Skip to content

Meginreglur persónuverndar

Öll vinnsla persónuupplýsinga verður að byggja á heimild samkvæmt lögum um persónuvernd. Vinnslan verður jafnframt að uppfylla meginreglur persónuverndar.

Samkvæmt lögum byggir persónuvernd á sjö meginreglum sem fylgja ber við vinnslu persónuupplýsinga. Þekking á inntaki þessara meginreglna er nauðsynleg fyrir vinnuveitendur og ekki síður starfsfólk og stéttarfélög til að geta tekið afstöðu til þess hvort vinnsla tiltekinna persónuupplýsinga uppfylli skilyrði laga.

Meginreglurnar eru eftirfarandi, sbr. 8. gr. persónuverndarlaga og 5. gr. reglugerðar (EBS) nr. 2016/679.
1. Lögmæti, sanngirni og gagnsæi
2. Takmörkun vegna tilgangs
3. Lágmörkun gagna
4. Áreiðanleiki
5. Geymslutakmörkun
6. Heilleiki og trúnaður
7. Ábyrgðarreglan

1. Lögmæti, sanngirni og gagnsæi

Persónuupplýsingar skulu vera unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart starfsmanni (e. lawfulness, fairness and transparency).

Ferlið við mat á umsækjendum og ákvörðun um ráðningu á nýju starfsfólki, framkvæmd vinnusambandsins og starfslok gera vinnslu persónuupplýsinga óhjákvæmilega. Vinnuveitendur geta ekki uppfyllt ýmsar þær skyldur sem á þeim hvíla samkvæmt lögum, kjarasamningum og ráðningarsamningum nema þeir skrái upplýsingar sem auðkenna viðkomandi starfsmann, þ.e. nafn, kennitölu og önnur atriði sem styðjast má við til að persónugreina hann.

Vinnsla persónulýsingaupplýsinga af hálfu vinnuveitanda er m.a. nauðsynleg vegna skráningar starfsfólks á launagreiðandaskrá skattsins og skila á iðgjöldum til lífeyrissjóða og sjúkrasjóða stéttarfélaga. Eins er með millifærslu launa inn á launareikninga starfsfólks hjá bankastofnunum. Skrá þarf veikindadaga starfsfólks, orlofstöku og aðrar fjarvistir samkvæmt réttindaákvæðum kjarasamninga. Einnig má nefna skráningu vinnutíma og önnur fyrirmæli á sviði vinnuverndar, eftirlit með framkvæmd jafnréttislaga og meðferð mála við starfslok.

Í lögum um persónuvernd er gengið út frá því að byggja megi vinnslu persónupplýsinga á samþykki hins skráða. Persónuverndarlög skilgreina hugtakið samþykki sem óþvinguð, sértæk, upplýst og ótvíræð viljayfirlýsing hins skráða um að hann samþykki, með yfirlýsingu eða ótvíræðri staðfestingu, vinnslu persónuupplýsinga um sig.

Í vinnusambandi stjórnenda og starfsmanns ríkir ekki fullt jafnræði og er því ekki hægt að ganga út frá því að yfirlýsing starfsmanns um að hann samþykki tiltekna vinnslu persónupplýsinga uppfylli skilyrði persónuverndarlaga. Aðrir hagsmunir einkum atvinnuöryggi valda því jafnan að starfsmenn eru tilleiðanlegir að ljá samþykki sitt. Af þessu leiðir að vinnuveitandi getur ekki, nema í undantekningartilvikum, stuðst við samþykki starfsmanns sem heimild fyrir vinnslu persónuupplýsinga.

