Privacy Statement HP

Privacy Statement for Advokatfirmaet Hammervoll Pind AS

(hereafter: “we” or “us”)

Privacy is the right to a private life and the right to decide over one’s own personal data. Personal data consists of data and assessments that can be linked to an individual.

Advokatfirmaet Hammervoll Pind AS (hereafter: HP) processes personal data as an employer, as a provider of services, for marketing purposes and in connection with visits to our website and our whistleblowing portal.

Privacy is important for the provision of HP’s services and our focus is on protecting the integrity, accessibility and confidentiality of the personal data.

This Privacy Statement describes how HP processes personal data pertaining to existing, previous and potential clients and (possible) opposing parties, as well as employees at HP, users of our website, suppliers and other cooperative partners.

In many situations, HP acts as the data controller and processes personal data in accordance with the Norwegian Personal Data Act and associated Regulations, as well as the rules in the Norwegian Courts of Justice Act that relate to law firms. We may also act as processor in connection with certain types of projects and assignments. In such an event, this processing will be regulated in an agreement with the data controller undertaking. This agreement will set the framework for HP’s processing of personal data.

We are the data controller for the processing of personal data described in this Privacy Statement. You will find our contact details below.

1 Who we process personal data about

This Privacy Statement pertains to our processing of personal data about the following persons:

  • Private clients
  • Clients in criminal cases
  • Contacts for business clients
  • Contacts for our suppliers and cooperative partners
  • Persons involved in cases we assist with
  • Other persons referred to in case documents that we obtain access to
  • Visitors to our website

2 Purpose, types of personal data and legal basis

Below we have provided an overview of the purposes for our processing of personal data, the type of personal data we process and the legal basis for this.

Establishing client relationships

  • When we are contacted by a client regarding a new assignment, we conduct an internal conflict of interest check before we can accept the assignment. The conflict of interest check serves a legitimate purpose and is based on Article 6 (1) (f) of the General Data Protection Regulation (GDPR) (balancing of interests). Conflict of interest checks of private clients generally include their full name, the subject matter of the case and, if relevant, creditworthiness. Conflict of interest checks on behalf of business clients will not generally involve the processing of personal data.
  • In addition to establishing a client relationship, we may be legally obligated to conduct a client check in accordance with the rules in the Norwegian Money Laundering Act, which is thus our legal basis for processing such personal data, cf. cf. Article 6 (1) (c) of the GDPR. This entails that we will collect and register information regarding the identification of private clients and identification of owners, and the persons who act on behalf of our business clients.
  • If we can accept the assignment, contact information will be registered, including name, address, e-mail and telephone number of private clients and contact persons for business clients. Registering contact information is necessary for being able to enter into an agreement with private individuals, cf. Article 6 (1) (b) of the GDPR. For business clients, the registration of contact information is based on a balancing of interests, cf. Article 6 (1) (f) of the GDPR.

Case management:

  • Some legal assignments involve us obtaining access to personal data about parties or other individuals involved in a case. This data may appear in documents the client sends to us or other correspondence in the case. The legal basis for processing personal data in connection with assignments for business clients is Article 6 (1) (f) of the GDPR (balancing of interests).
  • In some cases we also obtain access to sensitive personal data, for example, medical information or criminal convictions and offenses. In such cases, the statutory authority for processing the data is Article 9 (2) (f) of the GDPR (processing is necessary for the establishment, exercise or defence of legal claims), cf. Section 11 of the Norwegian Personal Data Act (2018).

Knowledge management:

  • We use some of the agreements and documents that are drafted in our activities for the purpose of internal knowledge management, which means that documentation may be made available to other employees at the firm. The legal basis for processing this data is our interest in utilizing the knowledge we have acquired in the advice we provide in the future, cf. Article 6 (1) (f) of the GDPR (balancing of interests).

Client management:

  • Separate case files are created for assignments performed on behalf of the client, and case documentation is stored in our processing system under a separate case number. Time and costs incurred on a case are recorded in our accounting system. For business clients, our actions in connection with client management are based on Article 6 (1) (f) if the GDPR (balancing of interests), while for private clients, this is considered a necessary part of fulfilling the agreement, cf. Article 6 (1) (b) of the GDPR.

