Ser ni IP-adressen till den som skickar in en fråga till er?

2019-09-22 i PUL/GDPR
FRÅGA |Ser ni IP-adressen till den som skickar in en fråga till er?
Natasha Fathifard |Hej och välkommen till Lawline!Rådgivarna på Lawline kan inte se IP-adresser till personer som skickar in frågor till oss.Återkom gärna om du har ytterligare frågor,Med vänlig hälsning,

Kan jag begära skadestånd för att min operatör haft dataintrång?

2019-09-07 i PUL/GDPR
FRÅGA |Hej lawline.Min operatör har råkat ut för dataintrång där någon eller några har kommit åt mina personuppgifter med personnummer och min data trafik. Dem har väldigt lättsam inställning till detta när jag ringer in till kundtjänst. Jag är orolig på vad personer kan göra med mina uppgifter. Kan man begära något form av skadestånd. Då jag anser att dem borde ha bättre skydd på mina privata uppgifter. Tack
Dennis Lavesson |Hej och tack för att du vänder dig till oss på Lawline med din fråga!Ansvar och eventuell skadeståndsskyldighet styrs i ditt fall av dataskyddsförordningen (GDPR) och lagen med kompletterande bestämmelser till EU:s dataskyddsförordning.Dataskyddsförordningen ställer vissa krav vid behandling av personuppgifter. I kraven ingår bland annat att personuppgifter ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder (Art. 5.1f GDPR). Enligt art 24 GDPR ska det ske en riskbaserad ansats avseende riskerna för att säkerställas att behandlingen utförs i enlighet med dataskyddsförordningen. Vilka åtgärder som ska tas varierar efter en avvägning av riskerna vs konsekvenserna. Om risken är låg bör det tas rätt långtgående åtgärder ändå, samtidigt innebär det att om sannolikheten för risken är låg/försumbar och dessutom de negativa konsekvenserna för den registrerade är små/försumbara behöver det inte tas lika långtgående åtgärder. Tanken med den riskbaserade metoden är att det ska finnas en flexibilitet.Det du kan göra om du anser att din operatör inte behandlat dina personuppgifter i enlighet med GDPR i och med den läcka som uppstått är att du gör en anmälan till Dataskyddsinspektionen. Myndigheten kan granska företaget och även utdela höga sanktionsbelopp. Det finns även en möjlighet till civilrättsligt skadestånd i förordningen och dataskyddslagen. Varje person som lidit materiell eller immateriell skada till följd av en överträdelse av förordningen har rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet för den uppkomna skadan. Personuppgiftsansvarig är i det här fallet antagligen din operatör, medan ett personuppgiftsbiträde är sådan som behandlar personuppgifter åt den personuppgiftsansvarige (Art 82 GDPR och 7 kap. 1 § dataskyddslagen).Det finns i förordningen inga bestämmelser eller riktlinjer för att bedöma skadeståndets storlek. Det innebär att bedömningen kommer att behöva göras enligt nationell rätt. Det finns ännu ingen prövning av skadestånd i förhållande till GDPR i Sverige. Däremot har HD fastslagit principer för mer eller mindre normerat skadestånd vid överträdelser av personuppgiftslagen (PUL). I rättsfallet betraktades skadeståndet av domstolen som en kränkningsersättning som ska kompensera känslor hos den skadelidande och ge upprättelse. Domstolen uttalade att i fall som inte är allvarliga bör ersättningen inte överstiga 5.000 kronor, i mindre allvarliga fall fastslog domstolen ett schablonbelopp om 3.000 kronor (jfr NJA 2013 s. 1046).För att få skadestånd kan du i första hand höra av dig till din operatör och försöka komma överens. Det är den enklaste vägen då du slipper väntetid, att gå till domstol med förhoppning om att få rätt. Om ni inte kan komma överens är min rekommendation att du anlitar en jurist till hjälp som tittar närmre på ditt ärende. Om du behöver få kontakt med en av Lawlines för ändamålet och vill ha en offert samt boka tid, är du varmt välkommen att återkomma till mig per e-post på dennis.lavesson@lawline.se.Med vänliga hälsningar,

Är man anonym när man skickar in sina frågor till Lawline?

2019-09-04 i PUL/GDPR
FRÅGA |Ser ni mailadressen till dom som skickar in frågor till er? Med tanke på att man får svar på frågan via mailen.
Amanda Alwall |Hej, Närmare information kring hur vi svarar på frågor här på Lawline finner du under "FAQ". När du skickar en fråga måste du alltid ange namn, adress och e-postadress. Uppgifterna behandlas med sekretess och läggs aldrig ut på Lawline.se. Alla personuppgifter behandlas också i enlighet med personuppgiftslagen. Vill du vara säker på att du inte kan identifieras genom din frågeställning är det viktigt att du tänker på hur frågan formuleras. Undvik till exempel utmärkande detaljer, exakta platser eller klockslag och liknande som gör att frågan kan härledas till dig. Vi som svarar på frågorna ser dock inte din mailadress, utan bara namnet du skriver in. Med vänlig hälsning,

Är kamerabevakning av brottsförebyggande syfte okej?

