Skip to content

Lagaheimildir

Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum laga um persónuvernd og vinnslu persónuupplýsinga.

Heimildarákvæðin eru tilgreind í 9. gr. persónuverndarlaga, sbr. 6. gr. reglugerðar (ESB) nr. 2016/679.

Vinnsla á persónuupplýsingum starfsfólks getur verið byggð á því að:

  • viðkomandi starfsmaður hafi gefið samþykki sitt,
  • vinnslan sé nauðsynleg til að efna samning,
  • vinnslan sé nauðsynleg til að fullnægja lagaskyldu,
  • vinnslan sé nauðsynleg til að vernda brýna hagsmuni hins skráða eða annars einstaklings,
  • vinnslan sé nauðsynleg vegna verks sem unnið er í þágu almannahagsmuna eða við beitingu opinbers valds, eða
  • vinnslan sé nauðsynleg vegna lögmætra hagsmuna.

Sem ábyrgðaraðila á sviði persónuverndar ber vinnuveitanda að tryggja að lagaheimild sé fyrir vinnslu persónuupplýsinga og að meginreglum persónuverndar, þ.á m. um nauðsyn og meðalhóf sé fylgt.

Samþykki

Í lögum um persónuvernd er gert ráð fyrir því að byggja megi vinnslu persónuupplýsinga á samþykki hins skráða.

Hugtakið samþykki er skilgreint í lögunum sem óþvinguð, sértæk, upplýst og ótvíræð viljayfirlýsing hins skráða um að hann samþykki, með yfirlýsingu eða ótvíræðri staðfestingu, vinnslu persónuupplýsinga um sig.

Í vinnusambandi atvinnurekanda og starfsfólks ríkir almennt ekki fullt jafnræði. Af því leiðir að er ekki hægt að treysta því að samþykki starfsmanns fyrir vinnslu persónuupplýsinga uppfylli framangreind viðmið. Aðrir þættir geta vegið þyngra í huga starfsmanns. Hann kann til dæmis að hafa áhyggur af starfsöryggi sínu neiti hann að veita samþykki sitt. Umsækjandi um starf er sömuleiðis líklegur til að veita samþykki sitt til að tefla ekki í tvísýnu möguleikum sínum. Við þær kringumstæður telst samþykki tæplega frjálst og óþvingað.

Við ákveðnar aðstæður er samþykki þó beinlínis forsenda þess að vinnslan geti talist lögmæt, einkum ef vinnuveitandi hyggst vinna með viðkvæmar persónuupplýsingar eins og heilsufarsupplýsingar. Við þær aðstæður er gerð krafa um að hinn skráði, þ.e. starfsmaðurinn, veiti afdráttarlaust samþykki sitt fyrir vinnslunni, sbr. 11. gr. persónuverndarlaga. Vinnsla viðkvæmra persónuupplýsinga þarf jafnframt að vera byggð á einni af þeim lagaheimildum sem tilgreindar eru í 9. gr. laganna, þ.e. lagaskylda, samingsskylda o.s.frv.

Almennt hafa vinnuveitendur nægar lagaheimildir til vinnslu þeirra persónuupplýsinga sem mesta þýðingu hafa við stofnun og framkvæmd ráðningarsamninga. Vinnsla persónuupplýsinga byggir þannig jafnan á samningsbundinni nauðsyn og/eða fylgni við lagalegar skyldur.

Sjá nánar 7. gr. persónuverndarreglugerðar (ESB) 2016/679 og leiðbeiningar vinnuhóps framkvæmdastjórnarinnar um samþykki sem lagaheimild í vinnusambandi.

Lagaskylda

Á atvinnurekendum hvíla ýmsar lagaskyldur sem tengjast starfsmannahaldi og réttindum starfsfólks.

Má sem dæmi nefna skráningu á lögbundnum fjarvistum starfsfólks vegna veikinda, orlofs og fæðingarorlofs. Eins má nefna ákvæði laga um skil vinnuveitanda á gjöldum til stéttarfélaga og lífeyrissjóða.

Þá leggur skattalöggjöfin skyldur á atvinnurekendur um skráningu starfsfólks á launagreiðendaskrá, skil á staðgreiðslu og öðrum gjöldum.

Ekki er unnt að uppfylla þær lagaskyldur nema unnið sé með persónuupplýsingar starfsfólks.

Samningsskylda

Vinnsla persónuupplýsinga er heimil ef hún er nauðsynleg er til að efna samning sem hinn skráði er aðili að eða til að gera ráðstafanir að beiðni hins skráða áður en samningur er gerður.

Vinnuveitandi getur því unnið með persónuupplýsingar starfsfólks að því marki sem nauðsynlegt er til að efna ráðningarsamning og skyldur sem leiða af kjarasamningi. Undir þá heimild falla ýmis atriði til dæmis greiðsla á launum og samnngsbundnum bótum, skráning dagvinnu og yfirvinnu, endurmenntun, starfsþjálfun og framkvæmd starfsloka.

Tryggja ber að tryggja að vinnsla persónuupplýsinga sé innan þeirra marka sem nauðsynleg er. Þá ber einnig að upplýsa starfsmann um vinnslu persónuupplýsinga og í hvaða tilgangi þær eru unnar.

Í sumum tilvikum liggur hvoru tveggja samningsskylda og lagaskylda til grundvallar vinnslu persónuuplýsinga. Ágætt dæmi er frádráttar og skil vinnuveitanda á félagsgjöldum sem byggir á kjarasamningi viðkomandi stéttarfélags og lagaskyldu, sbr. 6. gr. starfskjaralaga.

Brýnir hagsmunir

Vinnslu persónuupplýsinga er heimil ef hún er nauðsynleg til að vernda brýna hagsmuni hins skráða eða annars einstaklings.

Fyrirtækjum og stofnunum er því heimilt að safna og nota persónuupplýsingar þar sem það er nauðsynlegt í lögmætum tilgangi ef það brýtur ekki gegn réttindum og frelsi einstaklinga.

Ef treysta á þessa heimild til vinnslu persónupplýsinga verður vinnuveitandi fyrst að tilgreina um hvaða lögmæta hagsmuni er að ræða. Hann verður jafnframt að sýna fram á að vinnsla persónuupplýsinga sé nauðsynleg vegna þeirra hagsmuna. Þá ber vinnuveitanda að vega hagsmuni starfsmanns á móti eigin hagsmunum og gæta þess að vinnslan gangi ekki framar hagsmunum starfsmanns.

Lesa má um efni þessa heimildarákvæðis í úrskurði Persónuverndar í máli nr. 2018/538 um aðgangsrétt einstaklings að persónuupplýsingum hjá vinnuveitanda.