Skip to content
OrlofsvefurMínar síður

Starfs­lok og per­sónu­vernd

Þegar ráðningarsambandi lýkur breytist ekki sú grundvallarregla að vinnuveitandi verður að vinna með persónuupplýsingar í samræmi við persónuverndarlög (pvl.). Við starfslok ber vinnuveitanda sérstaklega að:

  • Endurmeta þörf fyrir gögn og eyða persónuupplýsingum sem ekki er lengur þörf á í lögmætum tilgangi. Þetta getur t.d. náð til gagna eins og netfangs, aðgangsheita, lykilorða, innri samskipta eða óþarfa vinnuskráa.
  • Varðveita gögn sem nauðsynleg eru á grundvelli lagaskyldu eða annarra lögmætra hagsmuna, t.d. launa- og skattaupplýsingar, upplýsingar um starfstíma, starfslok, áminningar eða gögn sem tengjast mögulegum ágreiningi eða bótakröfum.
  • Tryggja öryggi persónuupplýsinga, m.a. með því að loka aðgangi að kerfum, stýra aðgangi að netpósti og öðrum rafrænum gögnum og tryggja að einungis þeir sem hafa þörf fyrir upplýsingar komist í þær.
  • Virða réttindi viðkomandi einstaklings, þar á meðal rétt til aðgangs, leiðréttingar, andmæla og í ákveðnum tilvikum eyðingar, þrátt fyrir að ráðningarsambandi sé lokið.
  • Taka mið af sérlögum, t.d. bókhaldslögum, lögum um opinber skjalasöfn, og kjarasamningum, sem geta gert vinnuveitanda skylt að varðveita tilteknar upplýsingar í tiltekinn tíma.

Hvað má varðveita og hve lengi?

Áframhaldandi varðveisla persónuupplýsinga um fyrrverandi starfsfólk er aðeins heimil ef lögmætur grundvöllur vinnslu er enn fyrir hendi, sbr. 8. gr. pvl. Helstu heimildir eru:

  • Lagaskylda (t.d. bókhaldslög og skattalög).
  • Lögmætir hagsmunir vinnuveitanda, t.d. til að verja eða hafa uppi réttarkröfur.
  • Í undantekningartilvikum samningur eða samþykki, en það er sjaldnast raunverulegur grundvöllur eftir starfslok.

Dæmi um lögmæta varðveislu eftir starfslok:

  • Launaupplýsingar og bókhaldsgögn til að uppfylla lögbundna geymsluskyldu, m.a. samkvæmt bókhaldslögum (oftast í 7 ár frá lokum reikningsárs).
  • Gögn vegna ágreinings eða bótaskyldu, t.d. vegna vinnuslysa, meints ólögmæts uppsagnarfangelsis eða annarra réttarágreininga. Geymslutími getur þá miðast við fyrningarfrest kröfuréttinda.
  • Upplýsingar um starfstíma og starfslok til staðfestingar gagnvart Vinnumálastofnun eða öðrum stjórnvöldum.

Vinnuveitandi ber ábyrgð á að meta geymsluþörf í hverju máli og skrá geymslutíma í innri verklagsreglum.

Umsagnir um fyrrverandi starfsmenn

Við veitingu umsagna eða miðlun upplýsinga um fyrrverandi starfsmann til þriðja aðila (t.d. nýs vinnuveitanda) gilda almennar reglur persónuverndarlaga:

  • Lagaheimild þarf að vera til staðar, sbr. 9. gr. pvl. Algengast er að byggja á: lögmætum hagsmunum (t.d. hagsmunum nýs vinnuveitanda af traustum upplýsingum), eða samþykki viðkomandi (sérstaklega ef miðlun er umfangsmikil eða viðkvæm).
  • Tilgangstakmörkun: Miðlun verður að vera í skýrlega afmörkuðum, málefnalegum og lögmætum tilgangi, t.d. til að meta hæfni umsækjanda, en ekki til óskyldra nota.
  • Lágmörkun gagna: Einungis má miðla upplýsingum sem eru nauðsynlegar og viðeigandi, ekki óþörfum eða óhóflega ítarlegum gögnum.
  • Réttindi viðkomandi: Fyrrverandi starfsmenn eiga áfram rétt til aðgangs, leiðréttingar og í ákveðnum tilvikum andmæla vinnslu.

