Får bostadsförening sprida personuppgifter?

2019-04-30 i PUL/GDPR
FRÅGA |HejÄr det OK av min bostadsrättsförening att i ett e-postmeddelande till mina grannar, dela ut mitt personnummer inkl. de fyra sista, samt e-postadress och telefonnummer?
Natasha Fathifard |Hej och tack för att du vänder dig till Lawline med din fråga!En Bostadsrättsförening ska följa dataskyddsförordningen (GDPR) och för att behandla medlemmars personuppgifter bör de tänka på vad begreppet behandling innebär och att principen om ändamålsbegränsning bör följas.Behandling: är en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring, enligt GDPR artikel 4 2p.Ändamålsbegränsning: De ska bara samla in uppgifter för specifika ändamål och inte behandla uppgifterna för ett andra ändamål. Exempelvis om bostadsföreningen samlat in personuppgifter för att administrera medlemskap får du inte använda dessa uppgifter till marknadsföring. Dessutom får de bara behandla uppgifter som anses vara nödvändiga för ändamålet, d.v.s om endast namn och personnummer krävs för ändamålet ska inte e-postadress registreras för att det ''kan vara bra att ha''. Personnummer ska alltid skyddas extra enligt dataskyddsförordningen (GDPR). Personnummer får bara registreras om det anses vara nödvändigt för ändamålet, se GDPR artikel 5. En förening är aldrig skyldig att lämna ut sitt medlemsregister om någon medlem skulle begära detta.För att det ska anses vara tillåtet att skicka medlemsregister måste man ha stöd i GDPR, d.v.s. en rättslig grund krävs. Exempel på rättslig grund kan vara samtycke från den som är medlem, se GDPR artikel 6. Föreningen måste kunna visa att ett samtycke har lämnats.Bostadsrättsföreningen måste ta hänsyn till att vissa personer inte vill att deras uppgifter ska skickas till andra medlemmar. Dessutom måste medlemmarna få information om att deras uppgifter kan komma att skickas till andra.Sammanfattningsvis skulle jag råda dig om att fundera på till vilket ändamål du givit dina personuppgifter till bostadsföreningen och om bostadsföreningen informerat dig om att dessa uppgifter kan komma att skickas till andra. Har du möjligen visat ditt samtycke till att dina personuppgifter kan spridas t.ex. att du visat ditt samtycke genom att kryssa i en ruta i något formulär utan att du lagt märke till det. Det är såklart inte okej för bostadsföreningen att dela dina personuppgifter till någon annan om du inte visat samtycke till det och att de inte informerat dig om att spridning kan ske. För de som bryter mot GDPR:s regler brukar sanktionsavgifter bli aktuella, vilket du kan läsa mer om här *länk*Jag hoppas du har fått svar på din fråga!Önskar dig en trevlig valborg!Med vänlig hälsning,

Kan ett företag spara bilder på en databas utan att bryta mot GDPR?

