Hjälp med rådgivning - Lawline

2019-02-10 i ÖVRIGT
FRÅGA |HejJag skulle vilja ha hjälp med rådgivning om ett brott som jag är skyldig till och kallad till rätten på en så kallad tilståelsesdom.Något jag kan få råd om?
Robin Badili |Hej och tack för att du vänder dig till Lawline med din fråga!Lawline kan identifiera och lösa många juridiska problem genom vår webb- och telefonrådgivning. Ibland behövs dock mer kvalificerad hjälp för att hantera de juridiska delarna av viktiga händelser i ditt liv. Då kan det vara viktigt med hjälp av en erfaren jurist. Lawlines jurister finns i Stockholm men har även möjlighet att hålla möten på telefon eller Skype. Våra jurister har kompetensen gällande din fråga och kan hjälpa dig med rådgivningen! Tveka inte att höra av dig till våra jurister här.Om du har fler frågor tveka aldrig att höra av dig!Hoppas du fick svar på din fråga och lycka till med rådgivningen!Vänligen,

Sanktionsavgifter enligt GDPR

2019-01-31 i PUL/GDPR
FRÅGA |Hey. Om man vill stämma ex ett företag för brott mot GDPR.. hur högt belopp kan man då yrka på?
Galina Krasteva |Tack för att du vänder dig till Lawline med din fråga!Sanktionsavgifter och varningarDatainspektionen kan besluta att ett företag som bryter mot reglerna i dataskyddsförordningen (GDPR) ska betala en administrativ sanktionsavgift. Avgiften kan som mest vara 20 miljoner euro eller fyra procent av bolagets globala årsomsättning, beroende på vilket belopp som är högst. För de något mindre allvarliga överträdelserna gäller ett maxbelopp på 10 miljoner euro eller 2 procent av den globala årsomsättningen (art. 83 GDPR). Det blir förmodligen inte vanligt att Datainspektionen dömer ut maximala sanktionsavgifter.Hur hög sanktionsavgiften blir beror dels på vilken bestämmelse överträdelsen gäller, dels på omständigheterna i det enskilda fallet. Datainspektionen kommer bland annat att titta på hur allvarlig överträdelsen är, hur stor skada som skett, om det är fråga om känsliga personuppgifter och om överträdelsen är avsiktlig. Datainspektionen ska se till att en eventuell sanktionsavgift är effektiv, proportionerlig och avskräckande. Därför kan även exempelvis företagets storlek ha betydelse.I Sverige ska även myndigheter kunna påföras sanktionsavgifter. För mindre allvarliga överträdelser ska avgiften uppgå till högst 5 miljoner kronor och för allvarligare överträdelser till högst 10 miljoner kronor (6 kap. 2 § dataskyddslagen).Datainspektionen kan även utfärda varningar om en planerad behandling av personuppgifter sannolikt kommer att bryta mot bestämmelserna i förordningen. Myndigheten kan utfärda reprimander om en pågående behandling av personuppgifter bryter mot bestämmelserna och kan dessutom förelägga ett företag eller annan organisation till exempel att de måste upphöra med en viss behandling. Datainspektionens beslut kan överklagas.SkadeståndEn person som har lidit skada på grund av att hans eller hennes personuppgifter har behandlats i strid med dataskyddsförordningen kan ha rätt till skadestånd av den eller de personuppgiftsansvariga som medverkat vid behandlingen (art. 82 GDPR).Ett personuppgiftsbiträde kan också bli skadeståndsansvarigt om denne har brutit mot de bestämmelser som specifikt riktar sig till biträden eller har behandlat uppgifter i strid med den ansvariges instruktioner.Den enskilde kan begära skadestånd från den personuppgiftsansvarige eller personuppgiftsbiträdet eller väcka skadeståndstalan i domstol.Den som lidit skada har i princip rätt att få ersättning för hela skadan av antingen den personuppgiftsansvarige eller personuppgiftsbiträdet. De får sedan i sin tur reglera detta sinsemellan. En personuppgiftsansvarig eller ett biträde har dock ingen skyldighet att betala ersättning om de kan visa att de inte på något sätt är ansvariga för skadan.Hoppas detta var svar på din fråga!Med vänlig hälsning,

