IMY meddelar sanktionsavgifter mot två företag i SL-koncernen efter tillsyn enligt dataskyddsförordningen

Sammanfattning

Integritetsskyddsmyndigheten (IMY) meddelade den 18 juni sanktionsavgifter mot AB Storstockholms Lokaltrafik (SL) och dess dotterbolag Waxholms Ångfartygs AB (WÅAB). Detta efter granskning av klagomål från en anställd. Klagomålet rörde alkoholtester utförda mot befälhavare på fartyg som under bolagens ledning framförs i kollektivtrafiken. Resultaten från alkoholtesterna hade under flera månader lagrats av bolagen.

Resultaten från utandningsproven utgjorde enligt IMY personuppgifter om den anställda, eftersom proven genom kompletterande uppgifter från skeppsdagboken hade kunnat kopplas till denne. Personuppgiftsbehandlingen bedömdes lagstridig, även om den hade ett berättigande allmänt intresse. Detta dels eftersom kravet på nödvändighet inte uppfylldes, dels eftersom avsett resultat hade kunnat uppnås med mindre ingripande metoder.

IMY konstaterade även att det i detta fall rörde sig om uppgifter om hälsa. Sådana uppgifter utgör så kallade känsliga personuppgifter som ska ges ett särskilt starkt skydd enligt dataskyddsförordningen (GDPR).

Rättslig bedömning

Omfattade behandlingen personuppgifter?

• Artikel 4.1 i GDPR ger begreppet personuppgift en vid innebörd. Det innefattar varje uppgift som avser en identifierad eller identifierbar fysisk person. Med ”identifierbar fysisk person” avses en person som direkt eller indirekt kan identifieras med hänvisning till identifierare som t.ex. namn, ID-nummer, en lokaliseringsuppgift eller liknande.
• Skäl 26 i GDPR stadgar att även pseudonymiserade personuppgifter som kan kopplas till en individ med hjälp av ytterligare information ska betraktas som personuppgifter. Det är alltså inte nödvändigt att uppgiften i sig gör det möjligt att identifiera den fysiska personen för att den ska anses vara en personuppgift. För att avgöra om en fysisk person är identifierbar bör man beakta alla hjälpmedel som rimligen kan komma att användas för att identifiera denna.

I de aktuella fallen ansågs resultaten från utandningsproven vara personuppgifter eftersom de, om de kompletterades med uppgifter från skeppsdagboken, kunde kopplas till den anställda. I skeppsdagboken registrerades nämligen vilka som tjänstgjorde ombord på fartyget vid olika tidpunkter.

Fanns det rättslig grund för personuppgiftsbehandlingen?

• Artikel 6 i GDPR anger att behandling av personuppgifter endast är laglig om minst ett av villkoren i artikel 6.1 uppfylls (så kallad rättslig grund). Så är bland annat fallet om behandlingen är nödvändig för utförandet av en uppgift av allmänt intresse eller om den är nödvändig för ändamål som rör den personuppgiftsansvariges (i detta fall SL:s eller WÅAB:s) berättigade intressen. Det sistnämnda gäller så länge den registrerades intressen eller grundläggande rättigheter och friheter inte väger tyngre än den personuppgiftsansvariges berättigade intresse och kräver skydd av personuppgifterna.
• Huruvida en behandling är nödvändig ska prövas i enlighet med principen om uppgiftsminimering. Denna princip stadgar att de personuppgifter som samlas in ska vara adekvata, relevanta och inte för omfattande i förhållande till syftet med behandlingen.
• Av artikel 5.2 i GDPR följer vidare att det är den personuppgiftsansvariga som ska visa att behandlingen är laglig.

I de aktuella fallen rörde det sig om ett berättigat intresse för behandling, nämligen säkerhet i kollektivtrafiken. Behandlingen bedömdes dock inte nödvändig för att uppnå intresset vilket innebar att den inte heller var laglig. Som skäl för att behandlingen inte var nödvändig angavs bland annat att lagringstiden på flera månader var omotiverat lång, samt att syftet med behandlingen (att säkerställa säkerhet i kollektivtrafiken) hade kunnat uppnås även genom mindre ingripande åtgärder, såsom alkolås.

Rörde det sig om känsliga uppgifter?

• Artikel 9.1 i GDPR anger att det som huvudregel är förbjudet att behandla så kallade känsliga personuppgifter, om inte behandlingen omfattas av något av undantagen i artikel 9.2 GDPR. Det är möjligt att skapa känsliga uppgifter genom insamling av icke-känsliga uppgifter.
• Artikel 4.15 i GDPR definierar ”uppgifter om hälsa” som personuppgifter som rör en fysisk persons fysiska eller psykiska hälsa vilka ger information om dennes hälsostatus. Uppgifter om hälsa utgör känsliga personuppgifter och begreppet ska ges en vid tolkning.
• Skäl 35 i GDPR stadgar att uppgifter om hälsa innefattar alla uppgifter som hänför sig till en registrerad persons hälsotillstånd, inbegripande bland annat uppgifter som härrör från tester.

I de aktuella fallen gjorde IMY bedömningen att det rörde sig uppgifter om hälsa, och därmed i förlängningen känsliga personuppgifter. Det var möjligt att dra slutsatser om den anställdas hälsostatus eftersom det rörde sig om en stor mängd personuppgifter insamlade under flera månaders tid.

Kommentar

IMY:s beslut tydliggör att det inte krävs att en uppgift ensamt ska kunna kopplas till en viss person för att den ska anses utgöra en personuppgift. Personuppgiftsansvariga bör därför fundera kring huruvida separata uppgifter – som i sig inte kan kopplas till någon individ – ändå kan användas för identifikation när de sammanförs.

Besluten visar även på vikten av att i sin verksamhet överväga alternativa lösningar som är mindre ingripande för individen. Personuppgifter ska inte sparas längre än absolut nödvändigt, och om ett ändamål kan uppnås på ett sätt som innebär en mer begränsad uppgiftsinsamling ska detta mindre ingripande alternativ väljas, som utgångspunkt.