Får en bostadsrättsförening fota registreringsskyltar som parkerar på deras parkeringsplatser?

2021-09-24 i PUL/GDPR
FRÅGA |Hej,Vi bor i en bostadsrättsförening där vi har en gästparkering. En av de bosatta här samlar in registreringsnummer på de som är på besök. Detta för kunna samarbeta med parkeringbolaget i fall någon som inte är besökande parkerar där och ska bötfällas. Är detta förenligt med GDPR, om inget samtycke ges från fordonsägarna?Tack på förhand.
Benjamin Lindholm |Hej och tack för att du vänder dig till Lawline med din fråga!Som du har uppmärksammat blir GDPR tillämplig då det rör fråga om behandling av personuppgifter som förs in i ett register enligt art. 2 GDPR. Det är här fråga om indirekta personuppgifter (registreringsskyltarna) då det genom dessa uppgifter går att fastställa en viss persons identitet. Bostadsrättsföreningen ska anses personuppgiftsansvarig enligt art. 4.7 GDPR då de bestämmer målet och medlet för hur personuppgifterna ska behandlas. Det ligger inom personuppgiftsansvarigas ansvarsområde att garantera de dataskyddsprinciper som framgår av art. 5 GDPR dvs. vissa särskilda krav på behandlingen av personuppgifter som ska säkerställa att den personliga integriteten av de som registreras skyddas. Vidare måste bostadsrättsföreningen i egenskap av personuppgiftsansvarig som huvudregel ha en rättslig grund enligt art. 6 GDPR för att behandla personuppgifterna. Samtycke som du nämner är en av de grunder som anges i art. 6 GDPR, men det finns fler. Det som bostadsrättsföreningen i detta fall kan tänkas använda som rättslig grund för behandlingen är art. 6.1.f GDPR om personuppgiftsansvariges (bostadsrättsföreningens) berättigade intressen. Genom denna grund görs en intresseavvägning mellan å ena sidan den registrerades intresse av att inte få sina personuppgifter behandlade, och å andra sidan bostadsrättens intresse av att säkerställa att ingen olovligen parkerar på deras parkeringsplatser. Detta bör enligt min egna uppfattning utgöra ett sådant berättigat intresse som ger bostadsrättsföreningen rätt att lagligen fota registreringsplåtarna på bilarna, och därmed föra in dessa personuppgifter i ett register. Det som blir relevant utifrån den registrerades perspektiv är dock att denna har ett antal rättigheter gentemot bostadsrättsföreningen. För att få behandla personuppgifter krävs det att bostadsrättsföreningen först och främst informerar den registrerade om att dennes personuppgifter behandlas enligt art. 14 GDPR. Vidare har den registrerade rätt enligt art. 15 GDPR att få veta varför, hur och hur länge dessa personuppgifter avses att behandlas. Till sist har den registrerade även rätt att göra invändningar mot behandlingen enligt art. 21 GDPR vilket även föranleder rätten till radering av personuppgifterna i enlighet med art. 17 GDPR. Om bostadsrättsföreningen inte ger något gehör i dessa avseenden kan föreningen riskera att åka på både skadestånd enligt art. 82 GDPR samt sanktioner i enlighet med art. 84 GDPR.Om du har ytterligare frågor är du varmt välkommen att kontakta våra jurister på Lawline.Vänliga hälsningar,

Kan man begära att ens personuppgifter tas bort från sidor så som Ratsit med hänvisning till GDPR?