Storage and retention of case documents:

  • We generally store documents for 10 years after the assignment is completed. Storage for this period of time is considered necessary for both us and the client, because questions or disputes may later arise where the information stored could become relevant. The legal basis for processing personal data is Article 6 (1) (f) of the GDPR (balancing of interests, cf. the legitimate interest stated above) and Article 9 (2) (f) of the GDPR (establishment, exercise or defence of legal claims), cf. Section 11 of the Norwegian Personal Data Act (2018).

Use of our website:

  • We only use data which persons themselves register on our website in connection with the follow-up of user inquiries. The data is not used for any other purpose without specific consent and we also do not disclose the data to other parties. Like most other websites, we use a method in which the information is stored in a “cookie” on your PC. Cookies are primarily used to measure traffic and optimise the service. The legal basis is Article 6 (1) (f) of the GDPR (balancing of interests) and/or Article 6 (1) (b) of the GDPR (processing is necessary for the performance of a contract with the party in question).


  • Contact information received from business clients is used to address invoices that are sent to the business, if this is requested by the client. For private clients, the person’s private postal address is used for sending invoices. The legal basis for processing the personal data is Article 6 (1) (f) of the GDPR (balancing of interests) for business clients and Article 6 (1) (b) of the GDPR (necessary for the performance of a contract to which the data subject is party) for private clients.

IT Operations and Security:

  • Personal data stored in our IT systems may be available to us or to our suppliers in connection with system updates, implementation or follow-up of security measures, error correction or other maintenance. The legal basis for processing is Article 6 (1) (f) of the GDPR (balancing of interests, cf. our legitimate interest to conduct these activities) and our legal obligation to have satisfactory information security, cf. Articles 32 and 6 (1) (c) of the GDPR.


  • We send newsletters to e-mail addresses registered for clients who we continuously provide legal services to and others who have requested to receive our newsletter. Recipients of the newsletter can easily stop the service by using the link included in each inquiry. The legal basis for processing is Article 6 (1) (f) of the GDPR (balancing of interests) when we have received the e-mail address in connection with a legal assignment or both we and the client have a legitimate interest in us sending out relevant updates and changes to clients and other interested parties. If there is an existing customer relationship, the marketing will take place in accordance with Section 15 (3) of the Norwegian Marketing Act. In other contexts, marketing is based on the consent of the concerned party, cf. Section 15 (1) of the Norwegian Marketing Act and Article 6 (1) (a) of the GDPR

Suppliers and cooperative partners:

  • In certain instances, HP will process personal data about suppliers and other cooperative partners. This primarily concerns data such as the name of the contact person, e-mail, telephone number and address. This data is processed to the extent necessary for administering the contractual arrangement and for compliance with the agreement, cf. Article 6 (1) (b) of the GDPR.

Human resources:

  • Personal data processed in connection with this includes personal details, pay information, evaluations, information regarding next-of-kin and qualifications/position. This data is processed to the extent necessary for administering the employment arrangement and for compliance with the employment agreement, cf. Article 6 (1) (b) of the GDPR. In some instances, the legal basis may be Article 6 (1) (f) of the GDPR (balancing of interests) and Article 9 (2) (f) of the GDPR (establishment, exercise or defence of legal claims).

3 Who we share personal data with

Our IT service providers may have access to personal data if personal data is stored at the provider or is otherwise available to the provider in accordance with their contract with us. In instances such as this, providers will act in accordance with the data processing agreement and under our instructions. The provider may only use the personal data for the purposes we have determined and as described in this Privacy Statement.

Lawyers are subject to a criminally sanctioned duty of confidentiality pursuant to Section 111 of the Norwegian General Civil Penal Code. All data entrusted to us in connection with an assignment is handled confidentially.

We will not disclose personal data in other circumstances or by other means to those described in this Privacy Statement unless the client explicitly requests or agrees to this, or disclosure is required by law.

 4 Storing of personal data

We generally store case documents for ten years. Accounting laws otherwise require us to store specific accounting documents for a specified period. When a particular purpose dictates storage for a given period, we ensure that the personal data is used solely for that purpose during this period of time.

5 Your rights

You have certain rights regarding the personal data that pertains to you. The rights you may have will depend on the circumstances.

Withdraw consent:

  • You may withdraw your consent to receive newsletters at any time. We have made it possible for you to easily opt-out of this type of inquiry by including a link to the unsubscribe form in each inquiry. If you have consented to other processing of personal data, you may also withdraw your consent at any time by sending a request to us.

