Min praktikplats har begärt ut mitt brottsregister - Kan de det?

2019-12-07 i PUL/GDPR
FRÅGA |I ett dokument från universitetet framgår det att jag inför min verksamhetsförlagda utbildning i vården kommer att bli kontrollerad mot belastningsregistret, dvs. genom att verksamheten begär ut detta från polisen utan min inblandning.Jag vet att det är tillåtet för statliga myndigheter att begära utdrag inför anställning av personal enligt "Förordning (1999:1134) om belastningsregister", men som student är man väl inte inkluderad där? Finns det lagstöd för att rutinmässigt begära utdrag för samtliga studenter som genomgår verksamhetsförlagd utbildning inom vården?
Adam Novak |Hej!Tack för att du har valt att ställa din fråga till oss på Lawline.Verksamhetsförlagd utbildning är praktik, vilket detta är tillåtet för. Reglerna för detta är "Om det behövs för att pröva en fråga om anställning eller uppdrag i en verksamhet som avser vård..."(10 § Lag om belastningregister)...har enskilda rätt att begära ut uppgifter om andra enskilda. Praktik hamnar under uppdrag i det gär fallet I vanliga fall när arbetsgivaren begär det måste man överlämna utdraget efter att ha begärt ut det som enskild. Du ska dock arbeta i vården, vilket medför att de har rätt att begära ut ditt utdrag (10 § Lag om belastningregister). Denna lag finns troligen inte utan anledning, som jag misstänker är samma anledningsom dehar för att kontrollera alla blivande praktikanter. Förordningar är en form av "mini-lagar", och den du har läst förtydligar detaljfrågor kring lagen den bygger på. De kräver inte rikdagsbeslut för att stiftas, utan kan meddelas av regeringen utan Riksdagens inblandning. Det är viktigt dock att Riksdagen när som helst kan stifta en lag som föregriper en eventuell förordning.Jag hoppas du har fått svar på dina frågorMed vänlig hälsning,

Grupparbete i privatjuridik

2019-11-29 i PUL/GDPR
FRÅGA |Hej, Jag har ett grupparbete i privatjurdik och vi har fått ett case att jobba med. Vi undrar vad Johan har för rättigheter i det här sammanhanget och vad han kan göra mot Julias avsikter. Har Malin något att säga om det här?Julia och Johan gifte sig år 2000. De har ett barn tillsammans, Malin född 2001.De bor alla tillsammans i en hyresrätt om fyra rum och kök i centrala Stockholm.Lägenheten köpte Johan svart innan han träffade Julia.Åren går och Julia och Johan känner att de alltmer glider ifrån varandra. Saker och ting förbättras inte av att Johan efter det att han har sagts upp från sitt arbete drabbas av allvarliga alkoholproblem.I augusti 2018 beslutar sig Julia sig för att hon omedelbart vill skiljas. Hon säger också i samband med detta att hon vill att Malin ska bo med henne framöver och att det då blir lämpligast att hon (Julia) tar över lägenheten och att Johan flyttar ut därifrån.Johan blir chockad och förvirrad av beskedet.
Amanda Alwall |Hej och tack för att du vänder dig till oss på Lawline!Lawline besvarar dessvärre inte skolfrågor så tyvärr kan jag inte hjälpa dig med denna fråga. Jag hänvisar dig till relevant kurslitteratur på familjerättens område och lagtext.Lycka till!Med vänlig hälsning,