2021-09-24 i PUL/GDPR
FRÅGA |Hejsan!Utav skäl att tro att en person försöker använda min identitet för att begå bedrägeri så skulle jag behöva juridisk vägledning.Personen i fråga har redan lyckats stulit pengar utav mig samt ofredat mig, stalkat mig och orsakat mycket stress och mental ohälsa för mig.Nu är jag väldigt rädd att personen kommer använda Ratsit för att få mina personuppgifter och använda dom för att än en gång beställa och göra köp i mitt namn.En person har redan tagit min information från Ratsit och beställt varor i mitt namn utan min vetskap.Går det inta att ta bort mina personliga uppgifter från Ratsit via GDPR lagen?Tack på förhand.
Benjamin Lindholm |Hej och tack för att du vänder dig till Lawline med din fråga!Som du har uppmärksammat blir GDPR den första lagen man kommer att tänka på då det rör frågor om Ratsits automatiska behandling av personuppgifter. Ratsit ska anses personuppgiftsansvarig enligt art. 4.7 GDPR då de bestämmer målet och medlet för hur personuppgifterna ska behandlas. Det ligger inom personuppgiftsansvarigas ansvarsområde att garantera de dataskyddsprinciper som framgår av art. 5 GDPR dvs. vissa särskilda krav på behandlingen av dina personuppgifter som ska säkerställa att din personliga integritet skyddas. Vidare måste Ratsit i egenskap av personuppgiftsansvarig som huvudregel ha en rättslig grund för att behandla dina personuppgifter, men eftersom att personuppgifterna som det här är fråga om är att betraktas vara offentliga allmänna handlingar (uppgifter direkt knutna till folkbokföringen) så undantas behandlingen från GDPR:s regelverk enligt art. 86 GDPR. Detta är ett resultat av en väldigt debatterad balansgång mellan å ena sidan intresset av att skydda enskildas privata integritet genom skydd av personuppgifter, och å andra sidan intresset av att främja öppenhet och insyn i den offentliga verksamheten. Utgången i denna balansgång blev att den senare tycks väga snäppet tyngre varför just allmänna handlingar undantas från regleringen. Med detta sagt så kan du dessvärre inte rikta några lagliga krav mot Ratsit att ta bort din personuppgifter. Det jag hade rekommenderat dig att göra är att polisanmäla själva gärningspersonen för brotten som har härletts från dessa tråkigheter, dvs. brotten stöld (8 kap. 1 § BrB), ofredande (4 kap. 7 § BrB) samt bedrägeri (9 kap. 1 § BrB). Gärningspersonen kan vara inne för en riktigt tråkig vistelse hos tingsrätten om åtal väcks, och du kan på sådant sätt få någon slags upprättelse i den bemärkelsen men även bli berättigad till ett skadestånd. Om du har ytterligare frågor är du varmt välkommen att kontakta våra jurister på Lawline.Vänliga hälsningar,

Övervakning, kamerabevakningslag och dataskyddsförordningen

2021-08-31 i PUL/GDPR
FRÅGA |Hej! Jag funderar på att installera en dörröga till min lägenhet då det inte finns någon och jag vill ha det som en säkerhet. Har kollat på dörröga som inifrån har en kamera och funderar på en sådan så jag kan använda de som bevis ifall mitt ex som stör min hemfrid, är utanför min dörr. Men hur är det, får man ha en dörröga med kamera ut mot gatan?
Harald Myrenfors |Hej och tack för att du vänder dig till oss på Lawline!Er fråga aktualiserar kamerabevakningslagen och dataskyddsförordningen.Enligt 7 § i ovan nämnda lag framgår det att tillstånd behövs i det fall kameran filmar en plats där allmänheten har tillträde. Vidare är det myndigheter och andra som genom övervakningen tillvaratar allmänhetens intressen som följer av lag eller förordningar m.m. Att tillvarata allmänhetens intresse innebär inte i detta fall att övervaka din lägenhetsdörr. Således omfattas inte du av detta krav på tillstånd, däremot finns det bestämmelser i dataskyddsförordningen som bör beaktas. Enligt dataskyddsförordningen artikel 6 så måste den som sätter upp en kamera vilken filmar allmänheten ha ett berättigat intresse som väger upp för det integritetsintrång övervakning innebär. Likväl måste den som övervakar informera de som övervakas över att detta sker.Vad innebär detta i ert fall:Tyvärr hävdar jag att ert intresse av att sätta upp kameran inte är tillräckligt starkt för att det ska vara tillåtet och att övervaka gatan utanför er lägenhet skulle således strida mot dataskyddsförordningen.Tack för din fråga och stort lycka till i framtiden!

