Vanliga frågor och svar

IMY kan besluta att ett företag eller, i förekommande fall, en privatperson som bryter mot reglerna i dataskyddsförordningen ska betala en administrativ sanktionsavgift. Avgiften kan som mest vara 20 miljoner euro eller fyra procent av bolagets globala årsomsättning, beroende på vilket belopp som är högst. För de något mindre allvarliga överträdelserna gäller ett maxbelopp på 10 miljoner euro eller 2 procent av den globala årsomsättningen. Det blir förmodligen inte vanligt att IMY dömer ut maximala sanktionsavgifter.

Hur hög sanktionsavgiften blir beror dels på vilken bestämmelse överträdelsen gäller, dels på omständigheterna i det enskilda fallet. IMY kommer bland annat att titta på hur allvarlig överträdelsen är, hur stor skada som skett, om det är fråga om känsliga personuppgifter, om det rör sig om upprepade överträdelser och om överträdelsen är avsiktlig. IMY ska se till att en eventuell sanktionsavgift är effektiv, proportionerlig och avskräckande. Därför kan även exempelvis organisationens storlek ha betydelse.

I Sverige kan även myndigheter påföras sanktionsavgifter. För mindre allvarliga överträdelser ska avgiften uppgå till högst 5 miljoner kronor och för allvarligare överträdelser till högst 10 miljoner kronor.

IMY kan även utfärda varningar om en planerad behandling av personuppgifter sannolikt kommer att bryta mot bestämmelserna i förordningen. IMY kan även utfärda reprimander om en pågående behandling av personuppgifter bryter mot bestämmelserna och kan dessutom förelägga ett företag eller annan organisation att de måste upphöra med en viss behandling.

IMY:s beslut kan överklagas.

IMY blir tillståndsmyndighet den 1 augusti 2018. IMY kommer inte pröva några ansökningar om tillstånd till kamerabevakning innan den 1 augusti.

IMY gör alltid en bedömning av omständigheterna i det enskilda fallet och kommer ge tillstånd till kamerabevakning om intresset av bevakningen väger tyngre än den enskildes intresse av att inte bli bevakad.

Vid bedömningen av intresset av kamerabevakning beaktar IMY särskilt om bevakningen behövs för att

1. förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda eller lagföra brott på en brottsutsatt plats eller på en annan plats där det av särskild anledning finns risk för angrepp på någons liv, hälsa eller trygghet eller på egendom,
2. förebygga, förhindra eller upptäcka störningar av allmän ordning och säkerhet eller begränsa verkningarna av sådana störningar,
3. utöva kontrollverksamhet,
4. förebygga, förhindra eller upptäcka olyckor eller begränsa verkningarna av inträffade olyckor, eller
5. tillgodose andra därmed jämförliga ändamål.

Vid bedömningen av den enskildes intresse av att inte bli bevakad ska det särskilt beaktas 1. hur bevakningen ska utföras, 2. om teknik som främjar skyddet av den enskildes personliga integritet ska användas, och 3. vilket område som ska bevakas.

All kamerabevakning inom EU där identifierbara personer filmas. I vissa fall är privatpersoners bevakningskameror undantagna. 

Privatpersoners kamerabevaking

Dataskyddsförordningen gäller för all personuppgiftsbehandling, vilket även innefattar personuppgiftshantering i bild. Dataskyddsförordningen är en EU-rättsakt och gäller framför svensk lag.

Kamerabevakningslagen är en kompletterande svensk nationell lagstiftning och gäller för dig som kamerabevakar i Sverige. Kamerabevakningslagen ställer bl.a. krav på tystnadsplikt avseende det inspelade materialet och förhandlingsskyldighet för arbetsgivare innan bevakningskameror sätts upp. I det fall den som kamerabevakar gör det på en plats dit allmänheten har tillträde och är en myndighet (eller utför en uppgift av allmänt intresse) krävs dessutom tillstånd enligt kamerabevakningslagen. Oavsett om kamerabevakningen kräver tillstånd eller inte så ska reglerna om personuppgiftsbehandling i dataskyddsförordningen alltid följas.

För att förstå vad ett personuppgiftsbiträde är kan det vara bra att först förklara personuppgiftsansvariges roll. Personuppgiftsansvarig är den som bestämmer ändamål och medel med personuppgiftsbehandlingen. Ansvaret utgår från där det faktiska inflytandet ligger, och bedömningen måste göra i varje enskilt fall.

Personuppgiftsbiträde är den som behandlar personuppgifter för en personuppgiftsansvarigs räkning, och då krävs ett personuppgiftsbiträdesavtal. Om en personuppgiftsansvarig köper en tjänst som får till följd att leverantören i viss mån behandlar personuppgifter innebär det inte att leverantören per automatik blir personuppgiftsbiträde, utan det är när uppdraget avser just personuppgiftsbehandlingen som biträdesrollen uppstår. Personuppgiftsbiträden upp­träder med andra ord osjälv­ständigt i förhållande till de registrerade, och får enbart behandla personuppgifter enligt instruktion från den personuppgifts­ansvar­ige.

