Vinnuveitendur safna og vinna óhjákvæmilega með fjölbreyttar persónuupplýsingar um starfsfólk, allt frá umsóknum og ráðningu til daglegs reksturs, frammistöðumats, launavinnslu og starfsloka.
Slík vinnsla verður ávallt að byggjast á skýrum lagagrundvelli og fara fram í samræmi við meginreglur persónuverndar: gagnsæi, meðalhóf, öryggi, lágmörkun og tilgangsbundna vinnslu.
Vinnuveitendur bera samkvæmt persónuverndarlögum ríka ábyrgð á að tryggja að allri vinnslu persónuupplýsinga sé háttað á lögmætan, sanngjarnan og öruggan hátt. Starfsfólk á jafnframt víðtæk réttindi gagnvart vinnuveitanda, m.a. rétt til upplýsinga, aðgangs, leiðréttingar, takmörkunar vinnslu og í ákveðnum tilvikum eyðingar.
Umsóknarferli og ráðning
Vinnuveitendur mega aðeins afla þeirra upplýsinga sem hafa beina þýðingu fyrir starfið.
Óheimilt er að spyrja um m.a. hjúskaparstöðu, barneignaráform eða önnur atriði sem kunna að leiða til mismununar.
Skráning og varðveisla starfsmannaupplýsinga
Starfsmannaskrár innihalda oft viðkvæmar upplýsingar.
Vinnuveitandi verður að tryggja:
- að vinnsla sé bundin við tilgang sem er skilgreindur með skýrum hætti,
- lágmörkun gagna (ekki safna meiri upplýsingum en nauðsyn krefur),
- að aðgangur að upplýsingum sé takmarkaður við þá sem nauðsynlega þurfa.
Upplýsingum skal eytt þegar tilgangi er náð, nema lög krefjist lengri varðveislu (t.d. bókhaldsgögn).
Launavinnsla, réttindamál og skráning fjarvista
Þegar vinnuveitandi vinnur með upplýsingar um fjarvistir, laun, veikindi eða fjölskylduaðstæður (t.d. veikindi barna) verður vinnslan að byggjast á:
- lagaskyldu,
- samningsskyldu,
- eða vera nauðssynleg til að framfylgja kjarasamningi.
Viðkvæmar heilsufarsupplýsingar njóta sérstakrar verndar og aðeins má vinna þær þegar skýr heimild er fyrir hendi.
Heilsufarsupplýsingar og læknisvottorð
Vinnuveitandi má aðeins óska eftir heilsifarsupplýsingum sem nauðsynlegar eru til að staðfesta óvinnufærni eða rétt á launum.
Óheimilt er að óska eftir greiningu, sjúkrasögu eða öðrum viðkvæmum atriðum.
Rafræn vöktun og eftirlit með búnaði
Eftirlit með tölvum, netnotkun, símtækjum, öryggismyndavélum eða staðsetningartækjum er aðeins heimilt ef:
- tilgangurinn er málefnalegur og nauðsynlegur,
- meðalhófs sé gætt,
- starfsmenn séu upplýstir fyrir fram,
- gögnum sé ekki safnað eða miðlað umfram það sem nauðsyn krefur.
Öryggisbrestir
Vinnuveitandi ber ábyrgð á að meta og tilkynna öryggisbresti til Persónuverndar innan 72 klst. ef brotið gæti valdið skráðum einstaklingi áhættu.
Starfsfólki skal einnig tilkynnt ef brotið gæti haft veruleg áhrif á þeirra hagsmuni.