Kamerabevakning av personal på telekom-bolag - laglig övervakning?

2019-06-15 i PUL/GDPR
FRÅGA |Hej! Jag jobbar på ett telekom-bolag, där jag sitter i telefon och svarar på internetfrågor över växel. Vi har precis flyttat och bytt kontor, och här märker jag att det sitter en övervakningskamera över oss. Vi har ej fått någon notis om detta, och det finns ej heller någon skyltning om detta. Jag har läst runt i KÖL och är lite kluven om det är lagligt eller inte att göra detta. Vi har kommit överens om övervakning så att de kan se våra monitorer så att vi inte ger ut information till obehöriga eller laddar ner trojaner etc. Men jag har ej gått med på att ha en kameraövervakning. Går detta att anmäla?
Amanda Blomberg |Hej!Tack för att du vänder dig till Lawline med din fråga!Sedan EU:s dataskyddsförordning (GDPR) trädde ikraft finns bestämmelser om kameraövervakning i kamerabevakningslagen (2018:1200). För privata arbetsgivare, som inte utför en uppgift av allmänt intresse, finns inget krav på tillstånd för kamerabevakning (7 § kamerabevakningslagen). I kamerabevakningslagen finns dock en skyldighet för arbetsgivare att i fråga om beslut om kamerabevakning av en arbetsplats, förhandla med arbetstagarorganisation i enlighet med 11-14 § lagen om medbestämmande i arbetslivet (21 § kamerabevakningslagen). Denna bestämmelse infördes för att säkerställa integritetsskyddet vid kamerabevakning på arbetsplatser. Särskilt då kamerabevakning av arbetsplatser är mycket vanligt förekommande i vissa branscher och samtidigt kan medföra särskilda risker för de anställdas personliga integritet. Det uppmärksammandes att många anställda måste vistas regelbundet på platser som kamerabevakas av arbetsgivaren och samtidigt kan känna olust inför att invända mot kamerabevakningen eller påtala brister på grund av det särskilda beroendeförhållande som anställningsförhållandet innebär (läs i proposition 2017/18:231 s. 100-104). Jag rekommenderar dig därför att i första hand att ta kontakt med arbetstagarorganisationen för arbetsplatsen, om sådan finns, för att se vad som har bestämts. Läs vidare på datainspektionens hemsida om kamerabevakning (här).I kamerabevakningslagen finns krav på att upplysning om kamerabevakning ska lämnas genom tydlig skyltning eller på något annat verksamt sätt (15 § kamerabevakningslagen). Vidare finns rätten till information om den personuppgiftsbehandling som kamerabevakningen innebär i EU:s dataskyddsförordning och andra föreskrifter som anges i 6 § kamerabevakningslagen. Läs mer i proposition 2017/18:231 s. 86-89. Av din fråga så framstår lagligheten av företagets kamerabevakning som osäker. Det finns möjlighet att anmäla en olaglig kamerabevakning till datainspektionen (läs här). Datainspektionen ger dock rekommendation om att personer ska försöka att lösa frågor om bevakningen med arbetsgivaren innan det sker en anmälning till datainspektionen.Jag hoppas att du fick svar på din fråga. Om du har fler funderingar är du välkommen att ställa en ny fråga till oss här på Lawline!

Vilka rättigheter har min arbetsgivare att titta i min dator?

2019-05-28 i PUL/GDPR
FRÅGA |Kan arbetsgivare kräva att få mitt inloggningslösenord till datorn då jag är sjukskriven?
Viktoria Tomsson |Hej och tack för att du vänder dig till Lawline!Vad gäller arbetsgivarens utrustning är utgångspunkten att arbetsgivaren bestämmer vad arbetstiden samt utrustningen ska användas till.En arbetsgivare kan sålunda i kraft av sin arbetslednings- och äganderätt förbjuda elektronisk kommunikation. Att kontrollera att de anställda följer de uppställda regler om datoranvändning är ett sådant befogat intresse som normalt gör behandling av personuppgifter tillåten efter en intresseavvägning enligt GDPR. Arbetsgivaren kan således som regel logga datoranvändningen och kontrollera loggarna i efterhand för att kunna vidta åtgärder om reglerna inte följs. Det borde inbegripa att lösenord kan begäras. De anställda måste dock enligt GDPR informeras om att behandling av personliga uppgifter för ändamålet kan förekomma. Behöver du mer hjälp eller rådgivning? Då kan du vända dig till vår telefonrådgivning som är gratis eller boka tid med en jurist:- Boka tid med en jurist för 1725 kr/h, ring oss på 08-533 300 04 och välj knappval 1.- Gratis telefonrådgivning, ring oss på 08-533 300 04 och välj knappval 2./Vänligen,

Strider TF och YGL mot GDPR?

