IMY har gett sanktionsavgifter till SL och dess dotterbolag Waxholms Ångfartygs AB (WÅAB) för att de lagrat alkoholtestresultat på personal. Testresultaten kunde kopplas till enskilda personer och räknas därför som känsliga personuppgifter om hälsa. Behandlingen stred mot GDPR eftersom den inte var nödvändig och kunde ha ersatts med mindre ingripande metoder som alkolås.
Sammanfattning
Integritetsskyddsmyndigheten (IMY) meddelade den 18 juni sanktionsavgifter mot AB Storstockholms Lokaltrafik (SL) och dess dotterbolag Waxholms Ångfartygs AB (WÅAB). Detta efter granskning av klagomål från en anställd. Klagomålet rörde alkoholtester utförda mot befälhavare på fartyg som under bolagens ledning framförs i kollektivtrafiken. Resultaten från alkoholtesterna hade under flera månader lagrats av bolagen.
Resultaten från utandningsproven utgjorde enligt IMY personuppgifter om den anställda, eftersom proven genom kompletterande uppgifter från skeppsdagboken hade kunnat kopplas till denne. Personuppgiftsbehandlingen bedömdes lagstridig, även om den hade ett berättigande allmänt intresse. Detta dels eftersom kravet på nödvändighet inte uppfylldes, dels eftersom avsett resultat hade kunnat uppnås med mindre ingripande metoder.
IMY konstaterade även att det i detta fall rörde sig om uppgifter om hälsa. Sådana uppgifter utgör så kallade känsliga personuppgifter som ska ges ett särskilt starkt skydd enligt dataskyddsförordningen (GDPR).
Rättslig bedömning
Omfattade behandlingen personuppgifter?
I de aktuella fallen ansågs resultaten från utandningsproven vara personuppgifter eftersom de, om de kompletterades med uppgifter från skeppsdagboken, kunde kopplas till den anställda. I skeppsdagboken registrerades nämligen vilka som tjänstgjorde ombord på fartyget vid olika tidpunkter.
Fanns det rättslig grund för personuppgiftsbehandlingen?
I de aktuella fallen rörde det sig om ett berättigat intresse för behandling, nämligen säkerhet i kollektivtrafiken. Behandlingen bedömdes dock inte nödvändig för att uppnå intresset vilket innebar att den inte heller var laglig. Som skäl för att behandlingen inte var nödvändig angavs bland annat att lagringstiden på flera månader var omotiverat lång, samt att syftet med behandlingen (att säkerställa säkerhet i kollektivtrafiken) hade kunnat uppnås även genom mindre ingripande åtgärder, såsom alkolås.
Rörde det sig om känsliga uppgifter?
I de aktuella fallen gjorde IMY bedömningen att det rörde sig uppgifter om hälsa, och därmed i förlängningen känsliga personuppgifter. Det var möjligt att dra slutsatser om den anställdas hälsostatus eftersom det rörde sig om en stor mängd personuppgifter insamlade under flera månaders tid.
Kommentar
IMY:s beslut tydliggör att det inte krävs att en uppgift ensamt ska kunna kopplas till en viss person för att den ska anses utgöra en personuppgift. Personuppgiftsansvariga bör därför fundera kring huruvida separata uppgifter – som i sig inte kan kopplas till någon individ – ändå kan användas för identifikation när de sammanförs.
Besluten visar även på vikten av att i sin verksamhet överväga alternativa lösningar som är mindre ingripande för individen. Personuppgifter ska inte sparas längre än absolut nödvändigt, och om ett ändamål kan uppnås på ett sätt som innebär en mer begränsad uppgiftsinsamling ska detta mindre ingripande alternativ väljas, som utgångspunkt.