Request access:

  • Provided that the duty of confidentially does not prevent this, you have the right to access the personal data we have registered about you. To ensure that personal data is disclosed to the correct person, we may require a written request for access or that identity is verified by other means.

Request correction or deletion:

  • You can submit a request for us to correct incorrect data we have about you or request that we delete personal data. We will, insofar as possible, accommodate requests to delete personal data, however we cannot do so if there are compelling grounds for not deleting this data, for example, we need to store the data for documentation purposes.

Data portability:

  • In some instances, you may be entitled to the disclosure of personal data you have provided to us in order to have this transferred in a machine-readable format to another law firm. If technically possible, you will be entitled in some cases to have this transferred directly to the other firm.

Complaints to the supervisory authority:

  • If you disagree with the manner in which we process your personal data, you can file a complaint with the Norwegian Data Protection Authority.

 6 Security

We have established procedures to securely manage personal data. These measures are of both a technical and organizational nature. We conduct regular assessments of the security of all key systems used for the processing of personal data, and agreements have been entered into that require providers of such systems to provide adequate information security. Access to personal data (and client/case information) is restricted to personnel who require access in order to perform their tasks.

We have adopted internal IT guidelines, and employees regularly receive training in security and use of IT systems.

7 Amendments to the Privacy Statement

We may make minor amendments to this Privacy Statement. You will always find the latest version on our website. We will provide notice in the event of any significant amendments.

8 Contact us

If you have any questions or comments regarding our Privacy Statement or wish to exercise your rights, you are welcome to contact us at:

Advokatfirmaet Hammervoll Pind AS

Postboks 343 Sentrum


55 69 99 50

9. Organisation and responsibility

The managing director at HP has primary responsibility for HP’s processing of personal data. Responsibility for the day-to-day follow-up of HP’s compliance with privacy regulations has been delegated to the data protection coordinator.

Personvernerklæring for Advokatfirmaet Hammervoll Pind AS

Personvern er retten til et privatliv og retten til å bestemme over egne personopplysninger. Personopplysninger er opplysninger og vurderinger som kan knyttes til en enkeltperson.

Advokatfirmaet Hammervoll Pind AS (heretter: HP) behandler personopplysninger som arbeidsgiver, som leverandør av tjenester, i markedsføringsøyemed og i forbindelse med besøk på vår hjemmeside og vår varslingsportal.

Personvern er viktig i HPs leveranser og vi er opptatt av å verne om personopplysningenes integritet, tilgjengelighet og konfidensialitet.

Denne erklæringen beskriver hvordan HP behandler personopplysninger om eksisterende, tidligere og potensielle klienter og (mulige) motparter, samt ansatte i HP, brukere av nettsidene våre, leverandører og øvrige samarbeidspartnere.

HP opptrer i mange sammenhenger som behandlingsansvarlig og behandler personopplysningene i henhold til personopplysningsloven og tilhørende forskrifter, samt domstollovens regler om advokatvirksomhet. I tillegg kan vi opptre som databehandler i forbindelse med visse typer prosjekter og oppdrag. I så fall vil slik behandling være regulert i en avtale med behandlingsansvarlig virksomhet. Denne avtalen vil sette rammene for HPs behandling av personopplysninger.

For behandlingen av personopplysninger som er beskrevet i denne personvernerklæringen er vi behandlingsansvarlige. Du finner kontaktinformasjonen vår nedenfor.

1 Hvem vi behandler personopplysninger om

Denne personvernerklæringen retter seg mot vår behandling av personopplysninger om følgende personer:

  • Privatkunder
  • Klienter i straffesaker
  • Kontaktpersoner hos virksomhetsklienter
  • Kontaktpersoner hos våre leverandører og samarbeidspartnere
  • Personer som er involvert i saker vi bistår i
  • Andre personer som er omtalt i saksdokumenter vi får tilgang til
  • Besøkende på vår nettside

2 Formål, typer personopplysninger og rettslig grunnlag

Nedenfor har vi gitt en oversikt over hvilke formål vi behandler personopplysninger for, hvilke typer personopplysninger vi behandler og det rettslige grunnlaget for behandlingen.