2019-08-31 i PUL/GDPR
FRÅGA |Vi har upprepade gånger haft påhälsningar av några ungdomar som utanför vår port samt upp mot balkonger och fönster sprutat brandsläckarpulver, urinerat utanför portdörren och lagt massa sopor där samt spottat på portglaset.Dessutom kastat sten på fönster som gått sönder så man fått in sten och glas i sovrum m.m. Allt polisanmäls. Vi vill sätta upp kamera där så vi kan fånga dem på bild nästa gång det händer. Är det ok att göra det om vi dessutom sätter upp en lapp eller skylt om att porten är kamera och videoövervakad?
Zana Mohammed |Hej och tack för att du vänder dig till Lawline!Din fråga rör kamerabevakning vilket aktualiserar reglerna i kamerabevakningslagen samt dataskyddsförordningens regelverk.När krävs tillstånd för kamerabevakning?Tillstånd till kamerabevakning krävs om bevakningen avser en plats dit allmänheten har tillträde, samt bedrivs av en myndighet eller någon annan vid utförande av en uppgift av allmänt intresse som följer av bl.a. lag (se 7 § kamerabevakningslagen). I det följande kommer jag att förklara vad "en plats dit allmänheten har tillträde", samt "allmänt intresse" egentligen innebär.I en dom från Högsta förvaltningsdomstolen ansågs kameror vid entréer till flerfamiljshus vara på en plats dit allmänheten har tillträde eftersom att det inte fanns något fysiskt som hindrade allmänheten att ta sig till entréerna. Ett exempel på det var att fastigheten inte hade någon anordning, t.ex. en låst grind, som kunde avskilja den från allmänheten (se dom i mål nr 3821-09 och 3822-09). I ditt fall har dock allmänheten tillträde till utrymmet runt din port, och det är därför en plats dit allmänheten har tillträde.Uppgifter av allmänt intresse har i prop. 2017/18:231 ansetts bl.a. utgöra myndighetsutövning. Övervakning i butiker, köpcentrum och banklokaler är dock inte tillståndspliktigt då utförandet av uppgifter i dessa fall inte är av sådant allmänt intresse. Övervakning av sin port bör alltså inte utgöra ett utförande av uppgift av allmänt intresse.Tillstånd till kamerabevakning krävs alltså inte i ditt fall.Vad säger dataskyddsförordningen?En upplysning av en identifierbar person utgör en personuppgift enligt artikel 4.1 dataskyddsförordningen. I och med att förordningen blir aktuell i samband med kamerabevakning måste du bland annat ha ett berättigat intresse av att bevaka, som väger tyngre än den identifierbara personens integritetsintresse (artikel 6). Har du inte ett sådant starkt berättigat intresse, utgör din personuppgiftsbehandling (kamerabevakning) en olaglig behandling. I ditt fall skulle brottsligheten utanför er port möjligen kunna innebära att du har ett sådant berättigat intresse.Vidare måste du bland annat tydligt informera om vem som bevakar, vilket syfte bevakningen har, och vart den som bevakas kan vända sig för ytterligare information och utkrävande av sina dataskyddsrättigheter (artikel 15). En tydlig markering av att bevakning görs fordras därför.SammanfattningTrots att kravet på tillstånd enligt kamerabevakningslagen troligen inte blir aktuellt i ditt fall, måste du vid kamerabevakningen ta hänsyn till reglerna i dataskyddsförordningen. Att kamerabevaka din port skulle kunna utgöra en laglig personuppgiftsbehandling om ditt intresse att bevaka väger tyngre än den identifierade personens integritetsintresse.Jag hoppas att det var svar på din fråga!Med vänlig hälsning,

Är det tillåtet att filma en annan elev i ett klassrum?