Publicering av bilder på internet

2019-01-30 i PUL/GDPR
FRÅGA |Hej, vi är en dansförening som har skapat ett öppet instagramkonto.vi lägger upp både nya och gamla bilder på våra delaktiga dansare & även dansare som inte medverkar längre. I dem flesta fall har vi även godkännande att ladda upp bilder från fotograferna. Kan en person kräva att vi tar bort en bild på denne? Bilderna vi lägger upp är för det mesta från olika karnevaler utomhus i sverige, men även från träningar .Strider vi mot några lagar eller GDPR?
Galina Krasteva |Tack för att du vänder dig till Lawline med din fråga!När det gäller publicering av bilder på människor på en webbplats måste ni alltid följa reglerna i dataskyddsförordningen (GDPR). Till exempel måste ni ha klart för er vad syftet är och med vilken rättslig grund ni behandlar personuppgifterna.All slags information som direkt eller indirekt kan knytas till en fysisk person som är i livet räknas enligt dataskyddsförordningen som personuppgifter. Även till exempel teckningar, foton, och filmer kan alltså vara personuppgifter om de avbildar människor. Till och med en ljudfil med en persons röst kan vara en personuppgift (art. 4.1 GDPR).Bilder och filmer kräver att du har stöd i GDPR för att få publicera dem. GDPR anger sex skäl, så kallade rättsliga grunder (art. 6 GDPR). De skäl som ni oftast kan använda er av är intresseavvägning (för privata företag) och samtycke. Som regel ska varje personuppgiftsbehandling stödjas på endast en rättslig grund. Var alltså tydlig med varför ni tänker behandla personuppgifter och välj endast en rättslig grund för ett visst ändamål. Det går inte att byta rättslig grund under en pågående personuppgiftsbehandling. Exempel: Ni får inte börja använda en intresseavvägning för att det har uppstått problem med giltigheten av ett samtycke. Det innebär att i det här fallet måste ni inhämta samtycke från alla personer innan ni publicerar deras bilder på sociala medier. Oavsett vilken grund du använder dig utav ska du, om det är möjligt, informera de som finns med på bilden om att de blir fotade och att de kommer figurera på er webbplats eller i era sociala mediekanaler. Du ska också informera om vem de ska vända sig till ifall de framöver inte skulle vilja finnas med på er bild (se art. 12-23 GDPR).När bilden används ska du skriva upp att du använder den i er registerförteckning samt ange vilken rättslig grund ni stödjer er på, samt hur ni motiverar det (art. 30 GDPR). Om någon hör av sig och inte vill figurera på er webbplats eller i annan digital kanal ska ni ta bort bilden, alternativt göra om bilden så att personen inte syns.Privata organisationer kan hävda att deras intresse av att visa upp sin verksamhet är större än personernas rätt till sina personuppgifter. Om ni till exempel har haft en danskurs eller en karneval och vill visa hur det var kan ni stödja er på intresseavvägning. Dokumentera hur ni har resonerat när ni har gjort den avvägningen. Den enskilde, vars namn och bild har publicerats, har rätt att göra invändningar mot en behandling som grundar sig på en intresseavvägning (art. 21 GDPR). Personerna som är med på bilderna har rättigheter enligt dataskyddsförordningen. Ni måste inte samla in namn på alla som är med på bilderna endast för att kunna följa reglerna i förordningen. Men om någon identifierar sig själv och vill utöva sina rättigheter, så gäller rättigheterna i förordningen. Det innebär att en person kan begära radering av hans eller hennes bilder från er sociala media (art. 17 GDPR).Sammanfattningsvis kan sägas att er organisation får publicera bilder på era dansare under förutsättningen att ni har valt en rättslig grund för den här publiceringen och följer i övrigt bestämmelserna i GDPR. Om ni bestämmer att använda samtycke som rättslig grund för publiceringen, måste ni registrera samtycke från samtliga personer på bilden, till exempel i form av ett skriftligt samtycke. Om någon sedan ändrar sig ska ni ta bort personen från bilden, eller ta bort hela bilden. Om ni istället vill använda intresseavvägning som grund för publiceringen måste ni kunna visa att ert intresse av att visa upp er verksamhet väger tyngre än personens rätt till sina personuppgifter. Glöm inte att göra ett register för samtliga personuppgifter ni samlar in. Där ska ni ange bland annat var ni registrerar, varför, vilken rättslig grund ni stödjer er på, hur länge ni sparar uppgifterna och hur ni rensar bland uppgifterna. Innan ni publicerar bilden ska ni ha fyllt i det här registret.Hoppas du har fått svar på din fråga!Med vänliga hälsningar