Etablering av klientforhold:

  • Når vi kontaktes av en klient med forespørsel om vi kan ta et oppdrag, foretar vi en uavhengighetssjekk internt (konfliktavklaring) før vi eventuelt sier ja til oppdraget. Uavhengighetssjekken tjener et legitimt formål og har grunnlag i GDPR artikkel 6 nr. 1 bokstav f (interesseavveining). Konfliktsjekk av privatkunder omfatter som regel fullt navn, hva saken gjelder og, hvis relevant, kredittverdighet. Generelt sett vil ikke konfliktsjekk på vegne av virksomhetskunder innebære behandling av personopplysninger.
  • I tilknytning til etableringen av et klientforhold vil vi kunne være rettslig forpliktet til å foreta en kundekontroll i samsvar med reglene i hvitvaskingsloven, som dermed er vårt rettslige grunnlag for å behandle slike personopplysninger, jf. GDPR artikkel 6 nr. 1 bokstav c. Dette innebærer at vi vil innhente og registrere informasjon om privatklienters identifikasjon og identifikasjon av eiere og de personer som handler på vegne av våre virksomhetskunder.
  • Dersom vi kan ta oppdraget, registreres kontaktinformasjon, herunder navn, adresse, e-post, telefonnummer til privatklienter og til kontaktpersoner hos virksomhetsklienter. Registreringen av kontaktopplysninger er for privatkunder nødvendig for å kunne inngå avtale med vedkommende, jf. GDPR artikkel 6 nr. 1 bokstav b. For virkssomhetskunder bygger registreringen av kontaktopplysninger på en interesseavveining, jf. GDPR artikkel 6 nr. 1 bokstav f.


  • Enkelte advokatoppdrag innebærer at vi får tilgang til personopplysninger om parter eller andre enkeltpersoner som berøres av en sak. Slike opplysninger kan fremkomme av dokumenter klienten oversender eller annen korrespondanse i saken. Behandlingen av personopplysninger i forbindelse med oppdrag for virksomhetskunder er forankret i GDPR artikkel 6 nr. 1 bokstav f (interesseavveining).
  • I noen saker får vi også tilgang til sensitive personopplysninger, f.eks. helseopplysninger eller straffedommer og lovovertredelser. I slike tilfeller har behandlingen av opplysningene hjemmel i GDPR artikkel 9 nr. 2 bokstav f (behandlingen er nødvendig for å fastsette, gjøre gjeldende eller forsvare et rettskrav), jf. personopplysningsloven (ny 2018) § 11.


  • Vi benytter en del avtaler og dokumenter som er utformet i vår virksomhet til intern kunnskapsforvaltning, slik at en vil kunne tilgjengeliggjøre materiale til øvrige ansatte i vår virksomhet. Behandlingsgrunnlaget er vår interesse i å nyttiggjøre utarbeidet kunnskap i videre rådgivning, jf. GDPR artikkel 6 nr. 1 bokstav f (interesseavveining).


  • Det opprettes egne saksmapper for oppdrag som utføres på vegne av klienten, og saksdokumentasjon lagres i vår saksbehandlingssystem under eget saksnummer. Tid og kostnader som er påløpt på en sak registreres i vårt regnskapssystem. For virksomhetskunder er det vi gjør i forbindelse med klientadministrasjon hjemlet i GDPR artikkel 6 nr. 1 bokstav f (interesseavveining), mens det for privatkunder anses som en nødvendig del av det å oppfylle avtalen med vedkommende, jf. GDPR artikkel 6 nr. 1 bokstav b.

Lagring og oppbevaring av saksdokumenter:

  • Vi oppbevarer i hovedsak saksdokumenter i 10 år etter at oppdraget er avsluttet. Lagring i det angitte tidsrommet er vurdert som nødvendig av hensyn både til klienten og for vår egen del, siden det i ettertid kan komme opp spørsmål eller en tvist hvor den informasjonen som er lagret på en sak igjen kan bli aktuell. Det rettslige grunnlaget for behandling av personopplysninger er GDPR artikkel 6 nr. 1 bokstav f (interesseavveining, jf. den legitime interessen angitt over) og GDPR artikkel 9 nr. 2 bokstav f (fastsette, gjøre gjeldende eller forsvare rettskrav), jf. personopplysningsloven (ny 2018) § 11.

