Den personliga integriteten anses skyddsvärd. Det är svårt att definiera vad den personliga integriteten är, men det omfattar privat information om en person och dennes privatliv. Dessa uppgifter ska skyddas från angrepp utifrån. Men hur skyddas den personliga integriteten av lagstiftning och kan enskilda personer bli straffade på något sätt?

 

Publicerad 24 mars 2020

 

Olika vägar till ansvar

Om någon hanterar personuppgifter om exempelvis någons privatliv på ett felaktigt eller klandervärt sätt finns det huvudsakligen tre olika vägar till ansvar som brukar uppmärksammas: sanktionsavgift med stöd av GDPR, skadestånd med stöd av GDPR eller straff genom brottsbalken. Nedan följer en genomgång av dessa tre.

 

1. GDPR – sanktionsavgift

Sanktionsavgift fungerar ungefär som böter: det är en myndighet som beslutar om det, i detta fall Datainspektionen, och beloppet tillfaller staten. Sanktionsavgifter drabbar normalt sett en juridisk person och inte en fysisk person. Det innebär att om en anställd i exempelvis ett företag har hanterat personuppgifter på ett felaktigt sätt, så är det företaget som drabbas av sanktionsavgiften och inte den anställde. Detta beror på att det i princip alltid är företaget som är personuppgiftsansvarig eller personuppgiftsbiträde.

Sanktionsavgift kan även drabba en fysisk person, om denne anses vara personuppgiftsansvarig. Så är fallet med till exempel enskilda firmor. Privatpersoner kan även vara personuppgiftsansvariga för viss hantering av personuppgifter utanför ett företag, till exempel om en privatperson sprider bilder som publiceras i sociala medier.

En sanktionsavgift ska vara effektiv, proportionerlig och avskräckande. Beloppet kan för privata verksamheter uppgå till antingen 20 miljoner euro eller 4 % av företagets globala årsomsättning. För myndigheter gäller ett maxbelopp om 10 miljoner kronor.

 

2. GDPR – skadestånd

Skadestånd ska utgå om en person har lidit skada till följd av en eller flera överträdelser av GDPR. Skadestånd drabbar även det normalt sett en juridisk person. Det föreligger dock vissa skillnader mellan en sanktionsavgift och skadestånd:

  • En sanktionsavgift fungerar som böter och tillfaller staten, medan ett skadestånd betalas ut till den eller de drabbade.
  • Processen för att få skadestånd går inte via Datainspektionen utan via domstol. Den eller de drabbade får begära skadestånd direkt från aktörerna eller lämna in en stämningsansökan mot den eller de inblandade personuppgiftsansvariga och eventuella personuppgiftsbiträden. En stämningsansökan lämnas till tingsrätten.

Den som lidit skada har i princip rätt att få ersättning för hela skadan av en av aktörerna. Det innebär att antingen den personuppgiftsansvarige eller personuppgiftsbiträdet kan behöva stå för hela skadan, även om det är flera ansvariga parter inblandade. Den personuppgiftsansvarige och personuppgiftsbiträdet får sedan reglera internt hur eventuella skadestånd ska hanteras mellan dem. Detta är för att säkerställa att den enskilde får ersättning som han eller hon är berättigad till.

Skadeståndets storlek är beroende av hur stor skada den enskilde lidit. Rör det sig om många drabbade kan skadeståndets totala belopp därför blir stort.

 

3. Brottsbalken – straff

Privatpersoner kan som huvudregel inte vara personuppgiftsansvariga eller personuppgiftsbiträden. Det innebär att privatpersoner generellt sett inte kan bli skyldiga att betala sanktionsavgifter eller skadestånd enligt GDPR.

Däremot kan en privatperson bli straffad enligt brottsbalken för brott som bland annat innebär behandling av personuppgifter. Straffrätten skyddar alltså mot integritetskränkningar mellan enskilda. Ett exempel på ett brott som skyddar integriteten är olaga integritetsintrång. Brottet tillkom förra året för att anpassa brottskatalogen till den digitala utvecklingen.

Olaga integritetsintrång innebär att någon sprider bilder eller andra uppgifter, exempelvis skriftliga uppgifter. Uppgifterna eller bilderna måste vara av ett särskilt slag, exempelvis bilder på någon i en mycket utsatt situation eller uppgifter om någons hälsotillstånd. Det kan alltså inte vara vilka bilder eller uppgifter som helst, utan enbart de som är särskilt omnämnda i lagtexten.

För att straffas krävs det även att uppgiften sprids. Det innebär att uppgiften måste ha gjorts tillgänglig för fler än ett fåtal personer. Det krävs däremot inte att dessa personer tagit del av uppgifterna.

Olaga integritetsintrång kräver att målsäganden – den som utsatts för brottet – anger brottet till åtal eller att åtal är av allmänt intresse. Det är då en åklagare som leder processen. Om en person döms för olaga integritetsintrång kan straffet bli böter eller fängelse i högst sex månader.

Förutom brottet olaga integritetsintrång innehåller brottsbalken brott såsom:

  • Förtal, vilket innebär att någon pekar ut någon annan som brottslig, när detta inte är sant.
  • Förolämpning, vilket bland annat innebär att någon uttalar något nedsättande om någon annan och att detta är tänkt att vara kränkande.
  • Kränkande fotografering, vilket innebär att någon exempelvis olovligen och i hemlighet tar ett foto av någon som befinner sig inne i en bostad.

 

Utgivningsbevis – hur företag kan undgå ansvar

Med dessa tre vägar till ansvar kan den personliga integriteten anses vara väl skyddad. Det är dock inte alla personuppgiftsbehandlingar som omfattas av GDPR. Genom att få ett s.k. utgivningsbevis kan en verksamhet få grundlagsskydd för en databas. Databasen omfattas då inte av GDPR. Ett utgivningsbevis utfärdas av Myndigheten för press, radio och TV. Massmedieföretag omfattas av grundlagsskyddet i Tryckfrihetsförordningen per automatik, medan andra verksamheter måste göra en ansökan för att omfattas. Andra verksamheter omfattas då av det s.k. frivilliga grundlagsskyddet genom utgivningsbeviset. Det ställs inget krav på att verksamheten ska ha ett visst syfte för att beviljas utgivningsbevis.

Ni kan läsa mer om utgivningsbevis här.

 

Vi finns här!

Om ni behöver hjälp att uppfylla GDPR i er verksamhet finns vi här för att hjälpa er!

Boka gärna en demo med oss för att få veta mer om hur ni enkelt kan uppfylla de krav som ställs på er! Ni bokar demo här.

 

Josefin Karlström

josefin@gdprhero.se

046 – 273 17 17

Innehållet i denna blogg innehåller allmän information och är inte att betrakta som rådgivning. Användning av denna information sker på egen risk.

 

Share This