Ditt namn publiceras inte

2019-01-13 i PUL/GDPR
FRÅGA |Jag har en del frågor som jag ställt, men dom är väl anonyma väl? tack
Jonas Wester |Hej, tack för att du vänder dig till Lawline med din fråga.Svaret på din fråga publiceras aldrig i samband med ditt namn eftersom du inte har samtyckt till det. Ifall du skriver ditt namn i din fråga tar frågebesvararen bort det ur frågan.Med vänlig hälsning,

Anteckningar om anställda

2019-01-31 i PUL/GDPR
FRÅGA |HejJag har fått veta att min teamledare skrivit anteckningar i OneNote på min arbetsplats efter ett samtal vi haft i november förra året. Jag har inte förrän nu fått veta att vårt arbetssamtal blivit dokumenterat. Samtalet var arbetsrelaterat, men ett " spontan " samtal. Jag har ingen aning om vad som skrivits ned eller varför. Får det gå till så? Jag är kommunalt anställd. Om det skulle innehålla felaktigheter vet jag ju inte heller. Känns rätt olustigt.
Stephanie Fjeldseth |Hej! Tack för att du vänder dig till Lawline med din fråga!Anteckningarna din teamleader innehar kan vara föremål för behandling av personuppgifter enligt dataskyddsförordningen, GDPR. Personuppgifter är alla uppgifter som kan kopplas till dig som fysisk person. Begreppet är väldigt brett och det räcker egentligen med att uppgiften fångar upp något som kan identifieras till dig (Art. 4 GDPR). Rättslig grund för behandling av personuppgifterFör att din arbetsgivare ska få behandla personuppgifter krävs det att det finns rättslig grund för detta (Art. 6.1 GDPR). Exempel på rättslig grund kan vara därför att behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part. Ett sådant avtal kan vara ditt anställningsavtal.Myndigheter eller andra inom offentlig verksamhet använder ofta grunderna rättslig förpliktelse, uppgift av allmänt intresse eller myndighetsutövning samt avtal. Ett avtal eller annan rättslig grund gör det dock inte automatiskt legitimt att använda dina personuppgifter till olika syften. För varje syfte krävs att det finns en rättslig grund. Rätt till information Du har rätt att först få tydlig information om vilka uppgifter som samlas in och vad de ska användas till (Art. 13.1 GDPR). Du har också rätt som registrerad att få tillgång till de personuppgifter och andra uppgifter som innefattar historik kring behandlingen av dina personuppgifter. Om det visar sig att uppgifterna som din teamleader har samlat in inte längre behövs för det ändamål det samlats in för eller rent av behandlats olagligt har du rätt att "bli bortglömd" (Art 17 GDPR). Vissa anteckningar om exempelvis kompetensutveckling kan vara mycket integritetskänsliga för den registrerade. Sådana uppgifter måste begränsas dels till vilka som är behöriga att se uppgifterna och säkerheten, i systemet där uppgifterna lagras, vara hög. Enligt min mening är det ytterst tveksamt till om din chef har rättsligt stöd att bearbeta personuppgifter som kartlägger de anställda. Oavsett hur känslig informationen är som chefen sparat så krävs att informationen skyddas på ett säkert sätt. Mycket tyder på att så inte gjorts i detta fall. Förslag på åtgärd Eftersom du skriver att du jobbar kommunalt ska ni ha ett dataskyddsombud. Den person som är utsedd till dataskyddsombud har till uppgift att se till att organisationen efterlever dataskyddsförordningens regler. Mitt förslag är därför att du kontaktar dataskyddsombudet, vilket har som roll att se över dina rättigheter som registrerad.Hoppas du fick svar på din fråga! Vänliga hälsningar,

