Får en privatperson göra kreditupplysningar på andra privatpersoner?

2018-04-30 i PUL/GDPR
FRÅGA |När kan en privatperson ta en kreditupplysning på en annan privatperson?
Lena Famulak |Hej!Tack för att du vänder dig till Lawline med din fråga! Så som jag tolkar din fråga, handlar det om jag som privatperson skulle kunna göra en kreditupplysning på dig som privatperson, exempelvis om jag skulle sälja en begagnad bil till dig, och vill vara säker på att du kan betala för bilen som du köper av mig. Det simpla svaret på den frågan är ett nej. En kreditupplysning på privatpersoner får bara göras när det finns ett legitimt behov. Ett sådant behov kan vara när ett företag har i syfte att göra en ekonomisk bedömning för kreditavtal eller hyresavtal. Det kan därför inte göras av privatpersoner (6§ och 10§ personuppgiftslagen). De företagen som bedriver kreditupplysningsverksamhet ska normalt ha tillstånd från Datainspektionen för att kunna göra en kreditupplysning på en privatperson (3§ kreditupplysningslagen). Detta innebär att jag som privatperson inte kan göra en kreditupplysning på dig vid exempelvis en begagnad bilaffär. Däremot kan en bilfirma, med tillstånd från Datainspektionen, göra en sådan kreditupplysning. Om du själv vill se din egen kreditupplysning så kan du enkelt göra det via internettjänster. Med vänlig hälsning

Har Upplysning.se rätt att publicera mitt personnummer?

2018-04-17 i PUL/GDPR
FRÅGA |Hej! Jag har en fråga angående personuppgifter. Det finns ett företag som heter Upplysning.se. Om du skapar ett (gratis) konto där så kan du söka på vem du vill och få fram deras personnummer. Det jag undrar är om de har rätt att publicera mitt personnummer och göra det tillgängligt för vem som helst (som skapar ett gratis konto)? För om någon vill ha mitt personnummer så kan de faktiskt vända sig till en myndighet. Tack på förhand.
Viktor Svensson |Hej,Tack för att du vänder dig till Lawline med din fråga!Upplysning.se har ett så kallat utgivningsbevis, vilket ger dem samma grundlagsskydd som t.ex. tidningar har (1 kap. 9 § yttrandefrihetsgrundlagen). Grundlagsskyddet innebär att personuppgiftslagen (som annars skulle förbjuda ett sådant register) inte är tillämplig (jfr 7 § personuppgiftslagen). Personuppgiftsbehandling som sker på Upplysning.se är, på grund av grundlagsskyddet, otillåten endast om den strider mot yttrandefrihetsgrundlagen. Att tillhandahålla en sökfunktion där privatpersoners personnummer kan sökas fram strider inte mot yttrandefrihetsgrundlagen och är således tillåten.Jag hoppas att du har fått svar på din fråga!Hälsningar,

Varför krävs svenskt medborgarskap för att söka in till militären?

2018-04-07 i PUL/GDPR
FRÅGA |Hej! Jag tar studenten i år och tänkte söka in till militären. Dock fick jag höra att man bör vara svensk medborgare eller ha dubbelt medborgarskap. Jag är dock inte svensk medborgare utan jag är litauisk medborgare. Vad är motiveringen till att man inte får vara med i militären trots att man kommer från ett land som ligger inom EU?
|Hej och tack för du vänt dig till Lawline med din fråga.Det stämmer att man kan söka om man har dubbelt medborgarskap, men man måste ha svenskt medborgarskap. Enligt Försvarsmaktens HR-centrum är anledningen till detta att Försvarsmakten säkerhetsklassar alla sökande och då krävs det att man är svensk medborgare. Om du har bott i Sverige i fem år och har uppehållsrätt, uppehållskort eller permanent uppehållstillstånd har du emellertid möjlighet att ansöka om att bli svensk medborgare. Du kan läsa mer här.

Säkerhetskraven i dataskyddsförordningen

2018-03-25 i PUL/GDPR
FRÅGA |Hej,Finns det någon lagtext i GDPR förordningen som säger att man inte kan skicka lönespecar per okrypterad mail efter 25/5 2018? I vilken paragraf kan man läsa mer om säkerhetskraven på att maila personuppgifter tex lönespecifikationer?
Angelica Karlsson |Hej!Tack för att du vänder dig till Lawline med din fråga.Precis som du skriver kommer dataskyddsförordningen (GDPR) att börja gälla i alla EU:s medlemsländer från och med den 25 maj 2018. Den ersätter nuvarande nationella personuppgiftslagar. I Sverige kommer den att ersätta personuppgiftslagen (PuL).Du hittar dataskyddsförordningen i sin helhet här på Datainspektionens hemsida.Säkerhetskraven vid behandling av personuppgifterSäkerhetskraven och reglerna om säkerhet vid behandling av personuppgifter hittar du i art. 32 dataskyddsförordningen. Motsvarande lagrum i ännu gällande personuppgiftslagen (PuL) är 31 § om säkerhetsåtgärder.Både i art. 32 dataskyddsförordningen och 31 § PuL framgår att den personuppgiftsansvariga (t.ex. arbetsgivaren) ska vidta tekniska och organisatoriska åtgärder för att säkerställa en lämplig säkerhetsnivå. Med "lämplig säkerhetsnivå" menas en säkerhetsnivå som är rimlig och skälig i förhållande till personuppgifternas art (ju känsligare personuppgifter = desto högre säkerhetskrav), risken för att personuppgifterna kommer i orätta händer, genomförandekostnaderna och vilka säkerhetshjälpmedel som finns tillgängliga på marknaden och normalt används.SammanfattningSammanfattningsvis kan alltså konstateras att det i nuläget inte finns något uttalat om att skicka just lönespecifikationer via okrypterad e-post, utan det får göras en bedömning från fall till fall. Generellt bör det dock anses osäkert att skicka lönespecifikationer via okrypterad e-post, eftersom lönespecifikationer normalt innehåller skyddsvärd information såsom personnummer, bankuppgifter och uppgifter om den anställdes hälsa (t.ex. i form av uppgifter om sjuklön och sjukavdrag). Mitt råd är alltså att du bör se över möjligheten att byta från "vanlig" okrypterad e-post till exempelvis Kivras digitala brevlåda, brev eller annan lösning med krypterad e-post. Detta blir extra viktigt när dataskyddsförordningen börjar gälla eftersom den innehåller skärpta sanktioner för de som inte upprätthåller en lämplig säkerhetsnivå (se art. 83.4 dataskyddsförordningen).Lycka till och hoppas du fick svar på din fråga! Har du fler frågor är du välkommen att återkomma.För vidare frågor om tolkning och tillämpning av dataskyddsförordningen är det även möjligt att boka tid med en erfaren jurist hos oss på Lawline. Kom även ihåg att myndigheter har serviceskyldighet inom sitt område och att du alltid kan kontakta Datainspektionen.Med vänliga hälsningar,

Får en evenemangsansvarig lämna ut uppgift om en persons namn eller deltagarlistan till evenemanget till någon?

2018-04-24 i PUL/GDPR
FRÅGA |Hej! Jag var på ett evenemang med en större grupp. På denna fanns det en deltagarlista med kontakt, till exempel email. Jag lärde känna en person på detta evenemang men hann aldrig fråga om namn eller kontakt. Jag kontaktade senare den ansvarige för evenemanget för att försöka hitta personen. Då får jag höra att jag inte kan få se deltagarlistan och att denne inte heller kan hjälpa mig genom att dela med sig av personens namn och kontakt för att denne då "bryter mot svensk lag". Min fråga är, vilken lag är det? Har jag ingen rätt alls att få hjälp i mitt ärende?
Fuad Heydarov |Hej och tack för att du vänder dig till Lawline med din fråga!Jag tolkar din fråga som att du vill veta om du har rätt att få se deltagarlistan eller åtminstone få reda på personens namn ifråga och vilken lag som i sådana fall som reglerar detta. Den lag som ger oss svaret på din fråga är personuppgiftslagen (PUL). Anledningen till att du inte kan få ta del av deltagarlistan eller personens namn eller liknande är eftersom ett utlämnande av listan eller namnet på personen anses vara en behandling av personuppgifter(PUL 3 §). Behandling av personuppgifter får bara ske om personen lämnat sitt samtycke till utlämnandet eller om det rör ett berättigat intresse som väger tyngre än personens intresse av skydd mot kränkning av den personliga integriteten (PUL 10 §). Här har alltså evenemangsansvarig tyvärr rätt i sitt svar, i det här fallet finns ju inget samtycke från personen och personens intresse av skydd mot kränkning av den personliga integriteten väger tyngre än ditt intresse av att vilja få kontakt med personen. Att få ta del av deltagarlistan är inte heller möjligt av samma skäl.Så för att sammanfatta, så är det tyvärr förbjudet för evenemangsansvarig att lämna ut listan eller namnet på personen eftersom det inte finns något samtycke och personens rätt till sin integritet väger väldigt tungt i detta fall. Det du dock kanske kan göra är att försöka nå ut till personen via evenemangets sida på någon social medie, om nu evenemanget har någon sådan sida.Hoppas att du fick svar på din fråga och tveka inte att höra av dig igen,Med vänliga hälsningar,

Hur får jag ett företag att radera mina bilder?

2018-04-11 i PUL/GDPR
FRÅGA |Hej.Jag har jobbat som glamourmodell åt "Företaget". Jag har avslutat mitt avtal med dom och väntade ut uppsägningstiden som var 2 månader. Mina bloggar plockades bort. Jag har jobbat stenhårt sedan dess med att få bort alla mina bilder från googles sökresultat. Det måste ligga någon backup hos Företaget eftersom varenda gång jag får bort en bild så dyker den upp några dagar senare igen. Jag har försökt få kontakt med dom och säger att dom måste radera backupen som finns av mina bloggar, men dom ger mig inget svar.Hur gör jag? Jag måste verkligen kunna få bort allt som ligger kvar. Mvh Amanda
Greta Apelman |Hej och tack för att du vänder dig till Lawline med din fråga! Din fråga rör privatpersoners rätt till sina personuppgifter och företags skyldighet att radera dessa. Jag kommer börja med att gå igenom gällande rätt, applicera det på ditt fall och avsluta med en rekommendation.GDPRFrån och med den 25 maj i år träder en ny dataskyddsförordning från EU i kraft i alla medlemsstater. Det innebär ett högre skydd för privatpersoners personuppgifter och deras integritet samt hårdare krav på behandlingen av personuppgifter från företag som har tillgång till dessa. Förordningen kallas GDPR vilket står för General Data Protection Regulation och för dig innebär det att du har rätt till dina personuppgifter och hur de behandlas hos företag.Vad klassas som personuppgifter?En personuppgift är en uppgift som kan hänföras till en fysisk person, det betyder att uppgiften kan identifiera en fysisk person. Uppgifter som omfattas är exempelvis namn, personnummer och bilder. För dig betyder det att bilder på dig är personuppgifter och omfattas av GDPR. (Art. 4.)Rätten att bli bortglömdVid ingången av ditt avtal med Företaget samtyckte du till att Företaget använde dina bilder under den period du jobbade för dem. Det borde ha funnits någon klausul i slutet som sade att efter avslutat avtal skulle de ta bort bilderna, kolla gärna upp exakt vad det stod i ditt avtal. I GDPR stadgar artikel 17 att den registrerade har rätt att få sina personuppgifter raderade och det ska ske utan onödigt dröjsmål. Det kan lätt göras genom att du drar tillbaka ditt samtycke till att bilderna används av Företaget. Företaget har då en skyldighet enligt lag att radera alla kopior av bilderna, det gäller även backupper. När uppgifterna har raderats ska du bli informerad om att det är raderade (art. 17). Det kan med säkerhet sägas att Företaget har tagit allt för lång tid på sig att radera alla kopior av dina bilder. PULPersonuppgiftslagen (PUL) som ersätts med GDPR i maj är Sveriges lagstiftning på området. I ditt avtal med Företaget borde de ha förpliktat sig att använda dina uppgifter i enlighet med personuppgiftslagen. Definitionen av personuppgifter är densamma i PUL som i GDPR. För behandlingen av bilderna krävdes också ditt samtycke enligt PUL (10 §). Du har också rätt att återkalla ditt samtycke när du vill (12 §). Det finns inget formkrav på hur ett återkallande av samtycke ska ske, så det kan göras muntligen, men om du har ett skriftligt bevis på att det har skett är det lättare att bevisa, om det skulle behövas. Datainspektionen och domstolOm Företaget inte raderar bilderna i och med att GDPR träder i kraft den 25 maj kan du vända dig till Datainspektionen. Datainspektionen är tillsynsmyndigheten över personuppgifter. I din anmälan till Datainspektionen ska du berätta om vad du har gjort, och bifoga eventuella meddelanden mellan dig och företaget som du anmäler. Allt du rapporterar in till Datainspektionen blir så kallad allmän handling, som kan begäras ut av allmänheten och massmedier. Skriv därför inte mer än nödvändigt i din anmälan och undvik känsliga uppgifter.Det slutliga steget du kan ta är att vända dig till domstol för att få din fråga prövad. Då kan du begära skadestånd för den olägenhet du haft då Företaget inte har raderat bilderna. Det ska ju som sagt göras utan onödigt dröjsmål. En stämningsansökan lämnas in till din närmaste tingsrätt. Det kan du läsa mer om på Sveriges domstolars hemsida. RekommendationJag rekommenderar dig att återigen ta kontakt med Företaget och nämna att de har en skyldighet att radera alla bilder utan onödigt dröjsmål enligt artikel 17 i GDPR och du har väntat länge nog. Om de fortfarande inte raderas vänd dig i första hand till Datainspektionen och i andra hand till tingsrätten med en stämningsansökan. Du har rätten på din sida och bilderna ska raderas.Om du skulle ha några korta uppföljande frågor kan du höra av dig till mig på greta.apelman@lawline.se. Om du skulle vilja ha mer hjälp utan någon av våra jurister går det bra att boka en tid på vår hemsida lawline.se.Med vänlig hälsning

Lagligt att skicka runt personnummer till andra personer?

2018-03-30 i PUL/GDPR
FRÅGA |En anställd hos Arbetsförmedling har skickat mitt personnummer via e-post till 30 personer utan orsak.Är det laglig?
Natasha Fathifard |Hej!Hej, kul att du valt att vända dig till oss på Lawline för att få svar på din fråga!Enligt 22 § personuppgiftslagen (PUL) nämns att personnummer får utan samtycke behandlas OM det finns klara skäl för det med hänsyn till : ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. Det framgår inte av din fråga i vilket sammanhang som ditt personnummer har skickats, men såvida anledningen passar in i alternativen är det alltså lagligt.Hoppas du fick svar på din fråga och lycka till!Med vänlig hälsning,

Behandling av personuppgifter vid uthyrning av bostäder

2018-03-23 i PUL/GDPR
FRÅGA |Hur länge måste vi som hyresvärd spara hyreskontrakten? Vi gör dom flesta digitalt, men dom övriga och dom vi har sedan tiden innan dom digitala avtalen?Uppsägningar, hur länge behöver vi spara dom. En del gör dom digitalt hemma, inte behöver dom signera på papper också?
David Muera |Hej! Tack för att du vänder till Lawline med din fråga.Som jag har förstått din fråga undrar du hur länge du som hyresvärd måste eller bör spara hyresavtal och uppsägningar. Bestämmelser om hur personuppgifter får behandlas finns i personuppgiftslagen, PuL.Behandling av hyresavtal och uppsägningar När ett hyresavtal väl undertecknats mellan hyresvärd och hyresgäst bör överflödiga uppgifter gallras. Det kan vara uppgifter om boendeförhållanden, arbetsgivare och uppgifter i övrigt som inhämtats för att kunna bedöma sökandens kvalifikationer som hyresgäst, t.ex. inkomstuppgifter och kreditupplysningsuppgifter. Under själva hyresförhållandet har hyresvärden rätt att registrera grundläggande uppgifter om hyresgästen såsom namn, personnummer, adress, telefonnummer, förekomst av t.ex. borgensman, autogiro och boendeform samt andra uppgifter som är relevanta för hyresförhållandet såsom exempelvis betalningsförsummelser, störningar i boendet, åsidosättanden av sundhet, ordning och gott skick etc. När ett hyresförhållande har upphört gäller som huvudregel att gallring av personuppgifterna ska ske.Undantag från huvudregeln får göras i följande fall:- Uppgifter i hyresavtal med tillhörande handlingar får sparas så länge det är nödvändigt för att bevaka kvarstående fordringar som rör hyresförhållandet. - Beträffande hyresgäst vars hyresförhållande upphört på grund av misskötsamhet, får uppgift om namn, personnummer, hyresobjektet, avflyttningstidpunkt samt kortfattad uppgift om avflyttningsorsak, utom brottsuppgifter, sparas i högst två år efter det att hyresförhållandet har upphört.Vad beträffar din sista fundering om uppsägningar bör signeras så finns inget sådant krav. Uppsägningar kan till och med ske muntligen. Av uppenbara skäl bör man åtminstone kräva en skriftlig uppsägning dvs. att den sker i någon form av skrift exempelvis mail, brev, sms etc. Min rekommendation Jag anser att ni bör spara uppgifter om hyresgästen i form av uppsägningar och avtal tills den dagen hyresförhållandet upphör. Ni bör inte gallra uppgifterna förrän exempelvis besiktning av bostaden skett och fått betalt för alla hyresavgifter etc. Ni ska inte heller gallra bort uppgifter som omfattas av eran bokföringsskyldighet enligt bokföringslagen. Eran bokföringsskyldighet ska således sättas i främsta rummet. I övrigt ska uppgifterna gallras.