2019-05-12 i PUL/GDPR
FRÅGA |Fråga aseende principen om unionsrättens företräde.Lexbase och MrKoll är omfattande register som innehåller uppgifter om fällande domar i brottmål.Bolagen har ett s.k. "frivilligt utgivningsbevis" som ger personuppgiftsbehandlingen grundlagsskydd. Av 1 kap. 7 § dataskyddslagen framgår att dataskyddslagen och EU:s dataskyddsförordning inte tillämpas i den utsträckning det skulle strida mot tryckfrihetsförordningen eller yttrandefrihetsgrundlagen. Jag har dock hört att bestämmelsen i 1 kap. 7 § inte får tillämpas eftersom den strider mot principen om unionsrättens företräde. Det korrekta ska enligt EU-rätten vara att tryckfrihetsförordningen och yttrandefrihetslagen inte får tillämpas om det skulle strida mot EU:s dataskyddsförordning. Fråga:Innebär principen om unionsrättens företräde att tryckfrihetsförordningen och yttrandefrihetsgrundlagen inte får tillämpas om det skulle strida mot EU:s dataskyddsförordning?
Dennis Lavesson |Hej och tack för att du vänder dig till oss på Lawline med din fråga!Unionsrätten har som utgångspunkt företräde framför svensk rätt, grundlag inkluderad. Däremot ger artikel 85 i dataskyddsförordningen GDPR medlemsstaterna möjlighet att göra undantag från reglerna om personuppgiftsbehandling om det är nödvändigt för att upprätthålla rätten till yttrandefrihet. Bestämmelsen i 1 kap. 7 § dataskyddslagen är endast ett förtydligande av reglerna i artikel 85 GDPR, dvs. att tryckfrihetsförordningen och yttrandefrihetsgrundlagen har företräde framför dataskyddsförordningen och dataskyddslagen.Det innebär således att eftersom dataskyddsförordningen GDPR ger medlemsstaterna rätt att göra undantag från reglerna för att upprätthålla rätten till yttrandefrihet ska tryckfrihetsförordningen och yttrandefrihetsgrundlagen gälla, trots att de annars skulle stridit mot förordningen.Vänligen,

Får bostadsförening sprida personuppgifter?

2019-04-30 i PUL/GDPR
FRÅGA |HejÄr det OK av min bostadsrättsförening att i ett e-postmeddelande till mina grannar, dela ut mitt personnummer inkl. de fyra sista, samt e-postadress och telefonnummer?
Natasha Fathifard |Hej och tack för att du vänder dig till Lawline med din fråga!En Bostadsrättsförening ska följa dataskyddsförordningen (GDPR) och för att behandla medlemmars personuppgifter bör de tänka på vad begreppet behandling innebär och att principen om ändamålsbegränsning bör följas.Behandling: är en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring, enligt GDPR artikel 4 2p.Ändamålsbegränsning: De ska bara samla in uppgifter för specifika ändamål och inte behandla uppgifterna för ett andra ändamål. Exempelvis om bostadsföreningen samlat in personuppgifter för att administrera medlemskap får du inte använda dessa uppgifter till marknadsföring. Dessutom får de bara behandla uppgifter som anses vara nödvändiga för ändamålet, d.v.s om endast namn och personnummer krävs för ändamålet ska inte e-postadress registreras för att det ''kan vara bra att ha''. Personnummer ska alltid skyddas extra enligt dataskyddsförordningen (GDPR). Personnummer får bara registreras om det anses vara nödvändigt för ändamålet, se GDPR artikel 5. En förening är aldrig skyldig att lämna ut sitt medlemsregister om någon medlem skulle begära detta.För att det ska anses vara tillåtet att skicka medlemsregister måste man ha stöd i GDPR, d.v.s. en rättslig grund krävs. Exempel på rättslig grund kan vara samtycke från den som är medlem, se GDPR artikel 6. Föreningen måste kunna visa att ett samtycke har lämnats.Bostadsrättsföreningen måste ta hänsyn till att vissa personer inte vill att deras uppgifter ska skickas till andra medlemmar. Dessutom måste medlemmarna få information om att deras uppgifter kan komma att skickas till andra.Sammanfattningsvis skulle jag råda dig om att fundera på till vilket ändamål du givit dina personuppgifter till bostadsföreningen och om bostadsföreningen informerat dig om att dessa uppgifter kan komma att skickas till andra. Har du möjligen visat ditt samtycke till att dina personuppgifter kan spridas t.ex. att du visat ditt samtycke genom att kryssa i en ruta i något formulär utan att du lagt märke till det. Det är såklart inte okej för bostadsföreningen att dela dina personuppgifter till någon annan om du inte visat samtycke till det och att de inte informerat dig om att spridning kan ske. För de som bryter mot GDPR:s regler brukar sanktionsavgifter bli aktuella, vilket du kan läsa mer om här *länk*Jag hoppas du har fått svar på din fråga!Önskar dig en trevlig valborg!Med vänlig hälsning,

