Alkoholtester och personuppgifter: IMY:s beslut mot SL
Den 18 juni 2025 meddelade Integritetsskyddsmyndigheten (IMY) ett beslut med betydande implikationer för hantering av alkoholtester och personuppgifter inom offentligfinansierad verksamhet. I centrum står Aktiebolaget Storstockholms Lokaltrafik (SL), som av IMY ålagts att betala en administrativ sanktionsavgift på 75 000 kronor för behandling av personuppgifter i strid med artiklarna 6 och 9 i dataskyddsförordningen (GDPR). Beslutet utgör inte bara ett viktig praxis avseende arbetsgivares användning av alkoholtester i arbetslivet, utan även en förtydligande tolkning av vad som utgör känsliga personuppgifter i praktiken.
Bakgrund till ärendet
Tillsynsärendet inleddes av IMY med anledning av ett klagomål från en befälhavare anställd av en trafikutövare som bedrev kollektivtrafik till sjöss på uppdrag av SL. I klagomålet uppgavs att befälhavare rutinmässigt behövde genomföra alkoholutandningsprov före varje avgång, där resultatet lagrades och i vissa fall överfördes till ett centralt system tillgängligt för både trafikutövaren och SL. Klaganden ifrågasatte lagligheten i denna behandling, då varken syfte, rättslig grund eller nödvändighet kunde tydligt redovisas.
SL argumenterade för att behandlingen syftade till att säkerställa nykterhet bland befälhavare och därigenom upprätthålla säkerheten i kollektivtrafiken. Trots detta fann IMY att bolaget behandlat personuppgifter utan giltig rättslig grund och dessutom hanterat känsliga uppgifter utan stöd av något tillämpligt undantag i GDPR.
Prövningen
Personuppgiftsbegreppet och identifierbarhet
IMY:s första avgörande prövning gällde om utandningsproven utgjorde personuppgifter. Trots att uppgift om namn inte registrerades i systemet, konstaterade myndigheten att resultaten kunde kopplas till identifierbara fysiska personer via kompletterande information såsom skeppsdagbok och tjänstgöringsschema. Denna indirekta identifierbarhet är tillräcklig enligt GDPR:s breda definition av personuppgift (artikel 4.1). IMY betonade att det är tillräckligt att personuppgifterna kan kopplas till en individ med rimliga medel, även om dessa inte direkt innehas av den personuppgiftsansvarige.
SL:s ansvar som personuppgiftsansvarig
Vidare bedömdes SL som personuppgiftsansvarig, trots att delar av behandlingen sköttes av trafikutövaren. SL hade fattat beslut om installationen av alkoholmätare, utformningen av systemet samt gallringsrutinerna, vilket innebär att bolaget bestämde såväl ändamål som medel för behandlingen. IMY konstaterade därmed att det förelåg ett personuppgiftsansvar enligt artikel 4.7 i GDPR.
Avsaknad av rättslig grund – artikel 6
Kärnan i IMY:s bedömning rörde avsaknaden av rättslig grund enligt artikel 6 i GDPR. SL hade åberopat intresseavvägning (artikel 6.1 f) och i andra hand allmänt intresse (artikel 6.1 e). Myndigheten fann att det berättigade intresset att upprätthålla säkerhet inom kollektivtrafiken i och för sig förelåg, men att behandlingen inte var nödvändig i den omfattning som skett.
Det centrala här var SL:s bristande proportionalitet: utandningsproven registrerades och lagrades rutinmässigt under månader, trots att syftet (att säkerställa nykterhet) kunde ha uppnåtts genom mindre integritetskränkande åtgärder. Alternativ som alkolås ansågs av SL ha liknande konsekvenser, men IMY motsatte sig detta och menade att det teoretiska alternativet med utredning vid larmat tillstånd skulle innebära en väsentligt mindre ingripande behandling.
Behandling av känsliga personuppgifter – artikel 9
IMY bedömde att de registrerade utandningsproven även utgjorde känsliga personuppgifter enligt artikel 9 i GDPR, då uppgifter om alkoholpåverkan kan anses avslöja en individs hälsostatus. Även negativa testresultat kan enligt IMY:s tolkning ge information om en persons hälsa, i detta fall att klaganden inte var påverkad vid de tidpunkter testen gjordes.
Eftersom SL inte hade rättslig grund enligt artikel 6, kunde inte heller något undantag i artikel 9.2 tillämpas. Undantaget i artikel 9.2 g (behandling för viktigt allmänt intresse) kräver att nödvändighetskravet är uppfyllt, vilket IMY som tidigare konstaterat inte ansåg vara fallet. Därmed var behandlingen olaglig även enligt artikel 9.
Sanktionsavgiftens storlek och motivering
Med hänsyn till överträdelsernas omfattning och varaktighet (drygt nio månader med två dagliga tester) ansåg IMY att det rörde sig om en allvarlig överträdelse, dock i den lägre delen av skalan. Detta då behandlingen endast omfattade en individ, identifiering krävde tillgång till kompletterande uppgifter och få personer hade tillgång till resultaten.
Trots att SL argumenterade för att en reprimand vore tillräcklig, valde IMY att utdöma en administrativ sanktionsavgift. Beloppet fastställdes till 75 000 kronor, vilket ansågs proportionerligt med hänsyn till det låga antalet berörda personer, SL:s begränsade användning av uppgifterna, samt det allmänna intresse som behandlingen ändå avsett att skydda.
IMY förklarade vidare att det inte fanns stöd för att behandla SL som en myndighet och tillämpa lägre maxbelopp, trots att SL ägs till 100 procent av Region Stockholm. SL är ett aktiebolag och ska därmed behandlas som ett företag enligt GDPR:s sanktionsramverk, vilket innebär att den maximala sanktionsavgiften kunde uppgå till 980 miljoner kronor utifrån SL-koncernens omsättning.
Rättsliga och praktiska konsekvenser
Beslutet illustrerar flera viktiga rättsprinciper. För det första understryker det att identifierbarhet kan föreligga även när uppgifter inte direkt innehåller namn eller personnummer, så länge kompletterande uppgifter möjliggör identifiering. För det andra klargörs att även vissa hälsorelaterade uppgifter, exempelvis nykterhet, kan omfattas av det utökade skyddet för känsliga personuppgifter.
För arbetsgivare och offentligfinansierade verksamheter innebär beslutet en skärpt kravbild gällande proportionalitet och dokumentation av rättslig grund vid användning av övervaknings- eller kontrollsystem. Beslutet bör även tjäna som vägledning för hur alternativa tekniska lösningar (exempelvis alkolås) ska värderas vid val av metoder som innebär integritetsintrång.