Undantag från rätten till radering av personuppgifter

2019-01-30 i PUL/GDPR
FRÅGA |Hej,Jag har sökt ett antal tjänster hos försäkringskassan. Jag kontaktade HR för att återkalla mina ansökningar och därvid ansökte jag om att få alla mina ansökningshandlingar raderade - rätten att bli bortglömd enligt GDPR.Men jag fick avslag. Varför ??? Får dem göra så? Jag menar jag har återkallat min ansökan, finns inget motiv att bevara mina handlingar. De har skrivit att de enligt ngt kapitel i GDPR bevarar handlingar i två år. Men jag vill ju ej... GDPR är så tandlös för människor som jag!!! Den är full av skitsnack! Ingen myndighet som följer den ändå!!!
Galina Krasteva |Svar:Tack för att du vänder dig till Lawline med din fråga!Du som person vars personuppgifter behandlas, den registrerade, har ett antal rättigheter enligt dataskyddsförordningen (GDPR). Dessa rättigheter innebär i korthet att du ska få information om när och hur dina personuppgifter behandlas och ha kontroll över dina egna uppgifter. Därför har du bland annat rätt att i vissa fall få dina uppgifter rättade, raderade eller blockerade, eller att få ut eller flytta dina uppgifter (se art.12-23 GDPR). Rätten till radering ("rätten att bli bortglömd") regleras i artikel 17 i GDPR. Den registrerade kan vända sig till den personuppgiftsansvarige och be att få sina uppgifter raderade utan onödigt dröjsmål i följande fall:a) Personuppgifterna är inte längre nödvändiga för de ändamål för vilka de samlats in eller behandlats på annat sätt.b) Behandlingen grundar sig på samtycke, och den registrerade återkallar sitt samtycke.c) Den registrerade invänder mot behandling som grundar sig på den personuppgiftsansvariges berättigade intressen och den personuppgiftsansvarige inte kan visa berättigade skäl för behandlingen som väger tyngre. Om den registrerade invänder mot behandling av hans eller hennes personuppgifter för direkt marknadsföring måste dock personuppgifterna alltid raderas av den personuppgiftsansvarige. d) Personuppgifterna har behandlats på olagligt sätt.e) Personuppgifterna måste raderas för att uppfylla en rättslig förpliktelse i unionsrätten eller i medlemsstaternas nationella rätt.f) Personuppgifterna har samlats in för att erbjuda informationssamhällets tjänster till barn, till exempel då ett barn har skapat en profil i ett socialt nätverk.Det finns undantag från rätten till radering och skyldigheten att informera andra om det är nödvändigt för att tillgodose andra viktiga rättigheter som till exempel rätten till yttrande- och informationsfrihet, för att uppfylla en rättslig förpliktelse, utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning.I det här fallet aktualiseras undantaget från rätten till radering i artikel 17.3.b GDPR. Det innebär att rätten att få personuppgifter raderade inte gäller sådana uppgifter som behandlas med stöd av 114 kap. Socialförsäkringsbalken (SFB) eller i övrigt med stöd av grunderna rättslig förpliktelse, uppgift av allmänt intresse och myndighetsutövning. Inte heller personuppgifter som behandlas för arkivändamål får raderas. Undantaget innebär att rätten till radering endast i mycket begränsad omfattning kan åberopas vid laglig behandling av personuppgifter som sker inom den offentliga sektorn. Handlingar som har inkommit till eller upprättats av en myndighet och som förvaras hos myndigheten utgör enligt tryckfrihetsförordningens (TF) huvudregler allmänna handlingar. Sådana handlingar ska enligt Arkivlagen bevaras och får inte utan lagstöd förstöras eller förvanskas. En personuppgift i en elektronisk allmän handling kan således i normalfallet inte raderas, om rättsligt stöd för gallring saknas. Hoppas du har fått svar på din fråga!Med vänliga hälsningar