Kan min arbetsgivare tvinga mig att övergå till fingeravtryck för att komma in på jobbet?

2019-05-31 i PUL/GDPR
FRÅGA |Kan min arbetsgivare tvinga mig att övergå till fingeravtryck för att komma in på jobbet? Om ja, har jag rätt att ställa motkrav t.ex hur avtrycket lagras och vem som har tillgång till det?Jag känner mig mycket obekväm med situationen.
Viktoria Tomsson |Hej och tack för att du vänder dig till Lawline!Din fråga berör behandling av personuppgifter och detta regleras i dataskyddsförordningen (GDPR). Ett av syftena med dataskyddsförordningen är att skydda enskildas grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter.Är fingeravtrycket en personuppgift?En personuppgift är varje upplysning som avser en identifierad eller identifierbar fysisk person. Avgörande är att uppgiften enskilt eller i kombination med andra uppgifter kan knytas till en levande person (artikel 4 p. 1 GDPR). Eftersom att fingeravtrycket kan spåras till dig utgör det en personuppgift.Utgör åtgärden en personuppgiftsbehandling? Alla former av åtgärder med personuppgifter är personuppgiftsbehandling, till exempel insamling, registrering, organisering, strukturering, lagring, bearbetning, ändring, framtagning, läsning, användning, utlämning, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring (artikel 4 p.2 GDPR). I samband med att din arbetsgivare använder fingeravtrycket till lagring i arbetet, utgör åtgärden en personuppgiftsbehandling.Vem är personuppgiftsansvarig?I det här fallet är arbetsgivaren personuppgiftsansvarig i den mening som avses i GDPR och bestämmer ändamålen och medlen för behandlingen (artikel 4 p.7 GDPR). Det innebär att arbetsgivaren är skyldig att bl.a. behandla dina personuppgifter med stöd av dataskyddsförordningen och samla in uppgifterna för specifika, särskilt angivna ändamål (artikel 5 GDPR). Dessutom måste arbetsgivaren ha en rättslig grund för att behandlingen av dina personuppgifter ska vara laglig (artikel 6 GDPR). Det krävs exempelvis ditt samtycke för att arbetsgivaren får behandla dina personuppgifter.Vilka rättigheter har den registrerade?För det första kan det ifrågasättas om din arbetsgivare ens får kontrollera er arbetstagare på detta vis. Enligt Datainspektionen är det generellt sett inte tillåtet att t.ex. rutinmässigt kontrollera hur länge en anställd arbetar. Samtidigt uppger Datainspektioner att det får göras en bedömning från fall till fall, vilket öppnar upp för att det skulle kunna vara tillåtet i vissa fall.Ju mer ingripande eller omfattande en åtgärd är, desto mer åt det integritetskränkande och otillåtna rör vi oss. I ett uppmärksammat fall från 2011 konstaterade Datainspektionen att det var tillåtet för arbetsgivaren att införa en stämpelklocka som krävde fingeravtrycksavläsning, förutsatt att arbetstagarna hade möjlighet att tacka nej till användandet av stämpelklockan och att de istället erbjöds alternativ, exempelvis passerkort (Datainspektionens egna exempel).Du anger inte specifikt vilken typ av metod som används vid fingeravtrycksavläsningen och vad syftet med åtgärden är. En stämpelklocka kan ses som allmänt accepterat om det når upp till ett godtagbart syfte. Om det är någon annan form av åtgärd måste den bedömas mot bakgrund av omständigheterna i det enskilda fallet. Oavsett vad så finns ingen stöd i lag för någon av åtgärderna och du har alltid rätt att inte samtycka.Om du ändå väljer att samtycka till åtgärden, följer ett antal rättigheter med enligt dataskyddsförordningen. I korthet innebär dessa rättigheter att den registrerade ska få information om när och hur deras personuppgifter behandlas och ha kontroll över sina egna uppgifter. Du har även rätt att i vissa fall få dina uppgifter rättade, raderade eller blockerade, eller att få ut eller flytta dina uppgifter (se art. 12-21 GDPR).Du har vidare rätt att invända mot den arbetsgivarens behandling av dina personuppgifter. Om du invänder mot behandlingen får arbetsgivaren endast fortsätta om det går att visa att det finns tvingande berättigade skäl till att uppgifterna måste behandlas som väger tyngre än dina intressen, rättigheter och friheter eller om behandlingen sker för fastställande, utövande eller försvar av rättsliga anspråk.RådgivningSammanfattningsvis kan du antingen samtycka/motsätta dig till behandlingen av dina personuppgifter i form av fingeravtryck. Din arbetsgivare kan alltså inte tvinga dig till att genomgå någon sådan behandling. Om du ändå går med på att uppgiften om dig lagras, följer ett flertal rättigheter. Du kan då begära ett utdrag av informationen om dig som lagras och därefter invända med behandlingen av uppgifterna eller begära att personuppgiftsansvarige rättar, raderar eller begränsar behandlingen. Behöver du mer hjälp eller rådgivning av en jurist?Då kan du vända dig till vår telefonrådgivning som är gratis eller boka tid med en jurist:- Boka tid med en jurist för 1725 kr/h, ring oss på 08-533 300 04 och välj knappval 1.- Gratis telefonrådgivning, ring oss på 08-533 300 04 och välj knappval 2./Vänligen,

