GDPR och drogtestning på arbetsplatsen – allt du behöver veta
Drogtestresultat är känsliga personuppgifter enligt GDPR artikel 9. Här är hur ni hanterar rättslig grund, lagring, mottagare och rättigheter rättssäkert.
Drogtestresultat hör till de mest känsliga personuppgifter en arbetsgivare hanterar. GDPR ställer skarpa krav på allt från rättslig grund till lagringstid. Den här artikeln går igenom vad ni behöver ha på plats. För en bredare juridisk bakgrund, se vår guide om arbetsgivarens rätt att drogtesta.
Vilken kategori av personuppgifter?
Drogtestresultat klassificeras som hälsouppgifter och faller därmed under GDPR artikel 9 – särskilda kategorier av personuppgifter. Det betyder att den vanliga rättsliga grunden i artikel 6 inte räcker; ni måste även ha grund i artikel 9.
Rättslig grund – varför samtycke är problematiskt
Det enkla svaret skulle vara "vi inhämtar samtycke från medarbetaren". Problemet: i ett anställningsförhållande är det svårt att hävda att samtycket är frivilligt – relationen är ojämn. Datainspektionen (numera IMY) har varnat för att förlita sig på samtycke som rättslig grund i anställningsförhållanden.
Den robusta grunden för drogtestning är istället artikel 9.2.b: behandling som är nödvändig för att fullgöra skyldigheter enligt arbetsrätt och socialrätt – kombinerat med arbetsmiljölagens krav. Detta måste dokumenteras tydligt i policyn.
Ändamål och proportionalitet
Behandlingen får bara ske för det specifika ändamålet (i regel arbetsmiljösäkerhet och säker arbetsplats). Ändamålet ska vara så snävt som möjligt och dokumenteras i registerförteckningen.
Mottagare – vem får se resultatet?
Endast personer som behöver resultatet för att vidta åtgärd. För de flesta arbetsplatser betyder det HR-chef + närmaste chef vid positivt resultat – inte hela ledningsgruppen, inte ekonomiavdelningen, inte IT-administratören. MRO-läkaren har separat skyddad hantering enligt patientdatalagen.
Lagring och gallring
Negativa resultat kan tas bort tämligen snabbt – ofta inom 6 månader. Positiva resultat kan behöva sparas längre om de leder till åtgärd, dock inte längre än vad som är nödvändigt för rehabilitering eller eventuell rättslig process. Definiera en gallringsplan i policyn.
Den registrerades rättigheter
Den anställde har rätt att:
- Få information om behandlingen (transparens)
- Begära registerutdrag
- Begära rättelse
- I vissa fall begära radering – men ofta begränsat eftersom arbetsmiljöansvaret har företräde
- Inge klagomål till IMY
Personuppgiftsbiträde – om labbet
När ni anlitar Provsvaret för analys hanterar vi personuppgifter som personuppgiftsbiträde åt er. Ett personuppgiftsbiträdesavtal (DPA) krävs och ingår i vårt avtal. Vi använder ackrediterade laboratorier inom EU och har strikta tekniska och organisatoriska säkerhetsåtgärder.
Konsekvensbedömning (DPIA)
Drogtestning på systemnivå (slumpvisa kontroller, alla anställda) anses vanligtvis kräva en DPIA. Det är ett krav som ofta missas – planera in det.
Sammanfattning
GDPR-compliance vid drogtestning kräver: rättslig grund i policyn (inte samtycke), tydligt ändamål, snäv mottagarkrets, definierad gallringsplan, fungerande registerförteckning, DPIA, och DPA med externa biträden. Provsvaret hjälper er granska att allt är på plats – kontakta oss för en genomgång.
Vil du vide mere?
Kontakt os for personlig rådgivning om narkotikatest og hvordan vi kan hjælpe din virksomhed.