Rätten till radering av personuppgifter

2019-01-30 i PUL/GDPR
FRÅGA |Hej! Jag vill använda mig av GDPR lagen för att ett företag ska radera all information om mig.Vad jag har förstått så kan jag be dem först och främst att skicka all information de har om mig till mig, varje gång mitt namn har skrivits och även begära information om vilka som det har skickats till och vad som sagts. Och därefter att de raderar allt som har med mig att göra.Stämmer detta? Hur vet jag om de skickat allt till mig, hur vet jag om de raderat all information om mig och vem går in och dubbelkollar så att det faktiskt är gjort?Om det inte är gjort, vem kollar upp detta och vad blir konsekvenserna?
Galina Krasteva |Tack för att du vänder dig till Lawline med din fråga! Du som person vars personuppgifter behandlas, den registrerade, har ett antal rättigheter enligt dataskyddsförordningen (GDPR). Dessa rättigheter innebär i korthet att du ska få information om när och hur dina personuppgifter behandlas och ha kontroll över dina egna uppgifter. Därför har du bland annat rätt att i vissa fall få dina uppgifter rättade, raderade eller blockerade, eller att få ut eller flytta dina uppgifter (se art.12-23 GDPR). Du har rätt att få information när dina personuppgifter behandlas. Information om personuppgiftsbehandlingen ska lämnas av den personuppgiftsansvarige (företaget) både när uppgifterna samlas in och när du annars begär det (art. 13 GDPR). Därutöver finns det vissa tillfällen när särskild information ska ges till dig, till exempel om det inträffar ett dataintrång eller liknande (en personuppgiftsincident) hos den personuppgiftsansvarige och det finns risk för till exempel identitetsstöld eller bedrägeri.Den registrerade har rätt att få veta om hans eller hennes personuppgifter behandlas av en personuppgiftsansvarig, och i så fall få tillgång till personuppgifterna och även annan information relaterad till behandlingen av uppgifterna. Informationen ska tillhandahållas den registrerade kostnadsfritt i en lättillgänglig, skriftlig form (vilket kan vara i elektronisk form) och med ett tydligt och enkelt språk. I dataskyddsförordningen anges utförligt vilken information som ska ges. Bland annat ska information lämnas om kontaktuppgifter till den personuppgiftsansvarige, den rättsliga grunden för behandlingen och ändamålet med behandlingen (art. 13-14 GDPR).Varje person har rätt att vända sig till ett företag eller en myndighet som behandlar personuppgifter och be att uppgifterna som avser honom eller henne raderas (artikel 17 GDPR). Uppgifterna måste raderas i följande fall: Om uppgifterna inte längre behövs för de ändamål som de samlades in för Om behandlingen grundar sig på den enskildes samtycke och denne återkallar samtycket Om behandlingen sker för direktmarknadsföring och den enskilde motsätter sig att uppgifterna behandlas Om den enskilde motsätter sig personuppgiftsbehandling som sker inom ramen för myndighetsutövning eller efter en intresseavvägning och det inte finns berättigade skäl som väger tyngre än den enskildes intresse Om personuppgifterna har behandlats olagligt Om radering krävs för att uppfylla en rättslig skyldighet Om personuppgifterna avser barn och har samlats in i samband med att barnet skapar en profil i ett socialt nätverk Om uppgifter raderas på den enskildes begäran måste företaget eller myndigheten också informera dem som de har lämnat ut uppgifter till om raderingen. Det gäller dock inte om det skulle visa sig omöjligt eller innebär en alltför betungande insats. Den enskilde har också rätt att begära att få information om till vem uppgifter har lämnats ut.När personuppgifterna har publicerats eller på annat sätt gjorts offentliga (i ett socialt nätverk, ett internetforum eller på en webbsida) räcker det inte alltid att de raderas där. I dessa situationer ska den som offentliggjort uppgifterna också vidta rimliga åtgärder för att informera andra som behandlar uppgifterna om den enskildes begäran så att även kopior av eller länkar till uppgifterna tas bort.Det finns undantag från rätten till radering och skyldigheten att informera andra om det är nödvändigt för att tillgodose andra viktiga rättigheter som till exempel rätten till yttrande- och informationsfrihet, för att uppfylla en rättslig förpliktelse, utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning.Sammanfattningsvis kan man säga att du har rätt att få information om när och hur dina personuppgifter behandlas och kontrollera den här processen. Dessutom har du rätt att be att dina personuppgifter raderas, och företaget har en skyldighet att göra detta, utom i följande fall: när de personuppgifter som företaget har behövs för att utöva rätten till yttrandefrihet, när det finns en lagstadgad skyldighet att behålla uppgifterna när det föreligger skäl av allmänt intresse (t.ex. folkhälsa, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål).Om du anser att någon behandlar dina personuppgifter i strid med dataskyddsförordningen kan du lämna in ett klagomål till Datainspektionen. Här kan du läsa mer om hur man lämnar ett klagomål till Datainspektionen.Om du har lidit skada på grund av att dina personuppgifter har behandlats i strid med dataskyddsförordningen kan du ha rätt till skadestånd av den eller de personuppgiftsansvariga som medverkat vid behandlingen. Du kan i dessa fall begära skadestånd från den personuppgiftsansvarige eller personuppgiftsbiträdet eller väcka skadeståndstalan i domstol.Hoppas du har fått svar på din fråga!Med vänliga hälsningar

