Får vi sätta upp en kamera i ett låst flerbilsgarage?

2018-11-28 i PUL/GDPR
FRÅGA |Om vi är 4 personer som hyr ett låst utrymme i en del av ett flerbilsgarage får vi då sätta upp kamera som endast visar utrymmet/ garageplatserna i det låsta utrymmet?
Emilia Simu |Hej och tack för att du vänder dig till Lawline med din fråga!Regler om kamerabevakning finns i kamerabevakningslagen. Kamerabevakningslagen gäller inte för kamerabevakning som en fysisk person utför som ett led i en verksamhet av rent privat natur, eller som har samband med hans/hennes hushåll (5 § 1 punkten kamerabevakningslagen). Exempel på kamerabevakning av rent privat natur är bland annat kamerabevakning i en privat bostad eller i garage av den som bor där. Det vill säga, ni behöver inte vid er kamerabevakning av garaget beakta kamerabevakningslagens regler, förutsatt att kameran inte fångar en plats som allmänheten har tillgång till, att ni bevakar i egenskap av privatperson och att kamerabevakningen bedrivs som ett led i en verksamhet av rent privat natur. Er kamerabevakning är även undantagen från Dataskyddsförordningens (The General Data Protection Regulation tillämpningsområde) (Artikel 2, punkt 2 c Dataskyddsförordningen). Sammanfattningsvis får ni sätta upp en kamera som endast visar utrymmet/garageplatserna i det låsta utrymmet.Hoppas att du fick svar på din fråga.Vänliga hälsningar,

Kan jag stämma min hyresvärd om denne lämnar ut mitt telefonnummer?

2018-11-21 i PUL/GDPR
FRÅGA |Jag har sagt upp min lägenhet och hyresvärden lämnade ut mitt telefonnummer utan att fråga och hade då påstått för killen som ville titta på lägenheten att jag har skyldighet att visa lägenheten. Jag kontaktade då hyresvärden och sa till dem att jag inte har möjlighet att visa lägenheten då jag flyttat ganska långt bort. Jag sade även till hyresvärden att jag inte ville att de skulle lämna ut mitt telefonnummer. Vi kom då överens om att hyresvärden skulle gå in med huvudnyckeln och själva visa lägenheten. Nu har dock hyresvärden lämnat ut mitt telefonnummer igen och jag undrar om det finns någon möjlighet att stämma dem?
Liv Nyström |Hej och tack för att du vänder dig till Lawline med din fråga!Jag tolkar det som att din fråga gäller dels hyresgästs skyldighet att visa en hyresrätt, dels om en hyresvärd får lämna ut en hyresgästs telefonnummer. Hyresgästers skyldigheter regleras främst i 12 kap. jordabalken (JB) och reglering kring vad som gäller kring personuppgifter finns i dataskyddsförordningen (GDPR) . Mitt svar kommer således utgå från 12 kap. JB samt GDPR. Om du vill navigera i GDPR på en mer pedagogisk plattform så finns många svar på Datainspektionens hemsida. Har en hyresrätt en skyldighet att visa en lägenhet?En hyresgäst är skyldig att låta lägenheten visas. Detta innebär att hyresgästen är skyldig att låta hyresvärden visa lägenheten för en potentiell ny hyresgäst. Däremot är hyresgästen inte skyldig att själv visa lägenheten (12 kap. 26 § JB). Får en hyresvärd lämna ut en hyresgästs telefonnummer?En hyresgästs telefonnummer utgör en personuppgift (art. 4.1 och art. 5 GDPR). Det finns flera principer för hur en hyresvärd ska behandla personuppgifter som denne insamlat. Bl.a. ska uppgifterna behandlas på ett lagligt, korrekt och öppet sätt i förhållande till hyresgästen. Vidare ska uppgifterna samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med detta ändamål (art. 5.1 GDPR). Hyresvärden har en ansvarsskyldighet att visa att personuppgifterna behandlas korrekt (art. 5.2 GDPR).Det finns dock undantag för när personuppgifter får lämnas ut. Det som skulle kunna bli aktuellt i ditt fall är att hyresvärden får lämna ut ditt telefonnummer om du samtyckt till detta (art. 6 GDPR). Om hyresvärden begärt samtycke ska det ha skett på ett sätt som är klart och tydligt och så att frågan om samtycke kunde särskiljas från andra frågor i en begriplig och lätt tillgänglig form med klart och tydligt språk. Du har också rätt att ta tillbaka ett samtycke om hyresvärdens behandling av dina personuppgifter (art. 7 GDPR). Jag råder dig att läsa i ditt hyreskontrakt eller övriga kontrakt mellan dig och hyresvärden för att se om du där samtyckt till utlämning av telefonnummer. Om du inte samtyckt till utlämning av telefonnummer eller om förfrågan om samtycke inte framgår på ett tydligt sätt kan det få följder för hyresvärden. Oavsett, eftersom du bett din hyresvärd att inte lämna ut ditt numer men denne fortsatt göra det har hyresvärden brutit mot GDPR. Vilka följder kan det få om en hyresvärd bryter mot GDPR?Om ett bolag, förening, stiftelse eller organisation bryter mot GDPR kan det drabbas av böter och sanktionsavgifter om regelverket inte följs (art. 83 GDPR). Vidare kan privatpersoner kräva skadestånd för felaktigt behandlade personuppgifter (art. 82 GDPR). En sådan skadeståndstalan får föras enligt skadeståndslagen (SkL). Du måste då visa vilken skada som du lidit av att uppgiften lämnades ut. Det finns ännu inte några rättsfall som gör att jag kan svara mer precist på hur mycket skadestånd du kan få om du skulle vinna framgång med din skadeståndstalan, eftersom GDPR är relativt ny. Observera också att du måste betala dina och motpartens rättegångskostnader om du skulle förlora i domstolen. SammanfattningDå det är osäkert om du skulle vinna framgång med en skadeståndstalan råder jag dig att prata med din hyresvärd och berätta att du inte har någon skyldighet att visa lägenheten samt att denne bryter mot GDPR som lämnar ut ditt telefonnummer utan samtycke. Kanske kan ni nå en lösning i samförstånd. Om du vill stämma din hyresvärd och föra en skadeståndstalan mot din hyresvärd måste du skicka in en stämningsansökan till tingsrätten. Hur du gör kan du läsa mer om här. Om du enbart vill skicka in tips eller klagomål som eventuellt leder till en tillsyn och sanktionsavgifter (alltså straffavgifter som betalas till staten), gör du det till att Datainspektionen. Hoppas du fick svar på din fråga!Vänliga hälsningar,

