Meginreglur

Persónuupplýsingar skulu vera unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart starfsmanni.

Á vinnuveitendum hvíla margvíslegar skyldur vegna starfsmannahalds, þ.m.t. skráning starfsfólks á launagreiðandaskrá skattsins og skil á staðsgreiðslu, reglubundin skil iðgjöldum til lífeyrissjóða og sjúkrasjóða stéttarfélaga sem og greiðsla launa inn á reikninga starfsfólks. Skrá þarf veikindadaga, orlofstöku og aðrar fjarvistir samkvæmt réttindaákvæðum kjarasamninga. Einnig má nefna skráningu vinnutíma og aðra þætti á sviði vinnuverndar, eftirlit með framkvæmd jafnréttislaga og meðferð mála við starfslok. Vinnsla persónupplýsinga byggir hér á fyrirmælum laga og/eða kjarasamninga og uppfyllir því meginreglu persónuverndarlaga um lögmæti.

Sem dæmi um að sanngirni sé gætt við vinnslu persónupplýsinga má nefna könnun á bakgrunni og starfseynslu umsækjanda um starf. Vinnuveitandi ætti að greina umsækjendum frá því að slík könnun sé hluti af ráðningarferlinu og jafnframt hvaða upplýsinga verði aflað. Að auki ætti vinnuveitandinn að afla samþykkis umsækjanda og upplýsa um rétt sinn til aðgangs að þeim upplýsingum og til að gera athugasemdir ef þær reynast rangar eða ónákvæmar.

Gagnsæi er einnig lykilatriði við vinnslu og meðferð persónupplýsinga. Taka má dæmi um fyrirtæki eða stofnun sem innleiðir kerfi til að fylgjast með tölvu- og netnotkun starfsmanna á vinnutíma. Upplýsa ber starfsfólk um að slík vöktun fari fram, tilgang hennar og hvaða gagna er aflað. Veita skal þessar upplýsingar á skýran og aðgengilegan hátt þannig að starfsfólk sé meðvitað um vöktunina, hvernig gögnin eru notuð og hvaða verndarráðstafanir eru til staðar til að vernda friðhelgi einkalífsins. Gæta þarf að öðrum meginreglum persónuverndar, s.s. um nauðsyn og meðalhóf. Sem endraær þarf vinnuveitandi að geta sýnt fram á viðeigandi lagaheimild fyrir slíkri vöktun.

Persónuverndaryfirlýsing sem birt er á heimasíðu fyrirtækis eða stofnunar og jafnvel sérstök yfirlýsing vinnuveitanda sem ætluð er starfsfólki svarar einnig ákalli um gagnsæi og ábyrgð.

Persónuverndarstefnur fyrirtækja lýsa því jafnan hvernig og hvers vegna unnið er með persónuupplýsingar starfsfólks. Í dæmaskyni er hér vísað til Persónuverndaryfirlýsingar BHM og Persónuverndarstefnu Landspítala.

Persónuupplýsingar skulu vera fengnar í tilgreindum, skýrum og lögmætum tilgangi og ekki unnar frekar á þann hátt að ósamrýmanlegt sé þeim tilgangi.

Afmörkun á tilgangi vinnslu persónuupplýsinga er nátengd skilyrðinu um lögmæti vinnslunnar. Lagagrundvöllur og tilgangur fer því að jafnaði saman. Ef tilgangur vinnslunnar breytist kann það að kalla á nýjan og viðeigandi lagagrundvöll og, ef vafi leikur á, að hlutaðeigandi einstaklingur veiti samþykki sitt.

Við þær aðstæður þarf vinnuveitandi að leggja mat á og taka afstöðu til þess hvort vinnsla upplýsinganna undir nýjum/breyttum formmerkjum samrýmist upphaflegum tilgangi vinnslunnar. Til þess að ganga úr skugga um hvort vinnsla í öðrum tilgangi samrýmist þeim tilgangi sem var forsenda söfnunar persónuupplýsinganna í upphafi, þarf m.a. taka tillit til:

• hvers kyns tengsla milli þess tilgangs sem er að baki söfnun persónuupplýsinganna og tilgangsins með fyrirhugaðri frekari vinnslu,
• þess í hvaða samhengi persónuupplýsingunum var safnað, einkum að því er varðar tengsl milli skráðra einstaklinga og ábyrgðaraðilans,
• eðlis persónuupplýsinganna, einkum þess hvort unnið sé með viðkvæmar persónuupplýsingar,
• hugsanlegra afleiðinga fyrirhugaðrar frekari vinnslu upplýsinganna fyrir skráða einstaklinga,
• þess hvort viðeigandi verndarráðstafanir hafi verið gerðar sem geta m.a. falist í dulkóðun eða notkun gerviauðkenna.

Sjá nánar 4. mgr. 6. gr. persónverndarreglugerðar (ESB) nr. 2016/679.

Frekari vinnsla persónuupplýsinga vegna skjalavistunar í þágu almannahagsmuna, rannsókna á sviði vísinda eða sagnfræði eða í tölfræðilegum tilgangi telst ekki ósamrýmanleg upphaflegum tilgangi. Sjá nánar 1. mgr. 89. gr. reglugerðar (ESB) nr. 2016/679.

Persónuupplýsingar ættu að vera nægilegar, viðeigandi og takmarkast við það sem nauðsynlegt er miðað við tilganginn með vinnslunni.

Vinnuveitendum er einungis heimilt að vinna með persónuupplýsingar starfsfólks ef það er sanngjarnt í samhengi við stofnun eða framkvæmd ráðningarsambandsins og vinnslan sé takmörkuð við það sem nauðsynlegt er.