2019-04-22 i PUL/GDPR
FRÅGA |Angående gdpr och integritet. Om man som krogägare har ett typ av system där man scannar id för att kolla äkthet och även "loggar" bilden i 24-timmar på en databas, är det här något som är olagligt?
Alicia Yngstrand |Hej och tack för att du vänder dig till Lawline med din fråga!Personlig integritet och hur man som företagare ska förhålla sig till GDPR kan vara ganska klurigt. Jag ska ta upp de viktigaste aspekterna som du borde tänka på. Det är svårt att ge ett tydligt "ja" eller "nej" svar på din fråga, eftersom det behövs lite mer information!Det finns förutsättningar för att få hantera personuppgifter enligt GDPR artikel 5:1. Bilderna måste hanteras på ett lagligt och korrekt sätt. Ett exempel på ett lagligt sätt som kan vara aktuellt här, är att man får samtycke från kunden (GDPR artikel 6). Att hanteringen ska vara korrekt är svårare: en sak att tänka på är att hanteringen är rimlig med tanke på nyttan (alltså att ni vill förhindra användningen av förfalskade ID-kort). Här kan man läsa om principen av korrekthet.2. Det måste finnas ett specifikt syfte med att samla in personuppgifterna. Ni har ett syfte: nämligen att kontrollera att folk inte använder förfalskade ID-kort. Kunderna måste även meddelas om detta syfte! 3. Man får inte samla in mer uppgifter än de som behövs. Bilderna måste alltså fylla ett specifikt syfte och detta syfte måste man informera kunderna om. Detta är lite klurigt för mig att avgöra, jag ser syftet med att scanna ID-korten och om bilderna måste sparas för denna åtgärd så finns det ett syfte för att samla in bilderna också. Men om det är ett "extra" steg att spara bilderna, så måste det finnas ett syfte för detta.4. Uppgifterna ska vara korrekta och uppdaterade. Eftersom ni hanterar bilder som finns på ID-kort så ser jag inte hur det kan vara ett problem med korrekthet. Det man kanske måste tänka på är ID-kort som är ogiltiga, då kan bilden uppfattas som att inte vara "uppdaterad". 5. Uppgifterna får inte förvaras längre än vad som är nödvändigt. Detta innebär att om det går att förvara bilderna under en kortare tid, så ska man göra det. Enligt mig så verkar 24h redan som en kort period, men, som sagt så borde man korta ner det om det är möjligt. 6. Uppgifterna måste behandlas på ett säkert sätt.Jag vet inte om er databas skyddar bilderna från att utomstående kan få tillgång till dem. Exempel på hur ni kan göra skyddet säkert är att det finns lämpliga brandväggar och antivirusskydd. Sammanfattning:Svaret är egentligen att det kan vara helt lagligt, men bara om man har följt alla steg som krävs. Det kan vara svårt att avgöra, det säkraste är att ta kontakt med en jurist och be dem undersöka just er situation. Du kan ta kontakt med Lawlines jurister här. Naturligtvis kan du även skicka in en till fråga, men jag tror att du gjorde rätt i att inte lämna för mycket detaljer eftersom det kan påverka säkerheten. Jag förstår att detta kanske inte känns som ett svar på din fråga, men det är många små detaljer som ska falla plats. Jag tvivlar inte på att detta kommer lösa sig snart i alla fall!Med vänliga hälsningar,

Har jag rätt att kräva att en felaktig offentlig handling gällande mig ändras?

2019-03-19 i PUL/GDPR
FRÅGA |Hejmin fråga gäller offentlig handling. Kan jag som privatperson på något vis kräva att en offentlig handling gällande mig ändras? Det gäller en offentlig handling som HSAN har och som jag anser felaktig och den har språkliga brister som kan missuppfattas samt rena sakfel.Det gör att det ligger en offentlig handling om mig som är fel! Kan jag på något vis kräva att de ändrar den?
Veronica Borg |Hej, Tack för att du vänder dig till Lawline med din fråga!Enligt personuppgiftsförordningen (GDPR) har du rätt att utan onödigt dröjsmål få felaktiga personuppgifter om dig ändrade (Artikel 16 GDPR). Svaret på din fråga är ja, du har rätt att kräva rättelse av de felaktiga uppgifterna.Jag hoppas du fick svar på din fråga, annars är det bara att återkomma!Vänligen,

Lyder Lexbase under GDPR sedan senaste grundlagsändringen?

2019-02-28 i PUL/GDPR
FRÅGA |Hej! I och med beslutade medialagändringen som trädde i kraft 1 jan 2019, har Lexbase fortfarande rätt publicera information brottsinformation eller lyder de nu per automatik under GDPR/PUL så man kan skicka en Cleansing-request till dom?Om de får publicera fortfarande, vad behöver nu ske för att de ska omfattas av GDPR/PUL?
Dennis Lavesson |Hej och tack för att du vänder dig till oss på Lawline med din fråga!UtredningPå senare år har det dykt upp en del hemsidor som publicerar information om enskilda, en av dessa är Lexbase. De uppgifter som i regel publiceras innefattar bland annat namn, adress, personnummer och eventuella domar. Uppgifterna som publiceras och/eller säljs hämtar företagen med stöd av offentlighetsprincipen. Alla uppgifter som publiceras är offentliga sådana. Såväl namn, adress, personnummer som domar från domstol är offentliga uppgifter som vem som helst kan begära ut från en myndighet.Hemsidorna har i regel beviljats utgivningsbevisDet som är gemensamt för de företag som publicerar uppgifter som dessa är att det i regel har ansökts om och beviljats ett s.k. utgivningsbevis. För ett utgivningsbevis krävs bland annat att en ansvarig utgivare har utsetts och att överföringarna utgår från Sverige (1 kap. 9 § Yttrandefrihetsgrundlagen, YGL). Hemsidor som har utgivningsbevis har ett grundlagsskydd som gör att de får publicera uppgifter som dessa så länge de inte begår ett yttrandefrihetsbrott. För att ett yttrandefrihetsbrott ska vara aktuellt krävs att det är särskilt angivet i grundlagen att det är förbjudet. Exempel på yttrandefrihetsbrott är t.ex. spioneri, hets mot folkgrupp och förtal (jfr 5 kap. 1 § YGL med hänvisning till Tryckfrihetsförordningen). Om ett yttrandefrihetsbrott blir aktuellt är det den ansvariga utgivaren som åtalas. Att publicera t.ex. personnummer, adress och domar är inte ett yttrandefrihetsbrott och därmed tillåtet.En hemsida med utgivningsbevis omfattas heller inte av dataskyddsförordningen GDPR. Förordningen tillåter att medlemsländerna gör undantag från reglerna om personuppgiftsbehandling om det är nödvändigt för att upprätthålla rätten till yttrandefrihet (Kapitel 9 Art. 85 GDPR). Det innebär att utgångspunkten är att hemsidan inte behöver ditt samtycke för att publicera uppgifterna och att du heller ej kan begära att de ska tas bort.Vad innebär ändring av grundlagen den 1 januari 2019?Den 1 januari 2019 ändrades yttrandefrihetsgrundlagen och tryckfrihetsförordningen vari det infördes bestämmelser innebärande en möjlighet att genom i lag meddela föreskrifter om förbud mot offentliggörande av vissa personuppgifter. Bestämmelsen gör det möjligt att i lag förbjuda att det offentliggörs uppgifter om bland annat etniskt ursprung, hudfärg, hälsa, sexualliv, sexuell läggning m.m. om personuppgifterna ingår i en uppgiftssamling som ordnats så det är möjligt att söka efter och sammanställa dem, samt det finns särskilda risker för otillbörliga intrång i den enskildes personliga integritet (jfr 1 kap. 20 § YGL).I den ursprungliga propositionen föreslogs det även att möjligheten att förbjuda ett offentliggörande av vissa personuppgifter skulle innefatta "att en enskild har begått lagöverträdelser genom brott, förekommer i fällande domar i brottmål eller har varit föremål för straffprocessuella tvångsmedel" (prop. 2017/18:49 s. 11). I konstitutionsutskottets betänkande om ändrade mediegrundlagar uttalade utskottet att söktjänster som tillhandahåller personuppgifter om lagöverträdelser m.m. utgör ett allvarligt ingrepp i enskildas personliga integritet, men att frågan om grundlagsskyddet ska begränsas bör utredas på nytt (bet. 2017/18:KU16 s. 40). Konstitutionsutskottet föreslog därmed att riksdagen skulle avslå införandet om en begränsning av personuppgifter hänförliga till lagöverträdelser och att riksdagen skulle ställa sig bakom att en utredning bör få i uppdrag att på nytt utreda frågan om att begränsa grundlagsskyddet för söktjänster som innehåller personuppgifter om att enskilda har begått lagöverträdelser, förekommer i fällande domar i brottmål eller har varit föremål för straffprocessuella tvångsmedel (bet. 2017/18:KU16 s. 5). Den 30 maj 2018 biföll riksdagen konstitutionsutskottets betänkande (Riksdagsskrivelse 2017/18:336). Lagändringen beslutades sedermera en andra gång den 14 november 2018 (Riksdagsskrivelse 2018/19:16). Beslutet innebar de ändringar som infördes den 1 januari 2019, dock infördes således inte möjligheten att genom lag begränsa personuppgifter om att någon begått lagöverträdelser eller förekommer i fällande domar i brottmål.Sammanfattning och svar på din frågaUppgifter om personnummer, namn, adress och eventuella brottmålsdomar är offentliga uppgifter som kan begäras ut från myndigheter. De hemsidor som publicerar sådan information har i regel ett utgivningsbevis innebärande att de har ett grundlagsskydd för publiceringen. Så länge hemsidorna inte begår ett yttrandefrihetsbrott är det lagligt att publicera uppgifterna. Publiceringen strider inte heller mot dataskyddsförordningen GDPR.Den lagändring som skedde den 1 januari innefattar inte en möjlighet att genom lag förbjuda publicering av personuppgifter som handlar om lagöverträdelser eller att en enskild förekommer i fällande domar i brottmål. Som svar på din fråga innebär det att hemsidor såsom Lexbase inte per automatik lyder under GDPR, söktjänsten är fortfarande undantagen med stöd av grundlagen. För att en hemsida som Lexbase ska omfattas av GDPR krävs antingen att (1) hemsidan av någon anledning förlorar sitt utgivningsbevis eller (2) att det efter en ny utredning bestäms om en ändring av grundlagen vari det införs en bestämmelse i likhet med den ursprungligen föreslagna.Hoppas du fått svar på din fråga. Om något skulle vara oklart är du varmt välkommen att återkomma till mig per e-post på dennis.lavesson@lawline.se.Med vänliga hälsningar,

Kan man som elev bryta mot GDPR genom att diskutera sitt betyg på mejl med sina klasskamrater?

2019-04-29 i PUL/GDPR
FRÅGA |Hej! Jag har haft en gruppuppgift i skolan där jag fått ett sämre betyg än resten utav mina kamrater. Detta är något jag tyckte var fel så jag skickade ett mail till de lärare som var med och betygsatte samt rektor. Jag inkluderade även mina respektive kamrater i mailet. Mitt mail var främst en argumenterande text där jag bad om att få höja mitt betyg då jag tyckte att mitt dåvarande betyg var resultatet av en forcerad betygsättning. Min ena mentor som var den som satte betyget blev ganska arg, ignorerade mest vad jag bad om och fokuserade mer på faktumet att jag inkluderat mina kamrater i mailet. Hon hävdade att jag bröt mot de EU framställda GDPR lagarna när jag valt att skicka genomslagskopior på ett mail som handlar om min enskilda betygsättning till mina klasskamrater.Jag frågar då er om detta verkligen stämmer? PS. Jag har försökt att nå ut till Datainspektionen men har inte fått något vidare konkret svar. Tack!
Sofia Edvardsson |Hej!Tack för att du vänder dig till Lawline med din fråga!Om jag tolkade din fråga rätt så menar alltså din lärare att du bryter mot GDPR för att du inkluderade dina klasskamrater i mailkonversationen rörande ditt betyg. Som du säkert vet är GDPR en EU-förordning (General Data Protection Regulation, eller Allmänna dataskyddsförordning) som ersatt den gamla personuppgiftslagen (PUL). Förordningen tar sikte på företags, myndigheters, organisationers etc. behandling av personuppgifter och syftet är att stärka den personliga integriteten och skydda enskildas grundläggande fri- och rättigheter (och då särskilt deras rätt till skydd av personuppgifter). Förordningen gäller i princip inom all slags verksamhet och oavsett vem som utför personuppgiftsbehandlingen. En personuppgift är enligt förordningen varje uppgift som genom vilken man kan identifiera en fysisk person, i ditt fall kan det alltså vara ditt personliga betyg (artikel 4 i förordningen). Eftersom ditt betyg är en personuppgift som tillhör dig kan du själv bestämma vem som ska ha tillgång till den (dina klasskamrater) och hur den får hanteras (på mail). Du kan alltså inte bryta mot GDPR genom att lagra/hantera/dela dina egna personuppgifter. Jag förstår därför inte din lärares påstående att du skulle bryta mot GDPR genom att inkludera dina klasskamrater i en mailkonversation rörande ditt enskilda betyg. Vänligen,

Skolfråga ej svar

2019-04-12 i PUL/GDPR
FRÅGA |Hej! Jag behöver hjälp med ett rättsfall. Låt säga att Kalle är intresserad av att köpa en cykel. Han vet att Stefan, som bor mittemot honom, vill sälja en cykel. Kalle tittar på cykeln som Stefan erbjuder sig att sälja för 1500 kronor, men tycker att den är lite för risig för hans smak. Han ber artigt Stefan att få återkomma senare med besked om han ska köpa cykeln. Dagen efter har Stefan ställt cykeln utanför Kalles port och lagt nyckeln i brevinkastet. Vad händer om Kalle inte omedelbart kontaktar Stefan för att meddela att han inte vill ha cykeln? Och vad skulle hända om Kalle kulle börja använda cykeln?
Amanda Alwall |Hej,Lawline besvarar tyvärr inte skolfrågor och skoluppgifter, utan vi hänvisar dig istället till relevant kurslitteratur eller tillämplig lagtext.Med vänliga hälsningar,

Vad gäller först, GDPR eller dataskyddslagen?

2019-03-12 i PUL/GDPR
FRÅGA |Lexbase är en privat svensk databas med utgivningsbevis som innehåller ett omfattande register med fällande brottmålsdomar. Sådana register får enligt art. 10 i Dataskyddsförordningen (GDPR) inte föras utan kontroll av en myndighet. Art. 85.1 säger att medlemsstaterna ska i lag förena rätten till integritet enligt förordningen med yttrandefriheten. Det framgår av 1 kap. 7 § Dataskyddslagen att GDPR inte ska tillämpas i den utsträckning det skulle strida mot bl.a. yttrandefrihetsgrundlagen. Fråga:Om det föreligger motstrid mellan yttrandefrihetsgrundlagen och GDPR i fråga om tillåtligheten av en databas som Lexbase, ska svenska myndigheter och domstolar då tillämpa tryckfrihetsförordningen eller eller GDPR? Vilket har företräde, grundlag eller unionsrätten?
Dennis Lavesson |Hej och tack för att du vänder dig till oss på Lawline med din fråga!Unionsrätten har företräde framför svensk rätt, grundlag inkluderad. Däremot ger artikel 85 i dataskyddsförordningen GDPR medlemsstaterna möjlighet att göra undantag från reglerna om personuppgiftsbehandling om det är nödvändigt för att upprätthålla rätten till yttrandefrihet. Bestämmelsen i 1 kap. 7 § dataskyddslagen är endast ett förtydligande av reglerna i artikel 85 GDPR, dvs. att tryckfrihetsförordningen och yttrandefrihetsgrundlagen har företräde framför dataskyddsförordningen och dataskyddslagen.Vänligen,

Får man som privatperson utföra kamerabevakning över grannes tomt och över en plats där allmänheten har tillträde?