Skyddade personuppgifter

2018-11-16 i PUL/GDPR
FRÅGA |HejHar skyddat identitet. Har Lexbase rätt att publicera mitt namn?
Galina Krasteva |Tack för att du vänder dig till Lawline med din fråga!Allmänna handlingar och sekretessDin fråga handlar om publicering av skyddade personuppgifter på rättsdatabasen Lexbase. I databasen finns domar från svenska domstolar i brott- och tvistemål. Domar utgör allmänna handlingar enligt 2 kap. Tryckfrihetsförordningen (här). Alla har rätt att ta del av dessa handlingar såvida de inte är skyddade av sekretess. Folkbokföringsuppgifter, t.ex. personnummer, namn och adress, är normalt också offentliga. Detta innebär att var och en har rätt att få ta del av dessa uppgifter. I vissa fall kan personuppgifterna skyddas om det av särskild anledning kan antas att en person eller någon närstående kan lida skada eller men om uppgifter om personen lämnas ut (22 kap. 1 § offentlighets- och sekretesslagen).Skyddad identitet är i Sverige en metod för att skydda personer som är utsatta för ett konkret och allvarligt hot. Begreppet skyddade personuppgifter är en samlingsrubrik som Skatteverket använder för de olika skyddsåtgärderna sekretessmarkering, kvarskrivning och fingerade personuppgifter. Sekretessmarkering och kvarskrivning kan du ansöka om hos Skatteverket.Om du har sekretessmarkering är dina personliga uppgifter i databasen hos Skatteverket och andra myndigheter markerade med sekretess. Din sekretessmarkering överförs automatiskt till de flesta myndigheter, kommuner och landsting via Skatteverkets folkbokföringssystem. Det innebär att de ser sekretessmarkeringen och ska alltid göra en noggrann prövning innan dina uppgifter möjligen lämnas ut (35 kap. offentlighets- och sekretesslagen). En sekretessmarkering innebär dock inte någon absolut sekretess. Vid en begäran om utlämnande av personuppgifter ska myndigheten göra en självständig sekretessbedömning. Vid bedömningen kan myndigheten komma fram till att uppgifterna ska lämnas ut. En personuppgift som omfattas av sekretess hos en myndighet kan bli offentlig om den tas in i t.ex. en dom, ett protokoll eller annat beslut (43 kap. 8 § offentlighets- och sekretesslagen).Sammantaget bör en person med sekretessmarkerade personuppgifter vara mycket noga med att själv kontrollera om en uppgift som lämnas är sekretesskyddad hos myndigheten.Den ligger också ett ansvar på den enskilde att själv upplysa om eventuell sekretessmarkering eftersom det inte åligger en myndighet att utan anledning kontrollera om en person har sekretessmarkering i folkbokföringen (Se Skatteverkets vägledning för hantering av sekretessmarkerade personuppgifter i offentlig förvaltning).Yttrandefrihet och utgivningsbevis År 2003 infördes möjligheten för företag och andra enskilda att ansöka om utgivningsbevis för databaser och på så vis komma att omfattas av det särskilda skydd för yttrandefriheten som yttrandefrihetsgrundlagen (här) innebär. Lexbase har utgivningsbevis enligt 1 kap. 9 § yttrandefrihetsgrundlagen (Se utgivningsbeviset här). Hemsidor som har utgivningsbevis har ett grundlagsskydd som gör att de inte omfattas av dataskyddsförordningen (GDPR). Förordningen tillåter att medlemsländerna gör undantag från reglerna om personuppgiftsbehandling om det är nödvändigt för att upprätthålla rätten till yttrandefrihet (art. 85 GDPR). Från den 1 januari 2019 föreslås en bestämmelse införas i tryckfrihetsförordningen och yttrandefrihetsgrundlagen som gör det möjligt att i annan lag begränsa grundlagsskyddet för vissa söktjänster som innehåller personuppgifter av särskilt integritetskänslig karaktär (prop. 2017/18:49 s.144). Tanken är att reglera om förbud mot offentliggörande av personuppgifter som bl.a. avslöjar om att en enskild har begått lagöverträdelser genom brott, förekommer i fällande domar i brottmål eller varit föremål för straffprocessuella tvångsmedel. Följden av lagändringen blir att databaser som Lexbase inte längre kan skyddas av utgivningsbevis, med följden att t.ex. Dataskyddsförordningens (GDPR) regler avseende personuppgiftsbehandling ska gälla för en sådan databas/söktjänst. Informationen som är sökbar i Lexbase hämtas in från svenska myndigheter och publiceras på det sätt som myndigheterna har upprättat dokumenten, d.v.s. Lexbase har inte manipulerat eller censurerat informationen. Dokumenten innehåller samtliga uppgifter som myndigheterna har registrerat om personen eller företaget. Det betyder att myndigheten som har lämnat ut dina skyddade personuppgifter till Lexbase har gjort bedömningen att uppgifterna ska bli offentliga. Min rekommendation är att du noggrant ska undersöka och kontrollera om dina uppgifter som har lämnats ut är sekretesskyddade hos de mottagande myndigheterna. Personuppgifter, inkl. sekretessmarkeringen, aviseras från Skatteverket till andra myndigheter. Mottagande myndighet väljer själv hur den ska hantera sekretessmarkerade personuppgifter i sina system. Därför måste du upplysa om eventuell sekretessmarkering de respektive myndigheterna som inte har skyldigheten att kontrollera sådan information.Jag hoppas att du har fått svar på din fråga! Med vänliga hälsningar

Olovlig behandling av personuppgifter när ett företag visar ett CV med personnummer för de anställda

