Hur avgörs det om en skola ska få införa kamerabevakning?

2021-08-26 i PUL/GDPR
FRÅGA |Jag undrar hur det kan komma sig att vissa skolor/kommuner infört kameraövervakning på sina skolor medan andra kommuner hävdar att det strider mot diverse lagar, GDPR mm? Vilka lagrum/lagtexter gäller för detta område? Hur kan kommuner göra så olika tolkningar?
Temra Baydono |Hej, och stort tack för att du vänder dig till Lawline med din fråga! Jag tolkar din fråga som att du undrar varför vissa skolor kan införa kamerabevakning medan andra skolor inte kan det utan att strida mot lagen. Regler om detta finns i dataskyddsförordningen (GDPR) samt kamerabevakningslagen och det är dessa lagar jag kommer att använda mig av när jag besvarar din fråga. Intresseavvägning som rättslig grund och berättigat intresseAv artikel 6 GDPR framgår vilka rättsliga grunder som krävs för att en hantering av personuppgifter ska vara förenlig med GDPR. En sådan rättslig grund är intresseavvägning (artikel 6.1f GDPR). För att denna rättsliga grund ska vara tillämplig krävs ett berättigat intresse. Ett sådant berättigat intresse kan till exempel vara att man vill förebygga, förhindra eller upptäcka brottslig verksamhet som pågår på skolan (8 § andra stycket kamerabevakningslagen). Det måste alltså finnas ett riktigt problem på skolan och det är inte förenligt med GDPR att sätta upp kameror utan att det finns ett riktigt problem. Så fungerar en intresseavvägningOm man kommer fram till att det finns ett berättigat intresse, måste även en intresseavvägning göras för att se om kamerabevakningen är tillåten. Då väger man det berättigade intresset som skolan har av att kamerabevaka, till exempel att upptäcka brottslig verksamhet, mot integritetsintresset, dvs det intresse som barn och vuxna på skolan har av att inte kamerabevakas. Vid bedömningen av intresset av att inte bli kamerabevakad ska det särskilt beaktas hur bevakningen ska utföras, om teknik som främjar skyddet av den enskildes personliga integritet ska användas och vilket område som ska bevakas (8 § tredje stycket kamerabevakningslagen). Vid intresseavvägningen måste det berättigade syftet väga tyngre än integritetsintresset för att kamerabevakningen på skolan ska vara tillåten enligt GDPR och kamerabevakningslagen. Se även integritetsskyddsmyndighetens (IMY) hemsida för vidare info. SammanfattningAnledningen till att vissa skolor kan införa kamerabevakning medan andra inte kan det, är att det krävs ett berättigat intresse för att få kamerabevaka. Ett sådant intresse kan till exempel vara att upptäcka brottslig verksamhet på skolan. Det måste finnas ett verkligt problem på skolan för att det ska vara tillåtet att kamerabevaka. Om skolan i fråga har ett sådant berättigat intresse, måste detta intresse väga tyngre än integritetsintresset för att kamerabevakningen ska vara förenligt med GDPR och kamerabevakningslagen. Jag hoppas att detta var till hjälp och om du skulle ha några ytterligare frågor är det bara att du hör av dig till oss på nytt! Med Vänliga Hälsningar,

Hur förhåller sig den svenska offentlighetsprincipen till GDPR?

2021-05-24 i PUL/GDPR
FRÅGA |Hej! Jag har hört att många tycker inte att Sverige lever upp till EU:s GDPR lag eftersom människors integritet och privatliv är offentlig handling. Exempelvis folkbokföringsadress, namnbyten, inkomst etc. Och inte tala om alla offentliga hemsidor som mrkoll som lägger ut information om människor. Hur rimmar detta med GDPR? Finns det ingen lagförslag om att göra dessa handlingar sekretessbelagda? Stämmer det att Sverige har fått tagit emot mycket kritik från EU pga våran offentlighetsprincip?
Temra Baydono |Hej, och stort tack för att du vänder dig till Lawline med din fråga! Jag tolkar din fråga som att du undrar hur den svenska offentlighetsprincipen förhåller sig till dataskyddsförordningen (GDPR), om offentlighetsprincipen är föremål för kritik i detta hänseende, samt om det finns något lagförslag om att sekretessbelägga folkbokföringsadress, inkomst m.m. Hur förhåller sig offentlighetsprincipen till GDPR?Offentlighetsprincipen är en grundläggande princip för Sveriges statsskick. Principen finns uttryckt i 2 kap. 1 § Tryckfrihetsförordningen (TF) som är en av våra grundlagar, där stadgas det bland annat att var och en har rätt att ta del av allmänna handlingar. Av 2 kap. 2 § TF framgår det att denna rätt att ta del av allmänna handlingar kan begränsas med hänsyn till bland annat skyddet för enskildas personliga eller ekonomiska förhållanden. Det framgår vidare att en sådan begränsning av rätten att ta del av allmänna handlingar ska anges noga i en bestämmelse i särskild lag, denna särskilda lag är offentlighets- och sekretesslagen (OSL). EU:s dataskyddsförordning (GDPR) är implementerad i svensk lag genom lagen med kompletterande bestämmelser om till EU:s dataskyddsförordning, även kallad dataskyddslagen (DSL). Förhållandet mellan offentlighetsprincipen och GDPR tar sig bland annat i uttryck genom att det i 1 kap. 7 § DSL sägs att EU:s dataskyddsförordning inte får tillämpas i den utsträckning som den skulle strida mot Tryckfrihetsförordningen. Som nämnt finns begränsningar av offentlighetsprincipen vilka framgår av offentlighets- och sekretesslagen (OSL). Av 21 kap. 7 § OSL framgår att sekretess gäller för en personuppgift om det kan antas att uppgiften efter ett utlämnande kommer att behandlas i strid med GDPR. Detta innebär en skyldighet att genomföra en sekretessprövning innan handlingen eller uppgiften kan lämnas ut. I Sverige anser vi alltså generellt sett att en personuppgift som ingår i en allmän handling kan vägras att lämnas ut endast om den är sekretessbelagd. Får Sverige ta emot kritik för offentlighetsprincipen?Offentlighetsprincipen har en stark ställning i svensk rätt och Sverige kan sägas ha en långtgående rätt att ta del av allmänna handlingar i jämförelse med många andra länder. I vissa fall kan detta leda till att Sverige kan hamna i konflikt med EU-rätten därför att vi ger ut mer information än vad många andra länder gör. Till exempel stadgar artikel 8 i EU:s rättighetsstadga att var och en har rätt till skydd av de personuppgifter som rör honom eller henne, vilket inte alltid går ihop med den starka ställning som offentlighetsprincipen har i Sverige. Finns det något lagförslag om att sekretessbelägga vissa personliga uppgifter?Som nämnt finns idag offentlighets- och sekretesslagen som syftar till att sekretessbelägga bland annat vissa personliga uppgifter, vilket sker efter sekretessprövningar i varje enskilt fall. Vidare trädde GDPR i kraft den 25 maj 2018 och innebar bland annat hårdare krav på hantering av personuppgifter samt ersatte den tidigare svenska personuppgiftslagen (PUL). SammanfattningSammanfattningsvis gäller sekretess för en personlig uppgift om uppgiften efter ett utlämnande skulle komma att behandlas i strid med GDPR. Detta är alltså Sveriges sätt att leva upp till GDPR och man kan säga att det ska ske en balansering av behovet av handlingsoffentlighet och behovet av sekretess för den personliga integriteten. Offentlighetsprincipen har en stark ställning i Sverige i jämförelse med många andra länder och vår hantering av personuppgifter kan därför hamna i konflikt med EU-rätten. Vi har idag offentlighets- och sekretesslagen som syftar till att sekretessbelägga bland annat personliga uppgifter samt GDPR som trädde i kraft år 2018 och innebär generellt hårdare krav på hantering av personuppgifter. Om du skulle ha några ytterligare frågor är det bara att du hör av dig till oss på nytt! Vänliga Hälsningar,

Är det förenligt med GDPR att fotografera ett fotbollslag på fritiden?

2021-08-19 i PUL/GDPR
FRÅGA |Får jag följa med och fotografera min fru och hennes fotbollslag och sedan skicka bilderna till lagen som spelade? eller bryter detta mot ''GDPR''?Den fotograferingen gör jag som en hobby men håller även på att starta upp en enskilld firma där jag ska syssla med bland annat bröllopsfotografering om det påverkar något? Måste jag ha tillstånd från alla som kan ha hamnat på bild innan jag skickar bildrna till lagen? inklusive publik?
Temra Baydono |Hej, och stort tack för att du vänder dig till Lawline med din fråga! Jag tolkar din fråga som att du undrar om det är förenligt med GDPR att fotografera ett fotbollslag för att sedan skicka bilderna till laget, i form av en hobbyverksamhet. Jag kommer att använda mig av dataskyddsförordningen (GDPR) när jag besvarar din fråga. På riksidrottsförbundets hemsida finns vidare en checklista för bildhantering inom idrottsrörelsen. Även denna kommer jag att ta vägledning av. Är GRPR tillämplig?Till att börja med vill jag nämna att GDPR inte är tillämplig på behandling av personuppgifter som en fysisk person utför som ett led i verksamhet av rent privat natur eller som har samband med hans eller hennes hushåll (artikel 2.2c GDPR). Eftersom att du skickar vidare bilderna till fotbollslagen, blir hanteringen av bilderna inte helt privat. Bilderna är en form av personuppgift och fotograferingen är en form av behandling av personuppgifter (artikel 4.1 och 4.2 GDPR). GDPR är därför tillämplig på din fråga. Är bildhanteringen förenlig med GDPR?Av artikel 6 GDPR framgår vilka rättsliga grunder som krävs för att en hantering av personuppgifter ska vara förenlig med GDPR. En sådan rättslig grund är att personerna som finns med på bilderna har lämnat sitt samtycke till fotograferingen samt användningen av fotona för ett eller flera specifika ändamål (artikel 6.1a GDPR). Bilderna som tagits ska lagras på ett säkert sätt och bara användas för det ändamål som det finns samtycke för. En annan rättslig grund är intresseavvägning. Denna rättsliga grund blir tillämplig om samtycke inte finns och hanteringen av bilderna bedömts ligga i föreningen/förbundets/lagets intresse, och detta intresse väger tyngre än det intresse personerna som är med på bilderna har av att inte vara med på bild (artikel 6.1f). Vad gäller i ditt fall?I ditt fall kan både samtycke och intresseavvägning vara möjliga rättsliga grunder. Jag misstänker dock att det kan vara svårt att använda en intresseavvägning som grund, då det krävs ett berättigat intresse som ska väga tyngre än skyddet för personuppgifter. Direktmarknadsföring är ett exempel på ett berättigat intresse. Utifrån den informationen jag fått, verkar det inte föreligga något specifikt berättigat intresse. Min rekommendation till dig är därför att du använder dig av samtycke som rättslig grund. SammanfattningFör att en behandling av personuppgifter ska vara förenlig med GDPR krävs en rättslig grund. Exempel på sådana rättsliga grunder är samtycke och intresseavvägning. Min rekommendation till dig är att du samlar in samtycke från de personer som kommer att vara med på bilderna, och använder dig av det som rättslig grund. Samtycket ska vara specifikt och ges för ett specifikt ändamål. Det kan vara svårt att använda sig av intresseavvägning som rättslig grund, då det krävs ett berättigat intresse som ska väga tyngre än skyddet för personuppgifter. Jag hoppas att detta var till hjälp och om du skulle ha några ytterligare frågor är det bara att du hör av dig till oss på nytt! Med Vänliga Hälsningar,