Är det förenligt med GDPR att fotografera ett fotbollslag på fritiden?

2021-08-19 i PUL/GDPR
FRÅGA |Får jag följa med och fotografera min fru och hennes fotbollslag och sedan skicka bilderna till lagen som spelade? eller bryter detta mot ''GDPR''?Den fotograferingen gör jag som en hobby men håller även på att starta upp en enskilld firma där jag ska syssla med bland annat bröllopsfotografering om det påverkar något? Måste jag ha tillstånd från alla som kan ha hamnat på bild innan jag skickar bildrna till lagen? inklusive publik?
Temra Baydono |Hej, och stort tack för att du vänder dig till Lawline med din fråga! Jag tolkar din fråga som att du undrar om det är förenligt med GDPR att fotografera ett fotbollslag för att sedan skicka bilderna till laget, i form av en hobbyverksamhet. Jag kommer att använda mig av dataskyddsförordningen (GDPR) när jag besvarar din fråga. På riksidrottsförbundets hemsida finns vidare en checklista för bildhantering inom idrottsrörelsen. Även denna kommer jag att ta vägledning av. Är GRPR tillämplig?Till att börja med vill jag nämna att GDPR inte är tillämplig på behandling av personuppgifter som en fysisk person utför som ett led i verksamhet av rent privat natur eller som har samband med hans eller hennes hushåll (artikel 2.2c GDPR). Eftersom att du skickar vidare bilderna till fotbollslagen, blir hanteringen av bilderna inte helt privat. Bilderna är en form av personuppgift och fotograferingen är en form av behandling av personuppgifter (artikel 4.1 och 4.2 GDPR). GDPR är därför tillämplig på din fråga. Är bildhanteringen förenlig med GDPR?Av artikel 6 GDPR framgår vilka rättsliga grunder som krävs för att en hantering av personuppgifter ska vara förenlig med GDPR. En sådan rättslig grund är att personerna som finns med på bilderna har lämnat sitt samtycke till fotograferingen samt användningen av fotona för ett eller flera specifika ändamål (artikel 6.1a GDPR). Bilderna som tagits ska lagras på ett säkert sätt och bara användas för det ändamål som det finns samtycke för. En annan rättslig grund är intresseavvägning. Denna rättsliga grund blir tillämplig om samtycke inte finns och hanteringen av bilderna bedömts ligga i föreningen/förbundets/lagets intresse, och detta intresse väger tyngre än det intresse personerna som är med på bilderna har av att inte vara med på bild (artikel 6.1f). Vad gäller i ditt fall?I ditt fall kan både samtycke och intresseavvägning vara möjliga rättsliga grunder. Jag misstänker dock att det kan vara svårt att använda en intresseavvägning som grund, då det krävs ett berättigat intresse som ska väga tyngre än skyddet för personuppgifter. Direktmarknadsföring är ett exempel på ett berättigat intresse. Utifrån den informationen jag fått, verkar det inte föreligga något specifikt berättigat intresse. Min rekommendation till dig är därför att du använder dig av samtycke som rättslig grund. SammanfattningFör att en behandling av personuppgifter ska vara förenlig med GDPR krävs en rättslig grund. Exempel på sådana rättsliga grunder är samtycke och intresseavvägning. Min rekommendation till dig är att du samlar in samtycke från de personer som kommer att vara med på bilderna, och använder dig av det som rättslig grund. Samtycket ska vara specifikt och ges för ett specifikt ändamål. Det kan vara svårt att använda sig av intresseavvägning som rättslig grund, då det krävs ett berättigat intresse som ska väga tyngre än skyddet för personuppgifter. Jag hoppas att detta var till hjälp och om du skulle ha några ytterligare frågor är det bara att du hör av dig till oss på nytt! Med Vänliga Hälsningar,

Hur länge får ens personuppgifter lagras, och går det att begära att dessa tas bort med hänvsing till GDPR?