2018-11-15 i PUL/GDPR
FRÅGA |Hej sökte ett jobb på arbete 1 la in ansökan och godkände villkoren på nätet. arbete 2 ville se mitt cv och fick då mitt cv från arbete 1, arbete 2 tog då mitt cv och visade till medarbetare på avdelningen så dom kunde tycka till,Har inte godkänt att arbete 2 skulle få visa mitt cv vidare. På mitt cv så var personnr med från två olika länder, mitt telefon nr adress och fruns nr.Tog upp detta med arbete 2 men försökte förminska allt genom att säga att det var ingen som uppfattade ditt person nr med mera. Och tog det inte så allvarligt. Jag skulle bara ta det lungt.Hur går jag vidare, eller vem kontaktar jag?Vad jag kan ha för fördel o gå vidare?
Veronica Borg |Hej, tack för att du vänder dig till Lawline med din fråga!Det var inte okej att arbete 2 visade dina personuppgifterDet arbete 2 gjorde var att sprida dina personuppgifter. Detta regleras av dataskyddsförordningen (GDPR).För att få behandla personuppgifter krävs det att det finns en rättslig grund (art 6 GDPR). Då du nämner att du inte har samtyckt till detta kan inte samtycke användas som en rättslig grund. Det finns dock andra rättsliga grunder i GDPR, här är det den rättsliga grunden intresseavvägning som är mest relevant. Behandlingen är enligt denna grund endast okej om den var nödvändig med hänsyn till företagets berättigade intresse; och dina friheter och rättigheter inte kan anses väga tyngre. Med hänsyn till omständigheterna, och främst det faktum att personnummer kan anses vara extra känsliga personuppgifter, anser jag att företaget inte hade någon rättslig grund för att visa dina personuppgifter för andra på avdelningen. Detta innebär att behandlingen var olaglig. Du ska vända dig till DatainspektionenÖverträdelser av dataskyddsförordningen ska anmälas till Datainspektionen. Du kan göra det här: https://www.datainspektionen.se/vagledningar/for-dig-som-privatperson/klagomal-och-tips/Du kan ha rätt till skadeståndDen fördel du kan ha av att ta saken vidare är att du kan ha rätt till skadestånd för den materiella skadan du lidit till följd av denna överträdelse (art 82 GDPR).Jag hoppas du fick svar på dina frågor!Med vänliga hälsningar,