2019-09-19 i PUL/GDPR
FRÅGA |Är det tillåtet att filma en annan elev i ett klassrum? Det är ju inte allmän plats men heller inte en privat bostad.
Natasha Fathifard |Hej och välkommen till Lawline med din fråga!Jag utgår från din fråga att det handlar om när en elev filmar en annan elev, men jag redogör ändå lite kort om hur det även ligger till om en lärare filmar en elev.På en allmän plats får man filma och fotografera en annan person, sålänge det inte kränker personen i fråga. Som du nämner räknas inte en skola som en allmän plats och inte heller som en privat bostad.Om filmandet är hänsynslöst och personen som blir filmad uppmärksammar detta är filmandet olagligt enligt 4 kap 7 § BrB (ofredande).Gäller desamma för lärare?Samma rättsläge gäller som utgångspunkt även för lärare. Däremot kan det finnas ytterligare regler som hindrar lärares rätt att filma elever.En sådan regel kan vara 6 kap 9 § skollagen (SkolL) som stadgar att lärare inte får utsätta elever för kränkande behandling. Med kränkande behandling avses sådant som inte är diskriminering, men som kränker en elevs värdighet enligt 6 kap 3 § SkolL En lärare bör därför vara väldigt försiktig med att ta bilder på eller filma elever.Om en elev utsätts för kränkande behandling har huvudmannen för skolan skyldighet att utreda omständigheterna och in förekommande fall vidta åtgärder (6 kap 10 § SkolL). Kränkande behandling från en lärares kan därför ge upphov till saklig grund för uppsägning enligt 7 § lagen om anställningsskydd.GDPRGDPR skulle eventuellt kunna hindra spridandet av bilder och filmer om det sker utan samtycke.Detta eftersom förordningen tar sikte på behandling av personuppgifter enligt artikel 2.1 i förordningen. Med personuppgifter avses allt som kan kopplas till en individ, således omfattas även bilder och filmer om det går att koppla till någon.Sammanfattningsvis är det lagligt för en elev att filma en annan elev i klassrummet, så länge filmandet inte är hänsynslöst eller inte kränker personen i fråga. Däremot bör man inte sprida runt filmen, eftersom det finns regler i GDPR som gör det olagligt, främst om det saknas samtycke för spridandet från personen som blivit filmad/fotograferad.Återkom gärna vid ytterligare funderingar,Med vänlig hälsning,

Kan jag få kompensation för läckta personuppgifter hos min teleoperatör?

2019-09-07 i PUL/GDPR
FRÅGA |Hej. Jag är kund hos en teleoperatör och fick precis veta att mina personuppgifter har läckt hos dem. Jag tycker de har varit oaktsamma med mina uppgifter. Kan jag kräva kompensation för den integritetskränkningen, för att de har dålig säkerhet dessa säljregister?
Dennis Lavesson |Hej och tack för att du vänder dig till oss på Lawline med din fråga!Ansvar och eventuell skadeståndsskyldighet styrs i ditt fall av dataskyddsförordningen (GDPR) och lagen med kompletterande bestämmelser till EU:s dataskyddsförordning.Dataskyddsförordningen ställer vissa krav vid behandling av personuppgifter. I kraven ingår bland annat att personuppgifter ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder (Art. 5.1f GDPR). Enligt art 24 GDPR ska det ske en riskbaserad ansats avseende riskerna för att säkerställas att behandlingen utförs i enlighet med dataskyddsförordningen. Vilka åtgärder som ska tas varierar efter en avvägning av riskerna vs konsekvenserna. Om risken är låg bör det tas rätt långtgående åtgärder ändå, samtidigt innebär det att om sannolikheten för risken är låg/försumbar och dessutom de negativa konsekvenserna för den registrerade är små/försumbara behöver det inte tas lika långtgående åtgärder. Tanken med den riskbaserade metoden är att det ska finnas en flexibilitet.Det du kan göra om du anser att din operatör inte behandlat dina personuppgifter i enlighet med GDPR i och med den läcka som uppstått är att du gör en anmälan till Dataskyddsinspektionen. Myndigheten kan granska företaget och även utdela höga sanktionsbelopp. Det finns även en möjlighet till civilrättsligt skadestånd i förordningen och dataskyddslagen. Varje person som lidit materiell eller immateriell skada till följd av en överträdelse av förordningen har rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet för den uppkomna skadan. Personuppgiftsansvarig är i det här fallet antagligen din operatör, medan ett personuppgiftsbiträde är sådan som behandlar personuppgifter åt den personuppgiftsansvarige (Art 82 GDPR och 7 kap. 1 § dataskyddslagen). Det finns i förordningen inga bestämmelser eller riktlinjer för att bedöma skadeståndets storlek. Det innebär att bedömningen kommer att behöva göras enligt nationell rätt. Det finns ännu ingen prövning av skadestånd i förhållande till GDPR i Sverige. Däremot har HD fastslagit principer för mer eller mindre normerat skadestånd vid överträdelser av personuppgiftslagen (PUL). I rättsfallet betraktades skadeståndet av domstolen som en kränkningsersättning som ska kompensera känslor hos den skadelidande och ge upprättelse. Domstolen uttalade att i fall som inte är allvarliga bör ersättningen inte överstiga 5.000 kronor, i mindre allvarliga fall fastslog domstolen ett schablonbelopp om 3.000 kronor (jfr NJA 2013 s. 1046).För att få skadestånd kan du i första hand höra av dig till din operatör och försöka komma överens. Det är den enklaste vägen då du slipper väntetid, att gå till domstol med förhoppning om att få rätt. Om ni inte kan komma överens är min rekommendation att du anlitar en jurist till hjälp som tittar närmre på ditt ärende. Om du behöver få kontakt med en av Lawlines för ändamålet och vill ha en offert samt boka tid, är du varmt välkommen att återkomma till mig per e-post på dennis.lavesson@lawline.se.Med vänliga hälsningar,