Krav på att lämna ut personnummer på anställda till försäkringsbolag - GDPR

2019-11-17 i PUL/GDPR
FRÅGA |Hej!Vårt företag fick i uppdrag att åtgärda vattenskada. Nu begär uppdragsgivare från oss förutom faktura med detaljerad fakturaspecifikation som innehåller lista med allt använt material och antal arbetande timmar med datum, också personuppgifter på våra anställda som arbetade på just detta objekt inklusive deras personnumren samt kopior på materialfakturor samt kvitton. Motivering är att försäkringsbolag nöjer sig inte av bara vår faktura med fakturaspecifikation och vill inte därför betala. Min fråga är - får försäkringsbolag begära personuppgifter på arbetande anställda med tanke att företag ansvarar för utfört arbete och inte anställda personligen? Är det tillåtet enligt ny lag om hantering av personuppgifter skicka personlig information om anställda till tredje part om den inte är myndighet?
Lisa Gustafsson |Hej och tack för att du vänder dig till oss här på Lawline med din fråga.Tillämpliga lagrumBestämmelser som är tillämpliga på din fråga hittar vi i Dataskyddsförordningen (GDPR) och dess kompletterande lagstiftning som reglerar behandling av personuppgifter.Som huvudregel krävs samtyckeFör att försäkringsbolaget ska få rätt till era anställdas personuppgifter krävs det som huvudregel att de anställda har givit sitt samtycke till detta. Det framgår av 3 kap. 10 § i den kompletterande lagstiftningen till GDPR. Är det däremot så att era anställda inte samtycker till att ge ut sina personnummer får de bara ges ut om försäkringsbolaget kan styrka att deras krav är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller annat beaktansvärt skäl. Dessutom ska behandlingen uppfylla de krav som framgår av artikel 5 och 6 i GDPR som tar upp följande:"Artikel 5a) Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (laglighet, korrekthet och öppenhet).b) De ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. c) De ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (uppgiftsminimering)....""Artikel 6Behandling är endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt:a) Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål.b) Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.c) Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige.d) Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person.e) Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.f) Behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn."RådOm det är så att era anställda inte ger sitt samtycke till att ge ut sina personuppgifter till försäkringsbolaget är min bedömning att ni i nuläget inte behöver göra det. För att försäkringsbolaget ska ha rätt att kräva dessa uppgifter krävs det att de klart kan motivera varför de behöver dem och att detta motiv väger tyngre än skyddet för era anställdas personuppgifter. Mitt råd till er är med andra ord att meddela er uppdragsgivare att ni inte kommer ge ut personuppgifterna i enlighet med den rådande lagregleringen på området och hänvisa till att försäkringsbolaget får ta kontakt med er direkt istället om de har ett motiverat skäl till behovet av dessa uppgifter.Jag hoppas att ni fick svar på er fråga och är det så att ni har några följdfrågor är det bara att kontakta mig på Lisa.Gustafsson@Lawline.se så återkommer jag. Annars önskar jag er lycka till!Vänligen

Ser ni IP-adressen till den som skickar in en fråga till er?

2019-09-22 i PUL/GDPR
FRÅGA |Ser ni IP-adressen till den som skickar in en fråga till er?
Natasha Fathifard |Hej och välkommen till Lawline!Rådgivarna på Lawline kan inte se IP-adresser till personer som skickar in frågor till oss.Återkom gärna om du har ytterligare frågor,Med vänlig hälsning,

Är GDPR tillämplig avseende personuppgifter som är att hänföra till en fysisk person med utomeuropeiskt medborgarskap?