Personuppgifter om barn

2018-11-22 i PUL/GDPR
FRÅGA |Företaget Freemovr i Norrköping begär att alla barn som ska var med på ett barnkalas där i nästa vecka ska uppge sina fullständiga personuppgifter.Har de laglig rätt att göra det?
Galina Krasteva |Tack för att du vänder dig till Lawline med din fråga! Din fråga handlar om behandling av personuppgifter som regleras i Europeiska unionens dataskyddsförordning (GDPR). Ett av syftena med dataskyddsförordningen (GDPR) är att skydda enskildas grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. Personuppgifter är all slags information som kan knytas till en levande person. Det kan röra sig om namn, adress och personnummer. Även foton på personer klassas som personuppgifter (art. 4 p.1 GDPR). Personuppgifter om barn anses särskilt skyddsvärda i dataskyddsförordningen eftersom barn kan ha svårare att förutse riskerna med att lämna ifrån sig uppgifter och att förstå vilken rätt till skydd för sina uppgifter som de har.All behandling av personuppgifter måste uppfylla kraven som ställs i dataskyddsförordningen. Företaget Freemovr blir i det här fallet personuppgiftsansvarig och måste ha stöd i dataskyddsförordningen för att få behandla barnens personuppgifter. Företaget får endast samla in personuppgifter för specifika, särskilt angivna mål. Dessutom ska Freemovr skydda uppgifterna och inte behandla fler personuppgifter än vad som behövs i ändamålen (art. 5 GDPR).Ändamålet för behandlingen av barnens personuppgifter är själva barnkalaset. Freemovr vill i detta fall behandla fler personuppgifter än vad som behövs för barnkalaset. Till fullständiga personuppgifter räknas bl.a. namn, adress och personnummer. Barnen behöver inte uppge sina personnummer för att vara med på barnkalaset. Barnens namn och föräldrarnas telefon för kontakt är tillräcklig information för att genomföra ett barnkalas. Företaget har alltså inte uppfyllt kravet på behandling av personuppgifter som ställs i dataskyddsförordningen.Det bör tilläggas att Freemovr måste ha en rättslig grund, för att kunna behandla personuppgifter om barn (art. 6 GDPR). Samtycke som rättslig grund aktualiseras i det här fallet. Personuppgifter får hanteras om personen i fråga har samtyckt till det. Samtycket måste vara frivilligt, avse just det särskilda syfte som uppgifterna samlas in för och det får inte råda någon tvekan om att personen samtycker till att uppgifterna behandlas. Den som samtycker måste också först ha fått sådan information om behandlingen att man förstår vad det är man samtycker till. När det gäller barn måste man vara extra vaksam på att barnet har förmåga att förstå och samtycka till behandlingen.Om man erbjuder onlinetjänster till barn och då hämtar in personuppgifter med stöd av samtycke, krävs det att samtycket hämtas in från barnets vårdnadshavare om barnet är under 13 år. Detta gäller insamling av uppgifter om barn som bor i Sverige (art. 8 GDPR). Åldersgränsen gäller uttryckligen för onlinetjänster. I andra situationer finns det ingen särskilt angiven åldersgräns men det krävs förstås alltid att barnet har förmåga att förstå vad det samtycker till för att samtycket ska vara giltigt. När det gäller barn under 13 år bör alltid vårdnadshavarens samtycke