2019-02-27 i PUL/GDPR
FRÅGA |Har man som privatperson rätt att montera övervakningskamera som till viss del täcker grannes tomt samt en allmän väg/gata?
Marika Jaaniste |Hej och tack för att du vänder dig till Lawline med din fråga!Regler som aktualiseras vid frågor om kamerabevakning finns i kamerabevakningslagen och dataskyddsförordningen (GDPR). Kamerabevakningslagen kompletterar GDPR enligt 1 § kamerabevakningslagen. Vidare framgår det av 2 § kamerabevakningslagen att syftet med lagen är att tillgodose behovet av kamerabevakning för berättigade ändamål och att skydda fysiska personer mot otillbörligt intrång i den personliga integriteten vid sådan bevakning. GDPR är tillämplig eftersom kamerabevakning innebär behandling av personuppgifter (artikel 2 GDPR). Kamerabevakning inom den privata sfärenAv både 5 § kamerabevakningslagen och artikel 2.2 c GDPR framgår det så kallade privatundantaget. Detta innebär att reglerna i respektive regelverk är undantagna på sådan kamerabevakning eller personuppgiftsbehandling som en fysisk person utför som ett led i en verksamhet i rent privat natur eller som har samband med hans eller hennes hushåll. Av privatundantaget i både kamerabevakningslagen och GDPR följer alltså att det som privatperson är tillåtet att kamerabevaka områden inom den privata sfären, såsom den egna bostaden eller tomten. Kamerabevakning över en grannes tomt eller en plats där allmänheten har tillträdeI det fall kamerabevakningen sker över en grannens tomt eller på en plats där allmänheten har tillträde måste kamerabevakningslagen och GDPR:s regler dock beaktas och följas.Enligt GDPR måste personuppgiftsbehandlingen (i detta fall kamerabevakningen) ske i enlighet med ett flertal principer, varav en innebär att bevakningen inte får vara för omfattande i relation till vad som är nödvändigt för att uppfylla syftet (artikel 5.c GDPR). Vidare uppställs krav på att det finns en rättslig grund för kamerabevakningen (artikel 6 GDPR). Den rättsliga grund som sannolikt kan komma att vara tillämplig i det fall du beskriver är s.k intresseavvägning (artikel 6.f GDPR). Detta innebär att kamerabevakningen som utgångspunkt är tillåten om det intresset av att kamerabevaka väger tyngre än intresset av att göra intrång i enskildas personliga integritet. Det krävs alltså primärt att den som utför kamerabevakningen har ett berättigat intresse av bevakningen. Krav på ett berättigat intresse följer även av kamerabevakningslagen (se 2 § kamerabevakningslagen). Det bör exempelvis anses vara ett sådant berättigat intresse om en fastighetsägare genom kamerabevakning vill identifiera personer som begår skadegörelse i dennes rabatter. Huruvida detta intresse kan anses väga tyngre än grannens eller allmänhetens intresse av integritet beror vidare på omständigheterna i det enskilda fallet. Integritetskränkningen bör exempelvis anses vara större när kamerabevakningen sker över en grannes tomt, än när den sker över en plats där allmänheten har tillträde. Jag vill här särskilt upplysa om att Datainspektionen i ett flertal fall har bedömt kamerabevakning över grannars tomt som olaglig enligt både GDPR och kamerabevakningslagen (se https://www.datainspektionen.se/nyheter/inte-tillatet-for-grannar-att-kamerabevaka-grannar/). Enligt kamerabevakningslagen uppställs inget krav på tillstånd för privatpersoner för kamerabevakning. Däremot uppställer både GDPR och kamerabevakningslagen omfattande krav på att informera om kamerabevakningen (se 15 § kamerabevakningslagen och bland annat artikel 12-15 GDPR).Sammanfattningsvis Sammanfattningsvis är det tillåtet att som privatperson utföra kamerabevakning över en grannes tomt eller en plats där allmänheten har tillträde, under förutsättning att kamerabevakningen sker i enlighet med reglerna i kamerabevakningslagen och GDPR. Kamerabevakningslagen uppställer som utgångspunkt inget krav på tillstånd för privatpersoner, men dock på att den som utför kamerabevakningen har ett berättigat intresse för att göra detta. Lagen uppställer också krav på att nödvändig information om kamerabevakningen lämnas.För att kamerabevakningen ska vara tillåten enligt GDPR krävs bland annat att principerna i artikel 5 GDPR är uppfyllda samt att det finns en rättslig grund för kamerabevakningen. Mot bakgrund av Datainspektionens beslut om att det inte är tillåtet för privatpersoner att utföra kamerabevakningen över grannars tomter, får möjligheterna till laglig kamerabevakning i dessa fall bedömas vara mycket små. Kamerabevakning över en plats där allmänheten har tillträde borde som utgångspunkt inte utgöra ett lika omfattande integritetsintrång och därmed bör möjligheterna till sådan kamerabevakning vara större.Eftersom frågan om huruvida kamerabevakning i det fall du beskriver är laglig är beroende av ett flertal omständigheter, råder jag dig att ta kontakt med en jurist alternativt ringa Lawlines kostnadsfria rådgivning för ytterligare rådgivning och vägledning.- Boka tid med en jurist för 1725 kr/h, ring oss på 08-533 300 04 och välj knappval 1.- Gratis telefonrådgivning, ring oss på 08-533 300 04 och välj knappval 2.Vänligen,