2019-11-30 i PUL/GDPR
FRÅGA |Hej! Hur gäller GDPR för en ideell förening som vill posta bilder på sin Facebook-sida? FB-sidan har i dagsläget mindre än 100 följare, men är ju offentlig så vem som helst kan hitta den. Måste jag ha samtycke eller rättslig grund för att få publicera foton med identifierbara personer? Och gör det någon skillnad om personerna på bilderna är afrikaner och bilderna är tagna i ett afrikanskt land (med tanke på att GDPR är en europeisk förordning)?
Caroline Hallén Lindqvist |Hej och tack för att du vänder dig till Lawline med din fråga!GDPR (The General Data Protection Regulation eller Dataskyddsförordningen) ersatte personuppgiftslagen (PuL) i maj 2018. Förordningen syftar bl.a. till att skydda fysiska personers grundläggande fri- och rättigheter och därmed deras rätt till skydd av personuppgifter (artikel 1.1 och 1.2 GDPR). Det är en ganska svåröverskådlig förordning och nedan följer ett försök till en redogörelse av dess tillämpningsområde.Artikel 2 och 3 GDPR behandlar det materiella tillämpningsområdet (de bestämmelser som reglerar det rättsliga innehållet i förordningen, dvs. ett specifikt rättsförhållande) respektive territoriellt tillämpningsområde (med vilket avses var förordningen ska anses vara tillämplig geografiskt sett). Förordningen är för det första tillämplig på behandling av personuppgifter där behandlingen helt eller delvis är automatiserad samt med hjälp av annan behandling som inte är automatiserad men där personuppgifter kommer att ingå i ett (vad man här kallar) register. Detta kräver en förklaring av några begrepp:•Med personuppgifter avses "[v]arje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en registrerad), varvid en identifierbar fysisk person är en person direkt eller indirekt kan identifierad särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikationer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet" (artikel 4.1 GDPR). Ett fotografi kan uppfylla en del av dessa rekvisit (dvs. att det många gånger går att identifiera en person med hjälp av gestaltningen), vilket kan göra ett fotografi till en personuppgift.•Med behandling avses en åtgärd eller en kombination av sådana gällande personuppgifter eller uppsättningar av sådana, oavsett om detta skett på ett automatiserat sätt. Exempel är insamling, registrering, framtagning, användning och kanske mest relevant i ditt fall, spridning genom sociala medier (artikel 4.2 GDPR).•Med register avses "en strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska områden" (artikel 4.6 GDPR). •Med personuppgiftsansvarig avses bl.a. en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter (artikel 4.7 GDPR).Fysiska personer skyddas oavsett medborgarskap och hemvist (skälen 2 och 14 i förordningen). Personerna på bilderna är alltså sådana fysiska personer som lagen avser även om de har utomeuropeiskt medborgarskap och skyddas därför av GDPR, oavsett om de är av afrikansk nationalitet eller är medborgare i en medlemsstat. Kort sagt kan man undanta uppgifter som rör juridiska personer (dvs. företag/näringsidkare), avlidna personer och uppgifter som inte går att hänföra till en person från tillämpningsområdet; i övrigt finns inga direkta begränsningar för vem som anses vara en fysisk person.För det andra är förordningen tillämplig på behandlingen av personuppgifter där behandlingen sker inom ramen för den verksamhet (t.ex. en ideell förenings verksamhet) som bedrivs på personuppgiftsansvarigas (t.ex. en ideell förening) verksamhetsställen inom unionen; detta oberoende av om behandlingen, t.ex. spridning av bilder på Facebook, skett i Unionen eller inte (artikel 3.1 GDPR). Kort sagt är GDPR tillämplig när en ideell förening offentligt publicerar bilder (som kan anses vara personuppgifter) på fysiska personer, t.ex. på en publik Facebook-sida. Då gäller, som du säger, att du antingen måste ha samtycke till publiceringen eller så måste publiceringen utgöra en rättslig grund som rättfärdigar behandlingen av personuppgifterna. Uppgifterna måste behandlas på ett lagligt, korrekt och öppet sätt (artikel 5.1 a). Behandlingen anses bara vara laglig om minst ett av villkoren i artikel 6.1 GDPR är uppfyllda, vilket antingen kräver samtycke att personuppgifterna publiceras för det specifika ändamålet eller att någon av de andra villkoren i a)–f) är uppfyllda. Om ni kan motivera publiceringen med att den är nödvändig för sådana ändamål som t.ex. rör den ideella föreningens eller en tredje parts intressen, och att de intressen och rättigheter som tillkommer den som personuppgifterna rör inte väger tyngre än det, så kan det alltså föreligga en rättslig grund som gör behandlingen av personuppgifterna laglig.Hoppas att du fick svar på din fråga!Med vänlig hälsning,

Behövs samtycke enligt GDPR för publicering i Facebookgrupp?

