Kan jag begära skadestånd för att min operatör haft dataintrång?

2019-09-07 i PUL/GDPR
FRÅGA |Hej lawline.Min operatör har råkat ut för dataintrång där någon eller några har kommit åt mina personuppgifter med personnummer och min data trafik. Dem har väldigt lättsam inställning till detta när jag ringer in till kundtjänst. Jag är orolig på vad personer kan göra med mina uppgifter. Kan man begära något form av skadestånd. Då jag anser att dem borde ha bättre skydd på mina privata uppgifter. Tack
Dennis Lavesson |Hej och tack för att du vänder dig till oss på Lawline med din fråga!Ansvar och eventuell skadeståndsskyldighet styrs i ditt fall av dataskyddsförordningen (GDPR) och lagen med kompletterande bestämmelser till EU:s dataskyddsförordning.Dataskyddsförordningen ställer vissa krav vid behandling av personuppgifter. I kraven ingår bland annat att personuppgifter ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder (Art. 5.1f GDPR). Enligt art 24 GDPR ska det ske en riskbaserad ansats avseende riskerna för att säkerställas att behandlingen utförs i enlighet med dataskyddsförordningen. Vilka åtgärder som ska tas varierar efter en avvägning av riskerna vs konsekvenserna. Om risken är låg bör det tas rätt långtgående åtgärder ändå, samtidigt innebär det att om sannolikheten för risken är låg/försumbar och dessutom de negativa konsekvenserna för den registrerade är små/försumbara behöver det inte tas lika långtgående åtgärder. Tanken med den riskbaserade metoden är att det ska finnas en flexibilitet.Det du kan göra om du anser att din operatör inte behandlat dina personuppgifter i enlighet med GDPR i och med den läcka som uppstått är att du gör en anmälan till Dataskyddsinspektionen. Myndigheten kan granska företaget och även utdela höga sanktionsbelopp. Det finns även en möjlighet till civilrättsligt skadestånd i förordningen och dataskyddslagen. Varje person som lidit materiell eller immateriell skada till följd av en överträdelse av förordningen har rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet för den uppkomna skadan. Personuppgiftsansvarig är i det här fallet antagligen din operatör, medan ett personuppgiftsbiträde är sådan som behandlar personuppgifter åt den personuppgiftsansvarige (Art 82 GDPR och 7 kap. 1 § dataskyddslagen).Det finns i förordningen inga bestämmelser eller riktlinjer för att bedöma skadeståndets storlek. Det innebär att bedömningen kommer att behöva göras enligt nationell rätt. Det finns ännu ingen prövning av skadestånd i förhållande till GDPR i Sverige. Däremot har HD fastslagit principer för mer eller mindre normerat skadestånd vid överträdelser av personuppgiftslagen (PUL). I rättsfallet betraktades skadeståndet av domstolen som en kränkningsersättning som ska kompensera känslor hos den skadelidande och ge upprättelse. Domstolen uttalade att i fall som inte är allvarliga bör ersättningen inte överstiga 5.000 kronor, i mindre allvarliga fall fastslog domstolen ett schablonbelopp om 3.000 kronor (jfr NJA 2013 s. 1046).För att få skadestånd kan du i första hand höra av dig till din operatör och försöka komma överens. Det är den enklaste vägen då du slipper väntetid, att gå till domstol med förhoppning om att få rätt. Om ni inte kan komma överens är min rekommendation att du anlitar en jurist till hjälp som tittar närmre på ditt ärende. Om du behöver få kontakt med en av Lawlines för ändamålet och vill ha en offert samt boka tid, är du varmt välkommen att återkomma till mig per e-post på dennis.lavesson@lawline.se.Med vänliga hälsningar,

Vad är Lawlines rättsliga förpliktelser?