Bruk av nettsidene våre:

  • Vi benytter kun opplysninger som personer registrerer inn selv på vår nettside i forbindelse med oppfølging av brukernes henvendelser. Opplysningene benyttes ikke til noe annet formål uten særskilt samtykke, og vi utleverer heller ikke opplysningene til andre. Som de fleste andre nettsider, benytter vi en metode der informasjonen lagres i en informasjonskapsel på din PC. Informasjonskapsler brukes primært for å måle trafikk og optimalisere tjenesten. Det rettslige grunnlaget er GDPR artikkel 6 nr. 1 bokstav f (interesseavveining) og/eller GDPR artikkel 6 nr. 1 bokstav b (anses som en nødvendig del av det å oppfylle avtalen med vedkommende).


  • Kontaktopplysninger som er mottatt fra virksomhetskunder benyttes for å merke faktura som sendes til virksomheten dersom klienten ber om dette. For privatkunder, benyttes personens private postadresse for utsendelse av faktura. Behandlingsgrunnlaget er GDPR artikkel 6 nr. 1 bokstav f (interesseavveining) for virksomhetskunder og GDPR artikkel 6 nr. 1 bokstav b (nødvendige for å oppfylle avtalen med den registrerte) for privatkunder.

IT-drift og sikkerhet:

  • Personopplysninger som er lagret i våre IT-systemer vil kunne være tilgjengelige for oss eller for våre leverandører i forbindelse med oppdateringer av systemer, implementering eller oppfølging av sikkerhetstiltak, feilretting eller annet vedlikehold. Behandlingsgrunnlaget er GDPR artikkel 6 nr. 1 f (interesseavveining, jf. vår legitim interesse knyttet til nevnte aktiviteter) og vår rettslig forpliktelse til å ha tilfredsstillende informasjonssikkerhet, jf. GDPR artiklene 32 og 6 nr. 1 bokstav c.


  • Vi sender ut nyhetsbrev til e-postadresser som er registrert på klienter som vi løpende yter advokattjenester til og andre som har bedt om å få vårt nyhetsbrev. Mottakere av nyhetsbrevet kan enkelt melde seg av tjenesten ved å benytte link som er inkludert i hver enkelt henvendelse. Behandlingsgrunnlaget er GDPR artikkel 6 nr. 1 bokstav f (interesseavveining) der vi har mottatt e-postadressen i forbindelse med et advokatoppdrag.

Eller har både klient og vår virksomhet en legitime interesse i å sende ut relevante oppdateringer og endringer til kunder og andre interesserte. Dersom det foreligger et eksisterende kundeforhold vil markedsføringen skje i henhold til markedsføringsloven § 15(3). I andre sammenhenger bygger markedsføring på samtykke fra vedkommende, jf. markedsføringsloven § 15(1) og GDPR artikkel 6 nr. 1 a. 3

leverandører og samarbeidspartnere

  • HP behandler i visse tilfeller personopplysninger om leverandører og  øvrige samarbeidspartnere, hovedsakelig opplysninger om navn på kontaktperson, e-post, telefon og adresse. Slike opplysninger behandles i den utstrekning dette er nødvendig for å administrere avtaleforholdet og for å oppfylle avtalen, jf. GDPR artikkel 6 nr. 1 bokstav b.


  • Personopplysningene som behandles i denne forbindelse er blant annet personalia, lønnsopplysninger, evalueringer, opplysninger om pårørende, og utdannelse/stillingsnivå. Slike opplysninger behandles i den utstrekning dette er nødvendig for å administrere ansettelsesforholdet og for å oppfylle arbeidsavtalen, jf. GDPR artikkel 6 nr. 1 bokstav b. I noen tilfeller vil det rettslige grunnlaget kunne være GDPR artikkel 6 nr. 1 bokstav f (interesseavveining) og GDPR artikkel 9 nr. 2 bokstav f (fastsette, gjøre gjeldende eller forsvare rettskrav).

3. Hvem vi deler personopplysninger med

Våre leverandører av IT-tjenester vil kunne ha tilgang til personopplysninger dersom personopplysninger er lagret hos leverandøren eller på annen måte er tilgjengelig for leverandøren i henhold til kontrakten med oss. Leverandørene opptrer i så fall i henhold til databehandleravtale og under vår instruks. Leverandøren kan bare benytte personopplysningene for de formålene vi har bestemt og som er beskrevet i denne personvernerklæringen.