Personuppgiftsbiträde

Det finns inget absolut förbud mot att använda sig av så kallade dashcams (kameror monterade i bilens framruta) eller andra kameror monterade i eller på en bil, men det är svårt för den som använder sig av tekniken att uppfylla alla skyldigheter i dataskyddsförordningen, GDPR, och kamerabevakningslagen.

Om du monterar en kamera på bilen som spelar in material kommer du oundvikligen att behandla en stor mängd personuppgifter – huvudsakligen i form av inspelningar av människor som går att identifiera. Det innebär att du måste följa reglerna om personuppgiftsbehandling i dataskyddsförordningen.

Om du behandlar någons personuppgifter måste du bland annat informera om det. Du behöver exempelvis informera om hur länge uppgifterna kommer lagras, vad du har för rättsligt stöd för att samla in uppgifterna och vilka rättigheter den som fångas på bilderna har. Det finns inga undantag från skyldigheten att informera om personuppgiftsbehandlingen som blir aktuella i den här situationen.

För drönare gäller samma regler som när du filmar med en vanlig kamera. Om det går att identifiera enskilda individer på bilderna gäller dataskyddsförordningen, GDPR, och kamerabevakningslagen. Om enskilda individer inte kan identifieras på bilderna gäller inte dataskyddsförordningen och kamerabevakningslagen eftersom det då inte är fråga om en personuppgiftsbehandling.

Privatpersoners kamerabevakning

Det är tillåtet för ett företag att skicka exempelvis nyhetsbrev och annan direktmarknadsföring med stöd av den rättsliga grunden intresseavvägning (vilket betyder att du inte behöver samtycka till utskicken), enligt dataskyddsförordningen, GDPR. I det fallet vägs skyddet för din personliga integritet mot en aktörs ekonomiska intresse att till exempel kunna marknadsföra sig och/eller sina varor/tjänster. Däremot kan du som registrerad alltid motsätta dig att dina uppgifter används för direktmarknadsföring. Det kan du göra när som helst och personuppgifterna får inte behandlas för sådana ändamål efter det. Du kan till exempel skicka ett e-postmeddelande till avsändaren och påtala att du inte vill att dina personuppgifter behandlas för det ändamålet och då ska reklamutskicken upphöra. Företaget ska respektera att du inte vill att dina uppgifter behandlas för direktmarknadsföringsändamål. Du kan även kontakta företagets dataskyddsombud (om sådan finns) som ska kunna bistå dig i denna fråga.

Reklamspärr hos Statens personadressregister

Men all direktreklam baseras inte på adresser från Spar. Andra myndighetsregister, till exempel bilregistret, är vanliga adresskällor, liksom kundregister och medlemsregister. Om du vill kan du också slippa sådana försändelser. Du kan även spärra ditt telefonnummer i NIX-Telefon, 0772-28 00 00. Det gäller både ditt fasta och ditt mobila nummer. NIX-registren är direktreklambranschens egna spärregister.

NIX webbplats

När du begär ut ett registerutdrag kan en organisation, exempelvis ett företag, behöva säkerställa att de lämnar ut personuppgifter till rätt person. Hur en sådan identifiering går till regleras inte i dataskyddsförordningen, GDPR. Identifiering kan till exempel göras genom att organisationen ställer kontrollfrågor eller begär in viss information från dig. Organisationen ska dock inte samla in personuppgifter i onödan, en ordentlig avvägning måste göras.

Identifiering

När du begär att få ta del av dina personuppgifter från en organisation, exempelvis ett företag, har de i regel en månad på sig att besvara din begäran. Om det har gått en månad utan att du fått svar kan du kontakta organisationen på nytt och vidhålla din rättighet enligt artikel 15 i dataskyddsförordningen, GDPR. Om organisationen har ett dataskyddsombud kan du med fördel kontakta hen. Får du inget svar kan det föreligga grund för skadestånd. Du kan också skicka in ett klagomål till IMY.

Rätt till tillgång

När en organisation, exempelvis ett företag eller en myndighet, vill behandla personuppgifter måste de följa reglerna i dataskyddsförordningen, GDPR. Det innebär att de ska ha en rättslig grund för behandlingen, till exempel ett avtal med den registrerade, ett giltigt samtycke eller en intresseavvägning. De måste också följa de grundläggande principerna i dataskyddsförordningen – bland annat måste organisationen ha ett tydligt syfte med behandlingen av personuppgifter samt att uppgifterna ska vara korrekta, uppdaterade och inte för omfattande i förhållande till syftet med behandlingen.

Rättslig grund