2019-08-04 i PUL/GDPR
FRÅGA |HejHar läst under era villkor, där står "era rättsliga förpliktelser" vad betyder det och vilka är förpliktelserna?
Dennis Lavesson |Hej och tack för att du vänder dig till oss på Lawline med din fråga!Jag utgår i mitt svar till dig att du syftar på Lawlines syfte för behandling av personuppgifter vari en av punkterna är att "För att kunna fullgöra Lawlines rättsliga förpliktelser". Enligt artikel 6.1 c i dataskyddsförordningen (GDPR) får personuppgifter behandlas om det är nödvändigt för att den personuppgiftsansvarige ska kunna uppfylla rättsliga skyldigheter. Det kan t.ex. röra sig om att behandla personuppgifter för att fullgöra krav att rapportera till Skatteverket eller andra myndigheter, att spara bokföringsdata enligt bokföringslagen osv.För närmre information om exakt vilka rättsliga skyldigheter Lawline har att uppfylla och vilka personuppgifter som därav behandlas, är du varmt välkommen att återkomma till oss per e-post på dataskydd@lawline.se.Med vänliga hälsningar,

Vad gäller först, GDPR eller dataskyddslagen?

2019-03-12 i PUL/GDPR
FRÅGA |Lexbase är en privat svensk databas med utgivningsbevis som innehåller ett omfattande register med fällande brottmålsdomar. Sådana register får enligt art. 10 i Dataskyddsförordningen (GDPR) inte föras utan kontroll av en myndighet. Art. 85.1 säger att medlemsstaterna ska i lag förena rätten till integritet enligt förordningen med yttrandefriheten. Det framgår av 1 kap. 7 § Dataskyddslagen att GDPR inte ska tillämpas i den utsträckning det skulle strida mot bl.a. yttrandefrihetsgrundlagen. Fråga:Om det föreligger motstrid mellan yttrandefrihetsgrundlagen och GDPR i fråga om tillåtligheten av en databas som Lexbase, ska svenska myndigheter och domstolar då tillämpa tryckfrihetsförordningen eller eller GDPR? Vilket har företräde, grundlag eller unionsrätten?
Dennis Lavesson |Hej och tack för att du vänder dig till oss på Lawline med din fråga!Unionsrätten har företräde framför svensk rätt, grundlag inkluderad. Däremot ger artikel 85 i dataskyddsförordningen GDPR medlemsstaterna möjlighet att göra undantag från reglerna om personuppgiftsbehandling om det är nödvändigt för att upprätthålla rätten till yttrandefrihet. Bestämmelsen i 1 kap. 7 § dataskyddslagen är endast ett förtydligande av reglerna i artikel 85 GDPR, dvs. att tryckfrihetsförordningen och yttrandefrihetsgrundlagen har företräde framför dataskyddsförordningen och dataskyddslagen.Vänligen,

Kan jag begära att tidningsartikel tas bort med stöd av GDPR?

2019-01-03 i PUL/GDPR
FRÅGA |När jag var 15 år gammal, jag intervjuades av en liten lokaltidning. Det var för ett par år sedan. Nu vill jag ångra mig och få bort artikeln från nätet. Jag undrar om den nya GDPR lagen hjälper mig i sådant fall? Eller om faktumet att jag var minderårig då spelar roll för tillåtelsens äkthet. Tack för hjälpen!
Dennis Lavesson |Hej och tack för att du vänder dig till oss på Lawline med din fråga!I dataskyddslagen framgår det uttryckligen att EU:s dataskyddsförordning (GDPR) inte ska tillämpas i den utsträckning det skulle strida mot tryckfrihetsförordningen (TF) eller yttrandefrihetsgrundlagen (YGL). Bestämmelsen står i överensstämmelse med dataskyddsförordningen i vilket medlemsstaterna tillåts göra undantag från reglerna om personuppgiftsbehandling, om det är nödvändigt för att upprätthålla rätten till yttrandefrihet (jfr Kap. 9, Art 85 GDPR). För att tidningen ska ha ett grundlagsskydd för sin publicering på internet krävs det att den har ett utgivningsbevis. För utgivningsbevis krävs bland annat att en ansvarig utgivare har utsetts och att överföringarna utgår från Sverige (jfr 1 kap. 9 § YGL). Massmedieföretag kan i vissa fall omfattas av ett automatiskt grundlagsskydd för sin databas med artiklar som publiceras över internet. I ett sådan fall behöver det inte göras en ansökan om utgivningsbevis utan det räcker med en anmälan om databasen.Lokaltidningen är sannolikt en grundlagsskyddad media varför du inte kan åberopa att artikeln ska tas bort med stöd av GDPR, oavsett om du var minderårig eller ej när den publicerades. Det står dig givetvis fritt att kontakta tidningen och fråga om de vill ta bort artikeln ändå.Hoppas du fått svar på din fråga och lycka till!Vänligen,