Avtalsmall för uthyrning av gäststuga

2019-05-13 i PUL/GDPR
FRÅGA |Hej,Har ni någon avtalsmall för uthyrning av gäststuga på en tomt med villa?
Tilde Skånvik |Hej!Tack för att du vänder dig till Lawline med din fråga. Jag uppfattar det som att du söker ett avtal som kan upprättas mellan dig och den hyresgäst som ska bo i gäststugan. De hyresavtal du är ute efter verkar inte finnas bland de mallar som vi har på hemsidan istället så råder jag dig att ringa till oss på nummer 08- 533 300 04, så hjälper vi dig direkt. Hoppas svaret varit till hjälp och att du lyckas hyra ut din sommarstuga!Vänliga hälsningar,

Kan vi stämma någon för att ha lagt ut bilder på vårt barn?

2019-05-06 i PUL/GDPR
FRÅGA |Hej! Vår sons lärare har för ett år sen lagt ut bilder på barnen från klassen på en rysk porrsajt och de har kommenterats sexuellt av andra användare. Läraren är inte dömd för detta, då bilderna inte va sexuella, men han fick villkorlig dom för att ha laddat hem barnporrbilder och filmer. Kan vi stämma honom för att ha lagt ut bilder på våra barn? Vilka rättsliga åtgärder kan vi vidta?
Erica Lager |Hej!Tack för att ni vänder er till Lawline med er fråga!Er fråga behandlar publicering av personuppgifter som regleras i GDPR. Dataskyddsförordningen - GDPRPersonuppgifter är alla upplysningar som avser en identifierbar person, så som personnummer, namn, adress men även bilder och filmer på en person (artikel 4.1 GDPR). Alla former av åtgärder med personuppgifter är personuppgiftsbehandling. Dock omfattas inte uppgifter som innehas och används för privat bruk. Att publicera en bild på en annan person på en hemsida omfattas dock av förordningen. När är det tillåtet att publicera bilder av en annan person på nätet?Publicering av bilder på barn kan vara tillåtet om finns samtycke från föräldrarna eller från barnet själv om denne är över 13 år (art 6.1 a GDPR). Samtycket måste då gälla det specifika ändamålet och kan inte endast vara ett samtycke att få fotografera barnen. Om inte samtycke finns, kan det ändå vara okej utifrån en intresseavvägning (art 6.1 f GDPR) eller ett allmän intresse (6.1 e GDPR). Intresseavvägningen ska ske mellan intresset hos den som publicerar bilderna mot barnets intresse av att bli exponerad samt dennes rättigheter. Om den person som personuppgifterna handlar om är ett barn, anses det barnet kräva ett starkt skydd av sina personuppgifter. Med det anses den personuppgiftsansvarige oftast inneha svaga intressen i sådan avvägning gentemot ett barn. Min uppfattning utifrån er situation är att lärarens publiceringar av bilderna på eleverna med stor sannolikhet inte är lagliga. Med hänsyn till att bilderna lades ut på en porrsajt är det svårt att tänka ett allmän intresse eller annat intresse hos honom som skulle överväga skyddet för barnens uppgifter och därför tillåta honom att lägga ut de bilderna utan föräldrarnas samtycke. Vad kan konsekvenserna bli av att bryta mot GDPR?Artikel 17 GDPR behandlar rätten att få uppgifterna raderade utan dröjsmål. Jag antar då ni vet om bilderna att de även har krävts att bli borttagna från den ryska hemsidan. Om inte, så har ni rätt att få dem bortplockade därifrån.En person som har lidit skada på grund av en överträdelse har rätt till ersättning från den personuppgiftsansvarige för den skada som uppkommit (art. 82.1 GDPR). En skadeståndstalan ska då väckas. Vad jag vet finns ännu inga mål kring detta för att ge en riktlinje om ett sådant skadestånds storlek. Er fråga var om ni kan stämma läraren eller vidta andra rättsliga åtgärder. Dataskyddsinspektionen är den svenska myndighet som har hand om dessa frågor och främst ska se till att de också efterlevs, och en anmälan ska därför göras dit. Hur ni gör det samt hittar blankett att fylla i, kan ni läsa om här. Dock är det många inkomna ärenden som inte går vidare till tillsyn. I andra hand råder jag er därför till att vända er till en jurist som kan titta närmare på ert fall och om det finns någon grund för en stämningsansökan till domstol. Vill ni kontakta Lawlines jurister kan ni boka tid för samtal via vår hemsida här. Hoppas att ni fick svar på er fråga!Med vänliga hälsningar,