inhämtas. Företaget Freemovr kan samla in och behandla på olika sätt barnens personuppgifter endast om det hämtar ett frivilligt och uttryckligt samtycke från föräldrarna eller från barnen (om barnet är över 13 år). Dessutom har barnen rätt att t.ex. få information om personuppgiftsbehandlingen, att få tillgång till sina uppgifter, att få uppgifter rättade eller borttagna och att få skadestånd vid felaktig behandling (art. 12-22 GDPR). Dessa rättigheter kan göras gällande av barnet självt eller av en vårdnadshavare beroende på barnets ålder.Sammanfattningsvis kan sägas att Freemovr kan begära barnens personuppgifter för barnkalas:- om företaget endast samlar in personuppgifter med syfte att genomföra ett barnkalas.- om företaget inte behandlar fler personuppgifter än vad som behövs för kalaset. Personnummer utgör en extra skyddsvärd personuppgift och bör exponeras så lite som möjligt. Tillräckliga personuppgifter för barnkalas kan vara barnets namn och föräldrarnas telefonnummer.- om företaget skyddar personuppgifterna så att inte obehöriga får tillgång till dem och så att de inte förloras eller förstörs.- om företaget hämtar frivilligt och uttryckligt samtycke från föräldrarna eller från barnen.- om företaget ger fullständig och tydlig information om personuppgiftsbehandlingen.Jag hoppas att du har fått svar på din fråga! Med vänliga hälsningar

Är det tillåtet att Radiotjänst tar ut avgift för tv licens som sträcker sig till 2019 när dom vet att licensen upphör 31/12-2018 ?

2018-11-16 i TV-licens
FRÅGA |Är det tillåtet att Radiotjänst tar ut avgift för tv licens som sträcker sig till juni 2019 när dom vet att licensen upphör 31/12-2018 ?På deras hemsida står det att man skall betala avgiften och att dom justerar den i början på året men om man adderar den summan på alla som betaler i Sverige blir det astronomiska summor vilket dom kan dra fördel av räntemässigt tills den blir åtrebetald, våra pengar. För mig känns det enda riktiga att dom skickar ut en ny faktura som avser betalning fram tills 31/12-2018.
Jonna Johansson |Hej och tack för att du vänder dig till Lawline med din fråga!Vilka fakturor för tv-licensen ska jag betala?Radiotjänsten har gått ut med information gällande de nya bestämmelser. Deras hemsida hittar du här. Om du har fått ett samlat fakturautskick med flera inbetalningskort ska du inte betala de fakturor som har en förfallodag 2019. Om du har en samlad faktura som avser tidsperiod för såväl 2018-2019 som ska inbetalas år 2018 ska du betala denna som vanligt. Beloppen avseende 2019 kommer sedan att återbetalas till dig successivt. Om du redan har betalt avgiften för en period i 2019 kommer även den att återbetalas. Får radiotjänsten ta ut avgift som sträcker sig till 2019?Radiotjänst har valt att tillämpa ett system med återbetalningar. Att tv-avgiften skulle ändras var inget de säkert visste när de skickade ut fakturorna. Att hinna skicka ut nya fakturor med förfallodatum i december och stryka redan utskickade fakturor innebär förmodligen ett stort merarbete varav återbetalningssystemet valts. Det radiotjänsten ska göra/gör är alltså tillåtet. Jag hoppas du fick svar på din fråga!Med vänliga hälsningar

Får min arbetsgivare läsa min mail?