Vinnuveitandi getur samkvæmt framansögðu því ekki gert það að skilyrði fyrir ráðningu nýs starfsfólks að það undirriti yfirlýsingu um að það samþykki með almennum hætti vinnslu persónupplýsinga. Með því að gera slíka kröfu er sjálft starfið í húfi og því allur líkur á því viðkomandi fallist á slikt skilyrði. Þá getur vinnuveitandi ekki stuðst við samþykki starfsmanns sem heimild fyrir uppsetningu á eftirlitsmyndavélum í persónulegum rýmum á vinnustað, töku lífsýna eða fíkni- og áfengisprófa. Slík vinnsla þyrfti að byggja á öðrum heimildum samkvæmt ákvæðum persónuverndarlaga.

2. Tilgangsreglan

Persónuupplýsingar skulu vera fengnar í tilgreindum, skýrum og lögmætum tilgangi og ekki unnar frekar á þann hátt að ósamrýmanlegt sé þeim tilgangi (e. purpose limitation).

3. Meðalhófsreglan

Persónuupplýsingar ættu að vera nægilegar, viðeigandi og takmarkast við það sem nauðsynlegt er miðað við tilganginn með vinnslunni. Tilgreina ætti lágmarksmagn persónuupplýsinga sem þarf til vinnslu áður en gagnasöfnun fer fram. Gögnin ættu því að vera nægilegar, viðeigandi og takmörkuð til að uppfylla tilganginn sem þau eru unnin fyrir (e. data minimisation).

Sem dæmi má nefna að rafræn vöktun með eftirlitsmyndavélum í vinnurýmum getur í ákveðnum tilvikum uppfyllt skilyrði persónuverndarlaga. Á hinn myndi eftirlit með starfsfólki félagsrými á vinnustað stangast á við meginreglur um friðhelgi einkalífs og persónuvernd.

4. Áreiðanleikareglan

Upplýsingar skulu vera áreiðanlegar og, ef nauðsyn krefur, uppfærðar. Á ábyrgðaraðila hvílir skylda til að gera allar eðlilegar ráðstafanir til að tryggja að persónuupplýsingar séu réttar, leiðrétta það sem er rangt eða villandi með því annað hvort að eyða viðkomandi upplýsingum eða leiðréttar þær án tafar (e. accuracy).

5. Varðveislureglan

Persónuupplýsingar skulu ekki varðveittar í ákveðinn tíma og ekki lengur en þörf er á miðað við tilganginn með vinnslu upplýsinganna. Ef tilgangurinn með varðveislu upplýsinganna er ekki lengur fyrir hendi er rétt að gögnum sé eytt og gerðar ópersónugreinanlegar. Þessi regla kemur í veg fyrir að gögn verði óþörf, óhófleg, ónákvæm eða úrelt og hvetur ábyrgðaraðila til að setja reglur um geymslutakmörk (e. storage limitation).

Í kjarasamningum aðildarfélaga BHM við ríki og sveitarfélög er kveðið á um að við ákvörðun veikindaréttar skuli byggt á þjónustualdri hjá núverandi vinnuveitanda og, þar sem við á, öðrum stofnunum hjá ríki og sveitarfélögum þar sem viðkomandi einstaklingur hefur starfað. Varðveiðsla upplýsinga um þjónustuualdur starfsfólks sem hefur látið af störfum getur því nauðsynleg vegna framkvæmdar á þessum ákvæðum kjarasamninga.

6. Öryggisreglan

Meginreglan um heilleika og trúnað kallar á að persónuupplýsingar séu varðbeitar á öruggan hátt. Gera þarf viðeigandi ráðstafanir til að tryggja öryggi upplýsinganna, þar með talið vernd gegn óleyfilegri eða ólögmætri vinnslu og gegn glötun, eyðileggingu eða skemmdum fyrir slysni (e. integrity and confidentiality).

7. Ábyrgðarreglan

Meginreglan um ábyrgð felur í sér að ábyrgðaraðili (vinnuveitandi) ber ábyrgð á að meðferð og vinnsla persónuupplýsinga uppfylli skilyrði persónuverndarlaga. Hann verður að geta sýnt fram á að hann hafi gert allar nauðsynlegar ráðstafanir varðandi vinnslu og varðveislu upplýsinga (e. accountability).