Rafræn vöktun með eftirlitsmyndavélum í vinnurýmum getur í ákveðnum tilvikum uppfyllt skilyrði persónuverndarlaga. Á hinn bóginn myndi eftirlit með starfsfólki í félagsrými á vinnustað stangast á við meginreglur um friðhelgi einkalífs og persónuvernd. Til að rafræn vöktun sé heimil verður að vera fullnægt skilyrðum 1. mgr. 4. gr. laga nr. 77/2000. Þar er kveðið á um að rafræn vöktun sé ávallt háð því skilyrði að hún fari fram í málefnalegum tilgangi.

Upplýsingar skulu vera áreiðanlegar og, ef nauðsyn krefur, uppfærðar.

Á vinnuveitanda hvílir skylda til að gera allar eðlilegar ráðstafanir til að tryggja að persónuupplýsingar séu réttar, leiðrétta það sem er rangt eða villandi með því annaðhvort að eyða viðkomandi upplýsingum eða leiðrétta þær án tafar.

Persónuupplýsingar skulu varðveittar í ákveðinn tíma en ekki lengur en þörf er á miðað við tilganginn með vinnslu upplýsinganna. Ef tilgangurinn með varðveislu upplýsinganna er ekki lengur fyrir hendi er rétt að gögnum sé eytt og gerðar ópersónugreinanlegar. Þessi regla kemur í veg fyrir að gögn verði óþörf, óhófleg, ónákvæm eða úrelt og hvetur ábyrgðaraðila til að setja reglur um geymslutakmörk.

Eftir að ráðningarsambandi lýkur er vinnuveitenda heimilt að varðveita tilteknar persónuupplýsingar fyrrverandi starfsmanna, en einungis ef það er nauðsynlegt í ákveðnum tilgangi. Varðveita þarf tilteknar persónuupplýsingar af lagalegum ástæðum , svo sem til að uppfylla bókhalds- og skattaskyldur. Þá getur verið nauðsynlegt að varðveita ákveðin gögn ef staðfesta þarf starfstíma til ávinnslu réttinda eða verjast kröfum, til dæmis vegna ágreinngs í tengslum við uppgjör launa, um bætur vegna vinnuslysa eða meintra brota á jafnréttislögum.

Í kjarasamningum aðildarfélaga BHM við ríki og sveitarfélög er kveðið á um að við ákvörðun veikindaréttar skuli byggt á þjónustualdri hjá núverandi vinnuveitanda og, þar sem við á, öðrum stofnunum hjá ríki og sveitarfélögum þar sem viðkomandi einstaklingur hefur starfað. Varðveisla upplýsinga um þjónustualdur starfsfólks sem hefur látið af störfum getur því verið nauðsynleg vegna framkvæmdar á þessum ákvæðum kjarasamninga.

Vinnuveitanda ber að tryggja að unnið sé með persónuupplýsingar á þann hátt að viðeigandi öryggis sé tryggt.

Gera þarf viðeigandi ráðstafanir til að tryggja öryggi upplýsinganna, þar með talda vernd gegn óleyfilegri eða ólögmætri vinnslu þeirra, glötun, eyðileggingu eða tjóni fyrir slysni.

Á meðal þeirra ráðstafna sem vinnuveitendur geta gripið til að tryggja öryggi gagna eru:

• Útfæra viðeigandi tæknilegar og skipulagslegar ráðstafanir til að vernda persónuupplýsingar gegn óheimilum aðgangi, birtingu, breytingum eða eyðileggingu.
• Aðgangstakmarkanir: takmarka aðgengi að persónuupplýsingum við tiltekið starfsfólk og tryggja að það sé þjálfað í gagnavernd og öryggi.
• Innleiða viðeigandi stefnur og verklag við meðhöndlun persónuupplýsinga, þar með talið um varðveislu og eyðingu.
• Áhættumat: Gera reglubundnar úttektir og áhættumat til að greina veikleika og gera viðeigandi ráðstafanir til að bregðast við þeim.
• Fræðsla: Að tryggja að starfsmenn séu meðvitaðir um réttindi sín samkvæmt reglugerðinni og veita þeim nauðsynlegar upplýsingar til að nýta þau réttindi.

Vinnuveitendur bera ekki aðeins ábyrgð á að meðferð og vinnsla persónuupplýsinga uppfylli skilyrði og meginreglur persónuverndarlaga. Þeir verða einnig að geta sýnt fram á fylgni við löggjöfina.

Til þess að uppfylla ábyrgð sína ættu vinnuveitendur að grípa til eftirfarandi ráðstafana:

• Skrá yfir vinnslustarfsemi: Útbúa þarf skrá yfir vinnslustarfsemi þar fram kemur með hvaða með flokk persónuupplýsingar starfsfólks vinnuveitandinn vinnur með og vinnslu á þessum gögnum (30. gr. reglugerðar (ESB) 2016/679),
• Tæknilegar og skipulagslegar öryggisráðstafanir. Vinnuveitanda ber að gera viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja og sýna fram á að vinnslan fari fram í samræmi við reglur persónuverndar (1. mgr. 24. gr.) og fullnægjandi vernd sé fyrir hendi gegn gagnatapi og óviðkomandi aðgangi, (32.gr. ),
• Fræðsla: Upplýsa ber starfsfólk um gagnavinnsluna. Upplýsingarnar skulu vera á gagnorðu, gagnsæju, skiljanlegu og aðgengilegu formi og skýru og einföldu máli. Upplýsingarnar skulu veittar skriflega eða á annan hátt, þ.m.t., eftir því sem við á, á rafrænu formi (1. mgr. 12. gr.).

Reglugerð Evrópuþingsins og ráðsins (ESB) 2016/679 frá 27. apríl 2016 um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga (almenna persónuverndarreglugerðin) er birt í fylgiskjali við lög um persónuvernd og vinnslu persónuupplýsinga.