Rimlig åtgärd kostar 75'000 p.g.a. okunskap

IMY har beslutat att påföra Aktiebolaget Storstockholms Lokaltrafik (SL) en administrativ sanktionsavgift om 75 000 kr. Bakgrunden är nykterhetskontroller av befälhavare inom sjötrafiken. Åtgärden var i sak motiverad ur trafiksäkerhetssynpunkt – men personuppgifterna behandlades utan giltig rättslig grund och omfattade känsliga uppgifter om hälsa utan tillämpligt undantag. Summa summarum: en i sammanhanget låg avgift för en i grunden rimlig säkerhetsåtgärd – men ändå onödig. Okunskap kostar.

Vad IMY faktiskt säger:

• Personuppgifter? Ja. Även om systemet inte loggade namn kunde resultaten kopplas till tjänstgöringslistor/skeppsdagbok. Den indirekta identifierbarheten räckte.

• Personuppgiftsansvarig? SL. Bolaget bestämde ändamål och medel: installation, lagring och gallringsregler.

• Rättslig grund saknades. SL åberopade berättigat intresse (artikel 6.1 f) och i andra hand allmänt intresse (6.1 e). IMY underkände nödvändigheten: syftet kunde uppnås med mindre integritetskänsliga medel och – särskilt – utan lång lagring av varje provresultat.

• Känsliga uppgifter behandlades. Även ”negativa” prov (grönt ljus) kan över tid säga något om hälsa. Inget undantag i artikel 9.2 var tillämpligt eftersom kravet på nödvändighet föll.

• Proportionalitet och dataminimering brast. I början saknades formella gallringsrutiner; uppgifter kvarlåg i månader trots att sju dagar senare bedömdes räcka.

• Oaktsamhet räcker för sanktionsavgift. Det krävs inte uppsåt; att man borde ha förstått att reglerna överträddes är tillräckligt.

  
  

Varför detta spelar roll för alla som vill ”göra rätt”.

Det här är ett skolboksexempel på hur en i sak klok riskkontroll kan bli otillåten genom fel i styrning och dokumentation. IMY säger inte att nykterhetskontroller är förbjudna. Myndigheten säger att du måste ha rätt rättslig konstruktion – och kunna bevisa den.

• Nödvändighet är inte ett ord, det är en bevisbörda. Visa varför just denna metod, denna datamängd och denna lagringstid krävs för att uppnå syftet. Om ett alkolås som endast genererar personuppgifter vid spärrtillfälle räcker, då ska du välja det.

• Dataminimering i praktiken. Logga så lite som möjligt, så kort tid som möjligt, till så få som möjligt. Sju dagar kan vara rimligt – men det ska gälla från dag ett och vara formellt beslutat.

• Artikel 6 före artikel 9. Faller den rättsliga grunden faller undantaget för känsliga uppgifter. Börja i artikel 6, inte i artikel 9.

• Roller och avtal. Om någon annan kan komplettera uppgifterna så att individen identifieras påverkar det din bedömning även om du själv inte ”ser namnet”. Säkerställ att biträdesavtal, instruktioner och åtkomst styr detta i verkligheten – inte bara på papperet.

  
  

Vad SL borde ha gjort (och vad du kan göra nu).

1. Förhandsanalys (DPIA/light). Dokumentera risk, nödvändighet, lämplighet och prövning av mindre ingripande alternativ.

2. Rättslig grund med stöd i lag eller avtal. Om du åberopar allmänt intresse: peka på konkret rättsregel och visa nödvändighet. Om du åberopar berättigat intresse: gör en stringent intresseavvägning med faktiska alternativ prövade.

3. Arkitektur som minimerar data. Välj teknik som inte skapar ett kontinuerligt personuppgiftsflöde om det inte behövs (”event-based” i stället för ”always-on”).

4. Formella beslut om gallring och åtkomst före driftsättning. Sju dagar? Bra – men besluta, konfigurera och kontrollera det innan första provet tas.

5. Informationsplikt och efterlevnad i praktiken. Informera berörda sakligt; säkerställ att det är samma process i hamn som i policyn.

6. Rollen som personuppgiftsansvarig. Om du sätter kraven, äger syftet och väljer medel – ta ansvaret fullt ut.

   
   

Vår läsning – med en gnutta känsla.

Det här är inte en ”stor” bot. Men signalen är tydlig: rimliga säkerhetsåtgärder blir orimliga om de inte är juridiskt och tekniskt nödvändiga i GDPR:s mening. Det är lätt att vara efterklok; det är billigare att vara förklok.

Behöver du sanity-checka en kontrollåtgärd?

Brightly Consulting hjälper gärna till med en snabb nödvändighets- och proportionalitetsgranskning, utformning av rättslig grund, gallringsbeslut och tekniska minimiseringsprinciper. En timmes kvalificerad analys kostar mindre än 75 000 kr – och brukar spara betydligt mer än så.