2021-09-24 i PUL/GDPR
FRÅGA |Hej, för en tid sedan så provkörde jag en bil på en bilfirma.då fick jag skriva på ett kontrakt där jag förband mig att bland annat betala en självrisk om 9600:- vid eventuell skada,oklart om det gällde även om jag till exempel blivit påkörd..sedan tog det en kopia på mitt körkort.Nåväl jag provkörde bilen och återlämnade den i samma skick som när jag provade den.. men jag på talade om att jag ville ha tillbaka lappen med kopian på mitt körkort så sa säljaren att icke den behåller vi i ett låst skåp.fråga: är det lagligt att firman nu har en kopia av mitt körkort i sin ägo (GDPR) och i så fall vad gäller .
Benjamin Lindholm |Hej och tack för att du vänder dig till Lawline med din fråga!Som du har uppmärksammat blir GDPR tillämplig då det rör fråga om bilfirmans behandling av personuppgifter förs in i ett register enligt art. 2 GDPR. Bilfirman ska anses personuppgiftsansvarig enligt art. 4.7 GDPR då de bestämmer målet och medlet för hur personuppgifterna ska behandlas. Det ligger inom personuppgiftsansvarigas ansvarsområde att garantera de dataskyddsprinciper som framgår av art. 5 GDPR dvs. vissa särskilda krav på behandlingen av dina personuppgifter som ska säkerställa att din personliga integritet skyddas. Vidare måste bilfirman i egenskap av personuppgiftsansvarig som huvudregel ha en rättslig grund enligt art. 6 GDPR för att behandla dina personuppgifter, härvid är samtycke en av de grunderna som anges vilket jag enligt din angivna bakgrund tolkar vara given i samband med att du provkörde bilen. Det som blir intressant just för din fråga är dock, om vi återgår till art. 5 GDPR om dataskyddsprinciperna att en personuppgiftsansvarig (bilfirman) enligt art. 5.1.e GDPR endast får lagra dina uppgifter under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen (dvs. att säkerställa din identitet vid eventuell trafikolycka under provkörningen). Med det sagt så har du laglig rätt att kräva att dessa uppgifter raderas enligt art. 17.1.a GDPR (även känd som rätten att bli bortglömd). Gör inte bilfirman detta efter en uppmaning riskerar de att åka på både skadestånd enligt art. 82 GDPR samt sanktioner i enlighet med art. 84 GDPR. Om du har ytterligare frågor är du varmt välkommen att kontakta våra jurister på Lawline.Vänliga hälsningar,

Använda personbild på T-shirt?

2021-09-05 i PUL/GDPR
FRÅGA |Hej. Jag har ett foto av mej och Jerka tagen med min kamera. Funderar nu på om jag ska fixa en t-tröja med den bilden, alltså endast en tröja för eget bruk. Får jag göra det utan att fråga någon av Jerkas efterlevande om lov? MVH
Adam Winqvist |Hej och tack för att du vänder dig till Lawline med din fråga!Eftersom det endast är för privat bruk blir inte upphovsrätt något hinder. Bilden kan knappast ses som en personuppgift heller eftersom ni båda är på bilden. Dessa är de enda två hindren som skulle kunna finnas varför det är helt ok att du använder bilden för tröjan.Jag hoppas du är nöjd med ditt svar! Du är alltid varmt välkommen att ställa fler frågor till oss på Lawline.

Hur avgörs det om en skola ska få införa kamerabevakning?

