Automatisert behandling, herunder profilering
Det vil ikke bli foretatt automatisert behandling, herunder profilering, basert på dine personopplysninger som har rettsvirkninger eller som i betydelig grad påvirker de som personopplysninger gjelder. Se GDPR artikkel 22 nr. 1 og 4.
For å ta i bruk dine rettigheter må du rette en anmodning til firmaet ved daglig leder Henrik A. Jensen. Vi vil svare på din henvendelse til oss så fort som mulig, og senest innen 30 dager.
Vi vil be deg om å bekrefte identiteten din eller å oppgi ytterligere informasjon før vi lar deg ta i bruk dine rettigheter overfor oss. Dette gjør vi for å være sikre på at vi kun gir tilgang til dine personopplysninger til deg – og ikke noen som gir seg ut for å være deg.
Klager
Dersom du mener at vår behandling av personopplysninger ikke stemmer med det vi har beskrevet her eller at vi på andre måter bryter personvernlovgivningen, så kan du klage til Datatilsynet.
Du finner informasjon om hvordan kontakte Datatilsynet på Datatilsynets nettsider: https://www.datatilsynet.no/om-datatilsynet/kontakt-oss/hvordan-kan-jeg-klage-til-datatilsynet/
Endringer
Hvis det skulle skje endring av våre tjenester eller endringer i regelverket om behandling av personopplysninger, kan det medføre forandring i vår behandling av dine personopplysninger. Har vi dine kontaktopplysninger, vil vi gjøre deg oppmerksom på slike forandringer. Ellers vil oppdatert informasjon alltid finnes lett tilgjengelig på våre nettsider.
Sist endret: Januar 2024