Kan jag begära att tidningsartikel tas bort med stöd av GDPR?

2019-01-03 i PUL/GDPR
FRÅGA |När jag var 15 år gammal, jag intervjuades av en liten lokaltidning. Det var för ett par år sedan. Nu vill jag ångra mig och få bort artikeln från nätet. Jag undrar om den nya GDPR lagen hjälper mig i sådant fall? Eller om faktumet att jag var minderårig då spelar roll för tillåtelsens äkthet. Tack för hjälpen!
Dennis Lavesson |Hej och tack för att du vänder dig till oss på Lawline med din fråga!I dataskyddslagen framgår det uttryckligen att EU:s dataskyddsförordning (GDPR) inte ska tillämpas i den utsträckning det skulle strida mot tryckfrihetsförordningen (TF) eller yttrandefrihetsgrundlagen (YGL). Bestämmelsen står i överensstämmelse med dataskyddsförordningen i vilket medlemsstaterna tillåts göra undantag från reglerna om personuppgiftsbehandling, om det är nödvändigt för att upprätthålla rätten till yttrandefrihet (jfr Kap. 9, Art 85 GDPR). För att tidningen ska ha ett grundlagsskydd för sin publicering på internet krävs det att den har ett utgivningsbevis. För utgivningsbevis krävs bland annat att en ansvarig utgivare har utsetts och att överföringarna utgår från Sverige (jfr 1 kap. 9 § YGL). Massmedieföretag kan i vissa fall omfattas av ett automatiskt grundlagsskydd för sin databas med artiklar som publiceras över internet. I ett sådan fall behöver det inte göras en ansökan om utgivningsbevis utan det räcker med en anmälan om databasen.Lokaltidningen är sannolikt en grundlagsskyddad media varför du inte kan åberopa att artikeln ska tas bort med stöd av GDPR, oavsett om du var minderårig eller ej när den publicerades. Det står dig givetvis fritt att kontakta tidningen och fråga om de vill ta bort artikeln ändå.Hoppas du fått svar på din fråga och lycka till!Vänligen,