Kan jag få kompensation för läckta personuppgifter hos min teleoperatör?

2019-09-07 i PUL/GDPR
FRÅGA |Hej. Jag är kund hos en teleoperatör och fick precis veta att mina personuppgifter har läckt hos dem. Jag tycker de har varit oaktsamma med mina uppgifter. Kan jag kräva kompensation för den integritetskränkningen, för att de har dålig säkerhet dessa säljregister?
Dennis Lavesson |Hej och tack för att du vänder dig till oss på Lawline med din fråga!Ansvar och eventuell skadeståndsskyldighet styrs i ditt fall av dataskyddsförordningen (GDPR) och lagen med kompletterande bestämmelser till EU:s dataskyddsförordning.Dataskyddsförordningen ställer vissa krav vid behandling av personuppgifter. I kraven ingår bland annat att personuppgifter ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder (Art. 5.1f GDPR). Enligt art 24 GDPR ska det ske en riskbaserad ansats avseende riskerna för att säkerställas att behandlingen utförs i enlighet med dataskyddsförordningen. Vilka åtgärder som ska tas varierar efter en avvägning av riskerna vs konsekvenserna. Om risken är låg bör det tas rätt långtgående åtgärder ändå, samtidigt innebär det att om sannolikheten för risken är låg/försumbar och dessutom de negativa konsekvenserna för den registrerade är små/försumbara behöver det inte tas lika långtgående åtgärder. Tanken med den riskbaserade metoden är att det ska finnas en flexibilitet.Det du kan göra om du anser att din operatör inte behandlat dina personuppgifter i enlighet med GDPR i och med den läcka som uppstått är att du gör en anmälan till Dataskyddsinspektionen. Myndigheten kan granska företaget och även utdela höga sanktionsbelopp. Det finns även en möjlighet till civilrättsligt skadestånd i förordningen och dataskyddslagen. Varje person som lidit materiell eller immateriell skada till följd av en överträdelse av förordningen har rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet för den uppkomna skadan. Personuppgiftsansvarig är i det här fallet antagligen din operatör, medan ett personuppgiftsbiträde är sådan som behandlar personuppgifter åt den personuppgiftsansvarige (Art 82 GDPR och 7 kap. 1 § dataskyddslagen). Det finns i förordningen inga bestämmelser eller riktlinjer för att bedöma skadeståndets storlek. Det innebär att bedömningen kommer att behöva göras enligt nationell rätt. Det finns ännu ingen prövning av skadestånd i förhållande till GDPR i Sverige. Däremot har HD fastslagit principer för mer eller mindre normerat skadestånd vid överträdelser av personuppgiftslagen (PUL). I rättsfallet betraktades skadeståndet av domstolen som en kränkningsersättning som ska kompensera känslor hos den skadelidande och ge upprättelse. Domstolen uttalade att i fall som inte är allvarliga bör ersättningen inte överstiga 5.000 kronor, i mindre allvarliga fall fastslog domstolen ett schablonbelopp om 3.000 kronor (jfr NJA 2013 s. 1046).För att få skadestånd kan du i första hand höra av dig till din operatör och försöka komma överens. Det är den enklaste vägen då du slipper väntetid, att gå till domstol med förhoppning om att få rätt. Om ni inte kan komma överens är min rekommendation att du anlitar en jurist till hjälp som tittar närmre på ditt ärende. Om du behöver få kontakt med en av Lawlines för ändamålet och vill ha en offert samt boka tid, är du varmt välkommen att återkomma till mig per e-post på dennis.lavesson@lawline.se.Med vänliga hälsningar,

Strider TF och YGL mot GDPR?