2019-11-26 i PUL/GDPR
FRÅGA |Hej!Jag är administratör på en Facebook grupp med 6000 medlemmar. Medlemmarna i gruppen kommer alla från samma ort. Det har nu börjat komma upp gamla skolfoton från 80-talet där bild på person samt namn är upplagt. De flesta tycker detta är jättekul som inte har sett dessa gamla bilder på hur länge som helst. Det finns dock någon enstaka som anmäler detta och hänvisar till GDPR. Hur ska detta hanteras? Får vi ha detta uppe på sidan. Tack för svar!
Ted Winström |Hej och tack för att du vänder dig till oss på Lawline med din fråga.GDPR gäller som huvudregel inte för privatpersoner vad gäller handlingar man företar inom sin privata sfär. Det finns dock handlingar som kan hamna utanför denna privata sfär, ett exempel på det kan vara om man på Facebook eller andra sociala medier publicerar bilder inför en större grupp människor. Enligt min bedömning, baserat på de omständigheter du uppger, bör du som gruppadministratör följaktligen falla inom GDPR:s tillämpningsområde. Du blir därför att anse som "personuppgiftsansvarig" för de personuppgifter som du kan komma att behandla i gruppen. En bild där det går att identifiera en person utgör en personuppgift i GDPR:s mening och detsamma gäller en persons namn. För att få behandla personuppgifter kräver GDPR att man har en så kallad laglig grund. Angående din situation bör du ha inhämtat samtycke från den person vars namn och bild behandlas i gruppen (se vidare Artikel 6.1a GDPR). Det jag råder dig att göra är att börja med att fråga personen om det är okej att bilden och namnet får vara kvar i gruppen. Om så inte är fallet bör du ta bort personuppgifterna. I sammanhanget tål att tilläggas att du alltid bör inhämta samtycke från berörda personer innan namn och bilder får vara kvar i gruppen om någon publicerar det. Hoppas att detta gav svar på din fråga.Med vänliga hälsningar,

Ladda upp dokument

2019-10-29 i PUL/GDPR
FRÅGA |Kan man ladda upp dokument i samband med att jag ställer en fråga?
Lars Bergström |Hej!Du kan tyvärr inte ladda upp dokument i samband med din fråga här. Du kan däremot boka en tid med en av våra jurister om du vill ha hjälp med mer avancerade ärenden.Vänligen,

Är det tillåtet att filma en annan elev i ett klassrum?

2019-09-19 i PUL/GDPR
FRÅGA |Är det tillåtet att filma en annan elev i ett klassrum? Det är ju inte allmän plats men heller inte en privat bostad.
Natasha Fathifard |Hej och välkommen till Lawline med din fråga!Jag utgår från din fråga att det handlar om när en elev filmar en annan elev, men jag redogör ändå lite kort om hur det även ligger till om en lärare filmar en elev.På en allmän plats får man filma och fotografera en annan person, sålänge det inte kränker personen i fråga. Som du nämner räknas inte en skola som en allmän plats och inte heller som en privat bostad.Om filmandet är hänsynslöst och personen som blir filmad uppmärksammar detta är filmandet olagligt enligt 4 kap 7 § BrB (ofredande).Gäller desamma för lärare?Samma rättsläge gäller som utgångspunkt även för lärare. Däremot kan det finnas ytterligare regler som hindrar lärares rätt att filma elever.En sådan regel kan vara 6 kap 9 § skollagen (SkolL) som stadgar att lärare inte får utsätta elever för kränkande behandling. Med kränkande behandling avses sådant som inte är diskriminering, men som kränker en elevs värdighet enligt 6 kap 3 § SkolL En lärare bör därför vara väldigt försiktig med att ta bilder på eller filma elever.Om en elev utsätts för kränkande behandling har huvudmannen för skolan skyldighet att utreda omständigheterna och in förekommande fall vidta åtgärder (6 kap 10 § SkolL). Kränkande behandling från en lärares kan därför ge upphov till saklig grund för uppsägning enligt 7 § lagen om anställningsskydd.GDPRGDPR skulle eventuellt kunna hindra spridandet av bilder och filmer om det sker utan samtycke.Detta eftersom förordningen tar sikte på behandling av personuppgifter enligt artikel 2.1 i förordningen. Med personuppgifter avses allt som kan kopplas till en individ, således omfattas även bilder och filmer om det går att koppla till någon.Sammanfattningsvis är det lagligt för en elev att filma en annan elev i klassrummet, så länge filmandet inte är hänsynslöst eller inte kränker personen i fråga. Däremot bör man inte sprida runt filmen, eftersom det finns regler i GDPR som gör det olagligt, främst om det saknas samtycke för spridandet från personen som blivit filmad/fotograferad.Återkom gärna vid ytterligare funderingar,Med vänlig hälsning,