2018-11-16 i PUL/GDPR
FRÅGA |Min arbetsgivare har dels varit inne i min jobbmail och övervakat samt raderat minst ett mail. Detta mail kom från ett företag i samma bransch där informationen i mailet var att de önskade komma i kontakt med mig för att jag var referens åt en kollega till mig som sökt jobb hos det konkurrerande företaget.Vi har ingen policy som säger att arbetsgivaren får vara inne i anställdas mail och ingen info har gått till mig att mailet raderats eller att de övervakar min mail(de vet inte att jag vet). Är detta lagligt? Om ej, vad kan påföljden bli?Sedan har de kommit åt min privata hotmail och löpande övervakat den bla för att kontrollera mina kontakter med facket eftersom jag ligger i tvist med arbetsgivaren.De har också varit inne på min LinkedIn profil och läst mina konversationer där.Detta bör vara olagligt, och vad bör konsekvenserna för detta bli för företaget?Hur bör jag gå vidare juriskt med ovanstående case?
Veronica Borg |Hej och tack för att du vänder dig till Lawline med din fråga.Arbetsgivarens handlingar strider mot dataskyddsförordningen Det du beskriver gäller behandling av personuppgifter, detta innebär att dataskyddsförordningen (GDPR) är tillämplig. För att få behandla personuppgifter krävs att företaget har en rättslig grund (art 6 GDPR). Den enda grunden som skulle kunna vara tillämplig här är intresseavvägning. Enligt denna grund är en behandling laglig om behandlingen var nödvändig och företaget hade ett berättigat intresse av att genomföra behandlingen. Vidare får inte dina rättigheter och friheter anses väga tyngre än företagets berättigade intresse. Med hänsyn till att ni inte har någon policy, att arbetsgivaren raderat mail, att de har gått in i din privata mail samt din Linkedin kan denna grund dock inte anses vara uppfylld. Dessutom räknas dina konversationer med facket som känsliga personuppgifter, vilket innebär att de har ett ännu högre skyddsvärde (art 9 GDPR). Detta innebär att behandlingen var olaglig. Du bör vända dig till DatainspektionenVid överträdelser av dataskyddsförordningen bör du vända dig till Dataskyddsförordningen.Du kan ha rätt till skadeståndDu kan ha rätt till skadestånd för den materiella eller immateriella skada som du har lidit till följd av din arbetsgivares överträdelser av dataskyddsförordningen (art 82 GDPR). Företaget kan också åläggas administrativa sanktionsavgifter (art 83 GDPR).Jag hoppas du fick svar på dina frågor och att allt löser sig! Om du behöver mer rådgivning får du gärna vända dig till någon av våra andra tjänster:- Gratis telefonrådgivning, ring oss på 08-533 300 04 och välj knappval 2.- Ställ en expressfråga och få garanterat svar inom tre dagar för 995 kr,klicka här ( lägg in https://www.lawline.se/ask_a_question)- Ställ en expressfråga och få garanterat svar inom 24 h för 1495 kr,klicka här ( lägg in https://www.lawline.se/ask_a_question)- Boka tid med en jurist för 1677,50 kr/h, ring oss på 08-533 300 04 ochvälj knappval 1.Med vänliga hälsningar,