2019-05-12 i PUL/GDPR
FRÅGA |Fråga aseende principen om unionsrättens företräde.Lexbase och MrKoll är omfattande register som innehåller uppgifter om fällande domar i brottmål.Bolagen har ett s.k. "frivilligt utgivningsbevis" som ger personuppgiftsbehandlingen grundlagsskydd. Av 1 kap. 7 § dataskyddslagen framgår att dataskyddslagen och EU:s dataskyddsförordning inte tillämpas i den utsträckning det skulle strida mot tryckfrihetsförordningen eller yttrandefrihetsgrundlagen. Jag har dock hört att bestämmelsen i 1 kap. 7 § inte får tillämpas eftersom den strider mot principen om unionsrättens företräde. Det korrekta ska enligt EU-rätten vara att tryckfrihetsförordningen och yttrandefrihetslagen inte får tillämpas om det skulle strida mot EU:s dataskyddsförordning. Fråga:Innebär principen om unionsrättens företräde att tryckfrihetsförordningen och yttrandefrihetsgrundlagen inte får tillämpas om det skulle strida mot EU:s dataskyddsförordning?
Dennis Lavesson |Hej och tack för att du vänder dig till oss på Lawline med din fråga!Unionsrätten har som utgångspunkt företräde framför svensk rätt, grundlag inkluderad. Däremot ger artikel 85 i dataskyddsförordningen GDPR medlemsstaterna möjlighet att göra undantag från reglerna om personuppgiftsbehandling om det är nödvändigt för att upprätthålla rätten till yttrandefrihet. Bestämmelsen i 1 kap. 7 § dataskyddslagen är endast ett förtydligande av reglerna i artikel 85 GDPR, dvs. att tryckfrihetsförordningen och yttrandefrihetsgrundlagen har företräde framför dataskyddsförordningen och dataskyddslagen.Det innebär således att eftersom dataskyddsförordningen GDPR ger medlemsstaterna rätt att göra undantag från reglerna för att upprätthålla rätten till yttrandefrihet ska tryckfrihetsförordningen och yttrandefrihetsgrundlagen gälla, trots att de annars skulle stridit mot förordningen.Vänligen,

Lyder Lexbase under GDPR sedan senaste grundlagsändringen?