Advokater er underlagt en straffesanksjonert taushetsplikt som følger av straffeloven § 111. Alle opplysninger som blir betrodd oss i forbindelse med et oppdrag blir håndtert konfidensielt.

Vi utleverer ikke personopplysninger i andre tilfeller eller på andre måter enn dem som er beskrevet i denne personvernerklæringen med mindre klienten eksplisitt oppfordrer til eller samtykker til dette eller utleveringen er lovpålagt.

4 Lagring av personopplysninger

Vi lagrer saksdokumenter i hovedsak i 10 år. Regnskapslovgivning pålegger oss ellers å lagre bestemte regnskapsdokumenter i et nærmere angitt tidsrom. Når et bestemt formål tilsier lagring i et gitt tidsrom, sørger vi for at personopplysningene utelukkende blir benyttet for det aktuelle formålet i dette tidsrommet.

5 Dine rettigheter

Du har rettigheter i personopplysninger som omhandler deg. Hvilke rettigheter du har, avhenger av omstendighetene.

Trekke samtykke tilbake:

  • Dersom du har gitt samtykke til å motta nyhetsbrev fra oss, kan du når som helst trekke dette samtykket tilbake. Vi har lagt til rette for at du enkelt kan reservere deg mot denne typen henvendelser ved å inkludere en link til avregistreringsskjema i hver enkelt henvendelse. Dersom du har samtykket til annen behandling av personopplysninger, kan du også når som helst trekke ditt samtykke tilbake med henblikk på denne behandlingen ved å rette en henvendelse til oss om dette.

Be om innsyn:

  • Du har rett til innsyn i hvilke personopplysninger vi har registrert om deg, så langt ikke taushetsplikten er til hinder for dette. For å sikre at personopplysninger utleveres til rett person, kan vi stille krav om at begjæring om innsyn skjer skriftlig eller at identitet verifiseres på annen måte.

Be om retting eller sletting:

  • Du kan be oss om å rette feilaktige opplysninger vi har om deg eller be oss om å slette personopplysninger. Vi vil så langt som mulig imøtekomme en forespørsel om å slette personopplysninger, men vi kan ikke gjøre dette dersom det er tungtveiende grunner for ikke å slette, for eksempel at vi må lagre opplysningene av dokumentasjonshensyn.


  • I noen tilfeller vil du kunne ha adgang til å få utlevert personopplysninger du har oppgitt til oss for å få disse overført i et maskinlesbart format til et annet advokatfirma. Dersom det er teknisk mulig vil det i enkelte tilfeller være adgang til å få disse overført direkte til det andre firmaet.

Klage til tilsynsmyndigheten:

  • Dersom du er uenig i måten vi behandler dine personopplysninger på, kan du sende inn en klage til Datatilsynet.

6 Sikkerhet

Vi har etablert prosedyrer for å håndtere personopplysninger på en sikker måte. Tiltakene er både av teknisk, og organisatorisk art. Vi foretar jevnlige vurderinger av sikkerheten i alle sentrale systemer som benyttes for håndtering av personopplysninger, og det er inngått avtaler som pålegger leverandører av slike systemer å sørge for tilfredsstillende informasjonssikkerhet. Tilgang til personopplysninger (og klient-/saksinformasjon) er begrenset til personell som har behov for tilgang for å utføre sine oppgaver.

Vi har vedtatt interner IT-retningslinjer, og vi foretar jevnlig opplæring av ansatte med hensyn til sikkerhet og bruk av IT-systemer.

7 Endringer i personvernerklæringen

Vi vil kunne gjøre mindre endringer i denne personvernerklæringen. Du vil alltid finne siste versjon på vår nettside. Ved vesentlige endringer vil vi varsle om dette.

8 Kontakt oss

Dersom du har spørsmål eller kommentarer til vår personvernerklæring eller du vil utøve dine rettigheter, kan du ta kontakt med oss:

Advokatfirmaet Hammervoll Pind AS

Postboks 343 Sentrum


55 69 99 50

9. Organisering og ansvar

Daglig leder i HP er hovedansvarlig for behandlingen av personopplysningene som utføres i HP.  Ansvaret for den daglige oppfølgningen av HPs etterlevelse av personvernregelverket er delegert til personvernkoordinator.