Kan man som elev bryta mot GDPR genom att diskutera sitt betyg på mejl med sina klasskamrater?

2019-04-29 i PUL/GDPR
FRÅGA |Hej! Jag har haft en gruppuppgift i skolan där jag fått ett sämre betyg än resten utav mina kamrater. Detta är något jag tyckte var fel så jag skickade ett mail till de lärare som var med och betygsatte samt rektor. Jag inkluderade även mina respektive kamrater i mailet. Mitt mail var främst en argumenterande text där jag bad om att få höja mitt betyg då jag tyckte att mitt dåvarande betyg var resultatet av en forcerad betygsättning. Min ena mentor som var den som satte betyget blev ganska arg, ignorerade mest vad jag bad om och fokuserade mer på faktumet att jag inkluderat mina kamrater i mailet. Hon hävdade att jag bröt mot de EU framställda GDPR lagarna när jag valt att skicka genomslagskopior på ett mail som handlar om min enskilda betygsättning till mina klasskamrater.Jag frågar då er om detta verkligen stämmer? PS. Jag har försökt att nå ut till Datainspektionen men har inte fått något vidare konkret svar. Tack!
Sofia Edvardsson |Hej!Tack för att du vänder dig till Lawline med din fråga!Om jag tolkade din fråga rätt så menar alltså din lärare att du bryter mot GDPR för att du inkluderade dina klasskamrater i mailkonversationen rörande ditt betyg. Som du säkert vet är GDPR en EU-förordning (General Data Protection Regulation, eller Allmänna dataskyddsförordning) som ersatt den gamla personuppgiftslagen (PUL). Förordningen tar sikte på företags, myndigheters, organisationers etc. behandling av personuppgifter och syftet är att stärka den personliga integriteten och skydda enskildas grundläggande fri- och rättigheter (och då särskilt deras rätt till skydd av personuppgifter). Förordningen gäller i princip inom all slags verksamhet och oavsett vem som utför personuppgiftsbehandlingen. En personuppgift är enligt förordningen varje uppgift som genom vilken man kan identifiera en fysisk person, i ditt fall kan det alltså vara ditt personliga betyg (artikel 4 i förordningen). Eftersom ditt betyg är en personuppgift som tillhör dig kan du själv bestämma vem som ska ha tillgång till den (dina klasskamrater) och hur den får hanteras (på mail). Du kan alltså inte bryta mot GDPR genom att lagra/hantera/dela dina egna personuppgifter. Jag förstår därför inte din lärares påstående att du skulle bryta mot GDPR genom att inkludera dina klasskamrater i en mailkonversation rörande ditt enskilda betyg. Vänligen,