2019-02-28 i PUL/GDPR
FRÅGA |Hej! I och med beslutade medialagändringen som trädde i kraft 1 jan 2019, har Lexbase fortfarande rätt publicera information brottsinformation eller lyder de nu per automatik under GDPR/PUL så man kan skicka en Cleansing-request till dom?Om de får publicera fortfarande, vad behöver nu ske för att de ska omfattas av GDPR/PUL?
Dennis Lavesson |Hej och tack för att du vänder dig till oss på Lawline med din fråga!UtredningPå senare år har det dykt upp en del hemsidor som publicerar information om enskilda, en av dessa är Lexbase. De uppgifter som i regel publiceras innefattar bland annat namn, adress, personnummer och eventuella domar. Uppgifterna som publiceras och/eller säljs hämtar företagen med stöd av offentlighetsprincipen. Alla uppgifter som publiceras är offentliga sådana. Såväl namn, adress, personnummer som domar från domstol är offentliga uppgifter som vem som helst kan begära ut från en myndighet.Hemsidorna har i regel beviljats utgivningsbevisDet som är gemensamt för de företag som publicerar uppgifter som dessa är att det i regel har ansökts om och beviljats ett s.k. utgivningsbevis. För ett utgivningsbevis krävs bland annat att en ansvarig utgivare har utsetts och att överföringarna utgår från Sverige (1 kap. 9 § Yttrandefrihetsgrundlagen, YGL). Hemsidor som har utgivningsbevis har ett grundlagsskydd som gör att de får publicera uppgifter som dessa så länge de inte begår ett yttrandefrihetsbrott. För att ett yttrandefrihetsbrott ska vara aktuellt krävs att det är särskilt angivet i grundlagen att det är förbjudet. Exempel på yttrandefrihetsbrott är t.ex. spioneri, hets mot folkgrupp och förtal (jfr 5 kap. 1 § YGL med hänvisning till Tryckfrihetsförordningen). Om ett yttrandefrihetsbrott blir aktuellt är det den ansvariga utgivaren som åtalas. Att publicera t.ex. personnummer, adress och domar är inte ett yttrandefrihetsbrott och därmed tillåtet.En hemsida med utgivningsbevis omfattas heller inte av dataskyddsförordningen GDPR. Förordningen tillåter att medlemsländerna gör undantag från reglerna om personuppgiftsbehandling om det är nödvändigt för att upprätthålla rätten till yttrandefrihet (Kapitel 9 Art. 85 GDPR). Det innebär att utgångspunkten är att hemsidan inte behöver ditt samtycke för att publicera uppgifterna och att du heller ej kan begära att de ska tas bort.Vad innebär ändring av grundlagen den 1 januari 2019?Den 1 januari 2019 ändrades yttrandefrihetsgrundlagen och tryckfrihetsförordningen vari det infördes bestämmelser innebärande en möjlighet att genom i lag meddela föreskrifter om förbud mot offentliggörande av vissa personuppgifter. Bestämmelsen gör det möjligt att i lag förbjuda att det offentliggörs uppgifter om bland annat etniskt ursprung, hudfärg, hälsa, sexualliv, sexuell läggning m.m. om personuppgifterna ingår i en uppgiftssamling som ordnats så det är möjligt att söka efter och sammanställa dem, samt det finns särskilda risker för otillbörliga intrång i den enskildes personliga integritet (jfr 1 kap. 20 § YGL).I den ursprungliga propositionen föreslogs det även att möjligheten att förbjuda ett offentliggörande av vissa personuppgifter skulle innefatta "att en enskild har begått lagöverträdelser genom brott, förekommer i fällande domar i brottmål eller har varit föremål för straffprocessuella tvångsmedel" (prop. 2017/18:49 s. 11). I konstitutionsutskottets betänkande om ändrade mediegrundlagar uttalade utskottet att söktjänster som tillhandahåller personuppgifter om lagöverträdelser m.m. utgör ett allvarligt ingrepp i enskildas personliga integritet, men att frågan om grundlagsskyddet ska begränsas bör utredas på nytt (bet. 2017/18:KU16 s. 40). Konstitutionsutskottet föreslog därmed att riksdagen skulle avslå införandet om en begränsning av personuppgifter hänförliga till lagöverträdelser och att riksdagen skulle ställa sig bakom att en utredning bör få i uppdrag att på nytt utreda frågan om att begränsa grundlagsskyddet för söktjänster som innehåller personuppgifter om att enskilda har begått lagöverträdelser, förekommer i fällande domar i brottmål eller har varit föremål för straffprocessuella tvångsmedel (bet. 2017/18:KU16 s. 5). Den 30 maj 2018 biföll riksdagen konstitutionsutskottets betänkande (Riksdagsskrivelse 2017/18:336). Lagändringen beslutades sedermera en andra gång den 14 november 2018 (Riksdagsskrivelse 2018/19:16). Beslutet innebar de ändringar som infördes den 1 januari 2019, dock infördes således inte möjligheten att genom lag begränsa personuppgifter om att någon begått lagöverträdelser eller förekommer i fällande domar i brottmål.Sammanfattning och svar på din frågaUppgifter om personnummer, namn, adress och eventuella brottmålsdomar är offentliga uppgifter som kan begäras ut från myndigheter. De hemsidor som publicerar sådan information har i regel ett utgivningsbevis innebärande att de har ett grundlagsskydd för publiceringen. Så länge hemsidorna inte begår ett yttrandefrihetsbrott är det lagligt att publicera uppgifterna. Publiceringen strider inte heller mot dataskyddsförordningen GDPR.Den lagändring som skedde den 1 januari innefattar inte en möjlighet att genom lag förbjuda publicering av personuppgifter som handlar om lagöverträdelser eller att en enskild förekommer i fällande domar i brottmål. Som svar på din fråga innebär det att hemsidor såsom Lexbase inte per automatik lyder under GDPR, söktjänsten är fortfarande undantagen med stöd av grundlagen. För att en hemsida som Lexbase ska omfattas av GDPR krävs antingen att (1) hemsidan av någon anledning förlorar sitt utgivningsbevis eller (2) att det efter en ny utredning bestäms om en ändring av grundlagen vari det införs en bestämmelse i likhet med den ursprungligen föreslagna.Hoppas du fått svar på din fråga. Om något skulle vara oklart är du varmt välkommen att återkomma till mig per e-post på dennis.lavesson@lawline.se.Med vänliga hälsningar,