2021-08-26 i PUL/GDPR
FRÅGA |Jag undrar hur det kan komma sig att vissa skolor/kommuner infört kameraövervakning på sina skolor medan andra kommuner hävdar att det strider mot diverse lagar, GDPR mm? Vilka lagrum/lagtexter gäller för detta område? Hur kan kommuner göra så olika tolkningar?
Temra Baydono |Hej, och stort tack för att du vänder dig till Lawline med din fråga! Jag tolkar din fråga som att du undrar varför vissa skolor kan införa kamerabevakning medan andra skolor inte kan det utan att strida mot lagen. Regler om detta finns i dataskyddsförordningen (GDPR) samt kamerabevakningslagen och det är dessa lagar jag kommer att använda mig av när jag besvarar din fråga. Intresseavvägning som rättslig grund och berättigat intresseAv artikel 6 GDPR framgår vilka rättsliga grunder som krävs för att en hantering av personuppgifter ska vara förenlig med GDPR. En sådan rättslig grund är intresseavvägning (artikel 6.1f GDPR). För att denna rättsliga grund ska vara tillämplig krävs ett berättigat intresse. Ett sådant berättigat intresse kan till exempel vara att man vill förebygga, förhindra eller upptäcka brottslig verksamhet som pågår på skolan (8 § andra stycket kamerabevakningslagen). Det måste alltså finnas ett riktigt problem på skolan och det är inte förenligt med GDPR att sätta upp kameror utan att det finns ett riktigt problem. Så fungerar en intresseavvägningOm man kommer fram till att det finns ett berättigat intresse, måste även en intresseavvägning göras för att se om kamerabevakningen är tillåten. Då väger man det berättigade intresset som skolan har av att kamerabevaka, till exempel att upptäcka brottslig verksamhet, mot integritetsintresset, dvs det intresse som barn och vuxna på skolan har av att inte kamerabevakas. Vid bedömningen av intresset av att inte bli kamerabevakad ska det särskilt beaktas hur bevakningen ska utföras, om teknik som främjar skyddet av den enskildes personliga integritet ska användas och vilket område som ska bevakas (8 § tredje stycket kamerabevakningslagen). Vid intresseavvägningen måste det berättigade syftet väga tyngre än integritetsintresset för att kamerabevakningen på skolan ska vara tillåten enligt GDPR och kamerabevakningslagen. Se även integritetsskyddsmyndighetens (IMY) hemsida för vidare info. SammanfattningAnledningen till att vissa skolor kan införa kamerabevakning medan andra inte kan det, är att det krävs ett berättigat intresse för att få kamerabevaka. Ett sådant intresse kan till exempel vara att upptäcka brottslig verksamhet på skolan. Det måste finnas ett verkligt problem på skolan för att det ska vara tillåtet att kamerabevaka. Om skolan i fråga har ett sådant berättigat intresse, måste detta intresse väga tyngre än integritetsintresset för att kamerabevakningen ska vara förenligt med GDPR och kamerabevakningslagen. Jag hoppas att detta var till hjälp och om du skulle ha några ytterligare frågor är det bara att du hör av dig till oss på nytt! Med Vänliga Hälsningar,

Do I have the right to demand my personal data be erased?

2021-08-18 i PUL/GDPR
FRÅGA |hej, data privacy. i have asked game support to delete my account, they reject that. What i can do to force them delete my data?
Benjamin Lindholm |Hello and thank you for turning to Lawline with your question! Regarding questions about companies usage and storage of user data, and vise versa the users right to data privacy in the manner that you are describing it, the applicable law is EU:s General Data Protection Regulation (GDPR). The article relevant to your case would be article 17 GDPR (also known as the right to be forgotten). Listed in article 17 GDPR are a bunch of bullet points that state in which scenarios a person can invoke their right to be forgotten. Among them you'll find article 17.1.a where it is stated that a person has the right to demand that their personal data be erased if the personal data are no longer necessary in relation to the purposes for which they were collected or otherwise processed. This essentially means that you, as a customer, have the right to have your personal data (such as your account) erased when you no longer wish to use their services. By invoking this right, you'll be able to lawfully demand your data be erased, if the company doesn't comply, you'll have a high probability of success if you take the matter to court. If you have any further questions, please feel free to contact our legal team at Lawline.Kind regards,