Får man fotografera vem som helst och vad gäller vid behandling av känsliga personuppgifter?

Får man fotografera vem som helst utomhus och på föreningsmöten och referera till pressen med text och foton utan lov? Får man lämna ut medlemsmatrikeln med all hälsa information till övriga medlemmar inom föreningen utan lov? Finns det någon lagparagraf som styrker detta?

Lawline svarar

Hej och tack för att du vänder dig till oss på Lawline,


UTREDNING


Den lagstiftning som främst behöver beaktas vid behandlingen av ditt ärende är brottsbalken (BrB) och Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (EU:s allmänna dataskyddsförordning, GDPR).


Din första fråga - Får man fotografera vem som helst?


Det korta svaret lyder ja. Enligt 4 kap. 6 a § 1 st. BrB gäller dock att den som olovligen med tekniskt hjälpmedel i hemlighet tar upp bild av någon som befinner sig inomhus i en bostad eller på en toalett, i ett omklädningsrum eller ett annat liknande utrymme, döms för kränkande fotografering till böter eller fängelse i högst två år. Vidare sägs i bestämmelsens andra stycke att ansvar inte ska dömas ut om gärningen med hänsyn till syftet och övriga omständigheter är försvarlig.


Av ovanstående och då genom en motsatsvis läsning av den aktuella bestämmelsen kan konstateras att den som inte fotograferar någon i hemlighet och utanför de i lagtexten angivna utrymmena kommer i regel inte att göra sig skyldig till något brott. Det finns med andra ord ingenting som säger att man inte får fotografera på exempelvis allmän plats eller på egen privat mark. Spridning av fotografier och filmer är därutöver och som huvudregel också tillåtet och detta alldeles oavsett om materialet har kommit till med eller utan samtycke.


Däremot får ett handlande inte strida mot andra bestämmelser i lag, t.ex. 4 kap. 7 § BrB vari brottet ofredande regleras. Där anges att den som fysiskt antastar någon annan eller utsätter någon annan för störande kontakter eller annat hänsynslöst agerande döms, om gärningen är ägnad att kränka den utsattes frid på ett kännbart sätt, för ofredande till böter eller fängelse i högst ett år. Och brottet ofredande kan naturligtvis begås på allmän plats, exempelvis genom att någon vid upprepade tillfällen är närgången och fotograferar en annan person. Likaså kan spridning av bilder under vissa förutsättningar utgöra ett ärekränkningsbrott, t.ex. brottet förtal, se 5 kap. 1 § BrB.


Din andra fråga - Är det tillåtet att skicka ut medlemsregister till andra medlemmar?


Det korta svaret lyder nej. Men samtidigt beror det på. Jag vet inte heller vad det rör sig om för typ av förening, men eftersom ditt ärende avser begreppet ”hälsa” kommer nedan framställning att koncentreras till detta och endast till sådant som är av relevans för just hälsobegreppet i dataskyddsförordningens mening. Mot den bakgrunden kommer exempelvis de materiella och territoriella tillämpningsbestämmelserna liksom de s.k. dataskyddsprinciperna att lämnas därhän, se artikel 2, 3 och 5 GDPR.


När det gäller uppgifter kopplade till hälsa återfinns en legaldefinition i artikel 4.15 GDPR vari sägs att med uppgifter om hälsa avses personuppgifter som rör en fysisk persons fysiska eller psykiska hälsa, inbegripet tillhandahållande av hälso- och sjukvårdstjänster, vilka ger information om dennes hälsostatus. Definition är således allmänt hållen och därmed omfattande och träffar därför, såvitt jag kan bedöma, det mesta som är kopplat till medlemmarnas hälsa. Vidare framgår av skäl 35 i preambeln till dataskyddsförordningen att uppgifter om hälsa inte bara innefattar uppgifter om den registrerades nuvarande fysiska eller psykiska hälsotillstånd. Även uppgifter med koppling till dennes tidigare och framtida hälsotillstånd ryms inom legaldefinitionen. Till och med en sådan till synes ganska banal företeelse som en uppgift om att en person har skadat sin fot och till följd av detta blivit deltidssjukskriven har ansetts utgöra en personuppgift om hälsa, vilket EU-domstolen uttalade i det s.k. Konfirmandlärarfallet vari hovrätten hade begärt ett förhandsbesked från EU-domstolen, se domstolens avgörande 2003-11-06 i mål C-101/01 (”Lindqvist”) samt det aktuella hovrättsfallet RH 2004:51.


Värt att nämna är också att uppgifter om hälsa tillhör en särskild kategori personuppgifter som enligt huvudregeln i artikel 9.1 GDPR inte får behandlas av den personuppgiftsansvarige. Med personuppgiftsansvarig avses för övrigt en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter, se artikel 4.7 GDPR. I artikel 9.2 GDPR räknas det dock upp ett antal undantag från den ovan nämnda huvudregeln och det däri generella förbudet mot behandling av känsliga personuppgifter. Ett sådant är exempelvis samtycke från den registrerade (medlemmarna), vilket är ett sätt att åstadkomma en laglig behandling (i det här fallet i form av spridning till andra medlemmar). En central utgångspunkt är att samtycket måste lämnas frivilligt varför hypotetiska och/eller tysta samtycken inte är giltiga. I artikel 4.11 GDPR anges att samtycke från den registrerade avser varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne.


Oavsett vilket är min sammantagna bedömning, något som delvis redan har påpekats ovan, att mycket av det som kommer att lämnas sannolikt torde utgöra känsliga personuppgifter varför någon av undantagsbestämmelserna i artikel 9.2 GDPR måste kunna åberopas av den personuppgiftsansvarige (föreningen, vilken företräds av styrelsen) för att behandlingen ska vara laglig.


Avslutande ord och ytterligare rådgivning


Vid fler frågorär du varmt välkommen att höra av dig på nytt. Antingen här på hemsidan och då genom några av våra utmärkta betaltjänster eller via vår ordinarie byråverksamhet. Själv nås jag på jacob.bjornberg@lawline.se och du får mer än gärna kontakta mig direkt ifall du önskar ytterligare hjälp i den fortsatta processen. I så fall kan jag slussa dig vidare till någon av byråns eminenta jurister utan att du behöver sitta i telefonkö. Mot bakgrund av COVID-19 erbjuder våra jurister idag möten såväl telefonledes som på Teams och andra liknande digitala plattformar.


Notera dock att vi på straff- och skatterättens område endast ger viss typ av inledande rådgivning och då inom ramen för vår expresstjänst som du numera har nyttjat. Byrån åtar sig inte några sådana uppdrag fullt ut. I så fall behöver du vända dig till en byrå specialiserad på straff- respektive skatterätt.


Avslutningsvis är den livliga förhoppningen att min hantering av ditt ärende har varit matnyttig och presenterats i en för dig utförlig och tillfredsställande form. Återkom gärna med synpunkter genom att skicka in ett omdöme när du mottar en sådan förfrågan.


Vänligen,

Jacob BjörnbergRådgivare
Public question details image

Ställ en Expressfråga 1499 kr

Behöver du hjälp med att lösa en fråga gällande Straffrätt och Brott mot frihet och frid, 4 kap. BrB? Vi kan hjälpa dig!

Ställ din fråga i formuläret nedan och få svar inom 72 timmar.

Betala medKlarna Logo
0 / 1500
swish logo