Bryter företag som samlar in IP-adresser för att skicka kravbrev mot GDPR?

2018-07-28 i PUL/GDPR
FRÅGA |Det skrivs mycket om kravbrev som skickas från oseriösa advokatbyråer till människor som i brevet anklagas för fildelning. Hur fungerar den nya GDPR-lagen med dessa kravbrev?Personnumret har ju advokatfirmorna fått fram via operatören och domstolsbeslut och IP-adressen men själva ip-adressen ses ju som en personuppgift även den. Och den har samlats in utan domstolsbeslut.Bryter dessa företag mot lagen då de samlar in IP-adressen som de sedan skaffar domstolsbeslut på?
Dennis Lavesson |Hej och tack för att du vänder dig till oss på Lawline med din fråga.Du har rätt i det du skriver i din fråga; abonnentuppgifter såsom namn, personnummer m.m. får de advokatbyråer du åsyftar från operatören efter domstolsbeslut. Vidare har du rätt i att en IP-adress räknas som en personuppgift enligt dataskyddsförordningen GDPR.Laglig behandling enligt datadirektivet GDPREn behandling av personuppgifter är enligt Artikel 6 GDPR laglig om minst ett av nedanstående villkor är uppfyllda:1. Om den registrerade samtyckt till behandlingen.2. Om du har (eller tänker skaffa) ett avtal med den registrerade.3. Om personuppgiftsansvarig har en laglig skyldighet att lagra informationen.4. Om behandlingen är nödvändig för att skydda intressen som är av avgörande betydelse för den registrerades eller andra fysiska personers liv.5. Om behandlingen är nödvändig för att genomföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning6. Om den som bedriver verksamhet (eller en tredje part) har ett berättigat intresse av att hantera personuppgifterna. Under vissa omständigheter är det då möjligt att göra en intresseavvägning som ger rätt att hantera personuppgifterna utan samtycke.En intresseavvägning i jämförelse med IPREDRimligtvis kan en behandling och lagring av IP-adressen rättfärdigas utifrån den sjätte punkten. Det vill säg att det finns ett berättigat intresse att hantera personuppgiften och att det vid en intresseavvägning ges en rätt att hantera personuppgifterna utan samtycke. I den intresseavvägning som ska göras kan jämföras med att en sådan även ska göras enligt direktiv 2004/48/EG (det s.k. IPRED-direktivet). Införandet av IPRED-direktivet är anledningen till att operatörer kan åläggas att lämna ut abonnentuppgifter. Vid begäran om utlämning av abonnentuppgifter ska det göras en intresseavvägning och domstolen ska väga rättighetsinnehavarens behov av informationen mot andra intressen, bl.a. den enskildes integritet. Upp- och nedladdning av upphovsrättsligt skyddad film, musik m.m. är sådant som väger över till rättighetsinnehavarens fördel då det typiskt sett innebär stor skada för rättighetshavaren. Min bedömning är därav att vid en liknande intresseavvägning enligt dataskyddsförordningen GDPR kan lagringen av IP-adresser rättfärdigas.Hoppas du fått svar på din fråga!Vänligen,