Kamerabevakning av personal

2019-08-31 i PUL/GDPR
FRÅGA |Chefen där jag jobbar misstänker att en kollega inte gör sitt jobb och bestämmer sig för att filma arbetsplatsen för att sedan kolla kollegans insats. Jag blir informerad om detta av chefen men chefen informerar inte kollegan om det. Har jag skyldighet enligt lag att informera kollegan om att det kommer filmas - dvs har jag skyldighet att ge kollegan infon trots att vår gemensamma chef valt att inte göra detta? Spelar det någon roll hur många som filmas? Hur länge det filmas? Hälsningar, Ulrika
Hanna Kanon |Hej och tack för att du vänder dig till Lawline med din fråga!Nej, det finns ingen skyldighet i lag att informera en kollega om en sådan företeelse (sedan kan man ju t.ex. av etiska skäl uppleva att det ändå känns rätt att informera). Men i det här fallet begår du inget brott genom att inte informera kollegan om att denne blir filmad, här nedan ska jag förklara varför. För att vara skyldig att anmäla ett specifikt brott till polis så ska det handla om ett brott som man ser håller på att ske, samt att det måste det uttryckas i lag (https://lagen.nu/1962:700#K23P6S1). Generellt sätt gäller detta enbart för allvarligare brott, såsom misshandel eller mord (ytterligare ett kriterium är att man ska kunna göra en sådan anmälan utan att själv utsättas för fara). För att kunna avgöra om det finns en skyldighet att anmäla måste man alltså först och främst undersöka huruvida ett brott faktiskt föreligger, samt hur grovt detta eventuella brott är. Om din arbetsgivare sedan tidigare har rätt att sätta upp kameror enligt kamerabevakningslagen så kan man som arbetstagare behöva finna sig i att bli filmad och arbetsgivaren gör då inget brottsligt när han använder kamerabevakningen för att kolla din kollega. Arbetsgivaren ska ha viktat intresset för övervakning mot de anställdas rätt att slippa övervakas (https://lagen.nu/2018:1200#P8S1). Om arbetsgivaren har kamerabevakning måste denne även sätta upp skyltar eller informera om bevakningen på något annat sätt (https://lagen.nu/2018:1200#P15S1). Om detta inte görs kan övervakningen vara olaglig. Innan en arbetsgivare, som är bunden av kollektivavtal, inför kameraövervakning så krävs även förhandling med facket (https://lagen.nu/1976:580#P11S1). Om detta inte har skett går förfarandet att angripa med hjälp av medbestämmandelagen. Om arbetsgivaren inte har tillstånd eller inte har informerat om kamerabevakning så kan övervakningen vara brottsligt. Det blir då upp till arbetsgivaren att visa att det fanns tillräckligt starkt behov för kameraövervakning. I och med införandet av dataskyddsförordningen är man även skyldig att kunna koppla kamerabevakningen till en rättslig grund i dataskyddsförordningen. Ju mer omfattande övervakningen är (fler personer, längre övervakningstid) – desto högre krav ställs på arbetsgivaren att kunna påvisa starkt behov samt kopplingar till de rättsliga grunderna. Men slutligen – oavsett om din chefs kamerabevakning är olaglig eller ej så är brottet inte tillräckligt grovt för att du ska bli anmälningsskyldig och du kan därför inte dömas för underlåtenhet att avslöja brott enligt 23:6 Brottsbalken.

Allmänt om rådgivningen

2019-08-31 i PUL/GDPR
FRÅGA |Svarar ni på frågor även på helgerna? Är ni inte lediga då?
Makda Tesfamariam |Hej! Tack för att du vänder dig till Lawline med din fråga!På Lawline engagerar sig juriststudenter ideellt för att omsätta våra teoretiska kunskaper i praktiken. Vi planerar vårt arbete själva, därför kan frågorna komma att besvaras även på helger. Hoppas att du fick svar på din fråga!Med vänlig hälsning