Att uppge personnummer i kassan

2018-11-13 i PUL/GDPR
FRÅGA |I flera butiker har jag blivit nekad till att uppge mitt personnummer muntligt och personen i kassan har alltid hänvisat detta till "den nya lagen, GDPR". Jag har sökt på nätet och försökt hitta grund för detta men finner inget. Vart i GDPR detta står detta och har butikerna rätt till att neka till detta? Det har alltså hänt i två situationer:Situation 1: Glömt ID-handling hemma och vill registrera bonus genom att uppge mitt personnummer. Situation 2: Visat sambons ID-handling för att samla på bonuspoäng för varorna som har köpts. En kassörska var okej med att ta emot mobilnummer för att kunna identifiera mig. Är det någon skillnad när man uppger personnummer och mobilnummer i GDPR?
Galina Krasteva |Tack för att du vänder dig till Lawline med din fråga!Frågan handlar om behandling av personuppgifter som regleras i Dataskyddsförordningen (GDPR).Med personuppgifter avses varje upplysning som avser en identifierad eller identifierbar fysisk person. Avgörande är att uppgiften, enskilt eller i kombination med andra uppgifter, kan knytas till en levande person. Typiska personuppgifter är personnummer, namn och adress (artikel 4 p.1 GDPR). Ditt personnummer utgör alltså en personuppgift som skyddas av GDPR.Alla former av åtgärder med personuppgifter är personuppgiftsbehandling, till exempel insamling, registrering, organisering, ändring, spridning eller tillhandahållande på annat sätt, begränsning, radering eller förstöring. De som jobbar i butiken behandlar dina personuppgifter och de måste följa bestämmelserna i GDPR. De som behandlar dina personuppgifter kallas för personuppgiftsansvariga eller personuppgiftsbiträden. I det här fallet utgör butikens företrädare personuppgiftsbiträden som har skyldighet att se till att hanteringen av dina personuppgifter sker i enlighet med bestämmelserna i GDPR. De måste exempelvis behandla dina personuppgifter på ett lagligt, korrekt sätt (artikel 5 GDPR). Dessutom måste personuppgiftsbiträden ha en rättslig grund för behandlingen, t.ex. ditt samtycke (artikel 6). Det faktum att du vill ange ditt personnummer visar att du har sagt "ja" till hanteringen av dina personuppgifter.Det bör beaktas att du i din egenskap av registrerad (se art.4 p.1 GDPR) har ett antal rättigheter enligt GDPR. Dessa rättigheter innebär i korthet att du ska få information om hur dina personuppgifter behandlas. I det här fallet har du blivit informerat om att du inte får säga högt ditt personnummer eftersom detta strider mot GDPR. Det finns ingen regel i GDPR som säger att man kan bli nekad att namnge sitt personnummer. Det framgår dock indirekt av bestämmelserna i GDPR att personuppgiftsansvariga och personuppgiftsbiträden har särskilda skyldigheter att vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med GDPR (se t.ex. art.28 GDPR). Att säga högt ditt personnummer utgör en säkerhetsrisk och hot mot din personliga integritet och de som behandlar dina personuppgifter måste vidta åtgärder för att minimera risken och hantera den på bästa sätt. Därför kan anses som lämplig åtgärd för personuppgiftsbiträden att neka kunden att uppge sitt personnummer muntligen och istället att kräva legitimation för att exempelvis samla bonuspoäng. Det bör tilläggas att Sverige har valt att ha ett särskilt skydd för personnummer (art. 87 GDPR). Därför bör man exponera personnummer så lite som möjligt. Behandlingen av personnummer bör vara restriktiv och man måste göra en intresseavvägning mellan behovet av behandlingen och de integritetsrisker som den innebär. Då ska personuppgiftsbiträden särskilt tänka på om syftet med behandlingen kan uppnås på ett annat sätt. I detta fall genom krav på uppvisande av legitimation. Telefonnummer kan vara personuppgift enligt artikel 4 GDPR om det pekar ut eller används ihop med uppgifter om en identifierad eller identifierbar fysisk person. Telefonnumret kan alltså skyddas av GDPR om det kan användas för att identifiera en person. I det här fallet kan butikens företrädare neka till att ta emot mobilnummer om det kan knytas till personen i fråga. Det bör dock framhållas att personnumret är en extra skyddsvärd personuppgift och dess behandling bör vara mer restriktiv i jämförelse med behandlingen av mobilnummer.Jag hoppas att svaret var till hjälp! Behöver du vidare hjälp är du välkommen att kontakta oss på tfn 08-533 300 04 (måndag till fredag 10:00–16:00) eller maila oss på info@lawline.se.Med vänliga hälsningar,