Upplýsingar um þjónustualdur

Upplýsingar um þjónustualdur eru oft nauðsynlegar eftir starfslok, m.a. vegna réttinda á grundvelli kjarasamninga.

  • Ríki og sveitarfélög: Samkvæmt kjarasamningum aðildarfélaga BHM skal við mat á veikindarétti og öðrum réttindum taka mið af þjónustualdri hjá ríki, sveitarfélögum og sjálfseignarstofnunum sem að meirihluta eru kostaðar af almannafé. Því ber opinberum vinnuveitendum að varðveita upplýsingar um þjónustualdur, jafnvel þótt ráðningarsambandi ljúki.
  • Almennur vinnumarkaður: Kjarasamningar geta tryggt flutning veikindaréttar milli vinnuveitenda. Í slíkum tilvikum getur verið nauðsynlegt að varðveita upplýsingar um starfstíma og veikindarétt í tiltekinn tíma.

Lagagrundvöllur fyrir slíkri varðveislu er fyrst og fremst lagaskylda og/eða samningsbundin skylda.

Netpóstur og rafræn gögn við starfslok

Við starfslok þarf að huga sérstaklega að rafrænum gögnum:

  • Skýrar reglur ættu að liggja fyrir um: hvenær lokað er fyrir aðgang fyrrverandi starfsmanns að netpósti og kerfum, hvernig farið er með innbox og send gögn, hve lengi pósthólf eru varðveitt og í hvaða tilgangi.
  • Aðgangur að netpósti og öðrum rafrænum gögnum skal takmarkaður við tilgreinda aðila og byggður á skýrum, skjalfestum tilgangi, t.d. til að tryggja samfellu í þjónustu eða verja réttarkröfur.
  • Fyrrverandi starfsfólk heldur rétti til aðgangs, leiðréttingar, takmörkunar og andmæla varðandi persónuupplýsingar sínar, jafnvel þótt vinnuveitandi haldi áfram að varðveita hluta gagna.

Dæmi úr úrlausnum Persónuverndar sýna að við mat á heimild til skoðunar á netpósti er m.a. horft til:

  • hvort um sé að ræða einkapósta eða vinnupósta,
  • hvort skýr viðbragðsþörf sé til að vernda lögmæta viðskiptahagsmuni,
  • hvort viðkomandi hafi fengið raunhæfan kost á að taka afrit eða eyða einkatölvupósti.

Atvinnuleysi og skyldur vinnuveitanda

Lög um atvinnuleysistryggingar gera ráð fyrir að:

  • umsækjandi um atvinnuleysisbætur tilgreini starfstíma, starfshlutfall og ástæður starfsloka,
  • Vinnumálastofnun geti óskað eftir vottorði frá fyrrverandi vinnuveitanda til staðfestingar upplýsingum, sbr. 16. gr. laganna.

Því ber vinnuveitanda að varðveita að minnsta kosti í tiltekinn tíma:

  • upplýsingar um starfstíma,
  • starfshlutfall,
  • ástæðu starfsloka,
  • upplýsingar um orlofsuppgjör og greiðslur vegna starfsloka.

Í reynd getur þörfin farið fram úr 24 mánuðum, t.d. vegna geymslu áunnins bótaréttar eða annarra lagaskyldna.

Bókhaldsgögn

Samkvæmt bókhaldslögum ber bókhaldsskyldum aðilum að varðveita bókhaldsgögn, þar á meðal:

  • launaseðla,
  • ráðningarsamninga,
  • greiðsluyfirlit og tengd fylgiskjöl,

í sjö ár frá lokum viðkomandi reikningsárs. Þetta gildir jafnt í opinberum rekstri og á almennum vinnumarkaði.

Þetta þýðir að vinnuveitandi getur ekki eytt öllum upplýsingum um fyrrverandi starfsmann við starfslok, jafnvel þótt starfsmaður óski þess, ef lög krefjast varðveislu.

Opinberir aðilar og skjalasöfn

Opinberir aðilar (ráðuneyti, stofnanir, sveitarfélög o.fl.) lúta einnig lögum um opinber skjalasöfn. Af því leiðir m.a.:

  • að tiltekin skjöl og mál þurfi að varðveita til lengri tíma eða varanlega,
  • að eyