Lagaheimildir
Öll vinnsla persónuupplýsinga verður að styðjast við heimild í lögum um persónuvernd og vinnslu persónuupplýsinga.
Heimildarákvæðin eru talin upp í 9. gr. persónuverndarlaga, sbr. 6. gr. reglugerðar (ESB) nr. 2016/679. Vinnslan getur verið byggð á því að:
- hinn skráði hafi gefið samþykki sitt,
- vinnslan sé nauðsynleg til að efna samning,
- vinnslan sé nauðsynleg til að fullnægja lagaskyldu,
- vinnslan sé nauðsynleg til að vernda brýna hagsmuni hins skráða eða annars einstaklings,
- vinnslan sé nauðsynleg vegna verks sem unnið er í þágu almannahagsmuna eða við beitingu opinbers valds, eða
- vinnslan sé nauðsynleg vegna lögmætra hagsmuna.
Vinnsla persónuupplýsinga í tengslum við gerð og framkvæmd vinnusamninga styðst jafnan við þær heimildir sem vísað er til í 2., 3. 6. og 1. tölulið. Aðrar lagaheimildir eiga síður við.
Sem ábyrgðaraðila á sviði persónuverndar ber vinnuveitanda að tryggja að lagaheimild sé fyrir vinnslu persónuupplýsinga og að meginreglum persónuverndar, þ.á m. um nauðsyn og meðalhóf sé fylgt.
Samþykki
Almennt er gert ráð fyrir því að byggja megi vinnslu persónuupplýsinga á samþykki hins skráða, sbr. 9. gr. laganna.
Hugtakið samþykki er skilgreint í lögunum sem óþvinguð, sértæk, upplýst og ótvíræð viljayfirlýsing hins skráða um að hann samþykki, með yfirlýsingu eða ótvíræðri staðfestingu, vinnslu persónuupplýsinga um sig, sbr. 8. tölulið 1. mgr. 3. gr.
Í vinnusambandi atvinnurekanda og starfsfólks ríkir almennt ekki fullt jafnræði. Af því leiðir að ekki er hægt að treysta því að samþykki starfsmanns fyrir vinnslu persónuupplýsinga uppfylli þau skilyrði sem lögin setja. Aðrir þættir en frjálst og óþvingað samþykki geta vegið þyngra. Starfsmaður kann til dæmis að hafa áhyggur af starfsöryggi sínu neiti hann að veita samþykki sitt. Umsækjandi um starf er sömuleiðis líklegur til að veita samþykki sitt til að tefla ekki í tvísýnu möguleikum sínum. Við þær kringumstæður telst samþykki tæplega frjálst og óþvingað. Af því leiðir að vinnuveitendum er ráðið frá því að styðjast við samþykki sem lagagrundvöll fyrir vinnslu persónuupplýsinga.
Almennt hafa vinnuveitendur fullnægjandi lagaheimildir til vinnslu þeirra persónuupplýsinga sem mesta þýðingu hafa við stofnun og framkvæmd ráðningarsamninga. Vinnsla persónuupplýsinga byggir þannig jafnan á samningsbundinni nauðsyn og/eða fylgni við lagalegar skyldur.
Við ákveðnar aðstæður er samþykki þó beinlínis forsenda þess að vinnslan geti talist lögmæt, einkum ef vinnuveitandi hyggst vinna með viðkvæmar persónuupplýsingar eins og heilsufarsupplýsingar. Við þær aðstæður er gerð krafa um að hinn skráði, þ.e. starfsmaðurinn, veiti afdráttarlaust samþykki sitt fyrir vinnslunni, sbr. 11. gr. persónuverndarlaga. Vinnsla viðkvæmra persónuupplýsinga þarf jafnframt að vera byggð á einni af þeim lagaheimildum sem tilgreindar eru í 9. gr. laganna, þ.e. lagaskylda, samingsskylda o.s.frv.
Sjá nánar 7. gr. persónuverndarreglugerðar (ESB) 2016/679 og leiðbeiningar vinnuhóps framkvæmdastjórnarinnar um samþykki sem lagaheimild í vinnusambandi.
Lagaskylda
Á atvinnurekendum hvíla margvíslegar skyldur sem tengjast starfsmannahaldi og réttindum starfsfólks.
Sem dæmi má nefna skráningu á lögbundnum fjarvistum starfsfólks vegna veikinda, orlofs og fæðingarorlofs. Eins má nefna ákvæði laga um skil vinnuveitanda á gjöldum til stéttarfélaga og lífeyrissjóða.
Þá kallar skattalöggjöfin á skráningu starfsfólks á launagreiðendaskrá, skil á staðgreiðslu og öðrum gjöldum.
Ekki er unnt að uppfylla þær lagaskyldur nema unnið sé með persónuupplýsingar starfsfólks.
Samningsskylda
Vinnsla persónuupplýsinga er heimil ef hún er nauðsynleg er til að efna samning sem hinn skráði er aðili að eða til að gera ráðstafanir að beiðni hins skráða áður en samningur er gerður.
Vinnuveitendur geta því unnið með persónuupplýsingar starfsfólks að því marki sem nauðsynlegt er til að efna ráðningarsamning og skyldur sem leiða af kjarasamningi. Undir þá heimild falla til dæmis greiðsla á launum og samnngsbundnum bótum, skráning dagvinnu og yfirvinnu og meðferð mála við starfslok.
Í sumum tilvikum liggur hvoru tveggja samningsskylda og lagaskylda til grundvallar vinnslu persónuuplýsinga. Ágætt dæmi er frádráttar og skil vinnuveitanda á félagsgjöldum sem byggir á kjarasamningi viðkomandi stéttarfélags og lagaskyldu, sbr. 6. gr. starfskjaralaga.
Lögmætir hagsmunir
Vinnslan er nauðsynleg vegna þeirra lögmætu hagsmuna sem vinnuveitandinn gætir, svo framarlega sem þessir hagsmunir ganga ekki framar grundvallarréttindum og frelsi starfsmanns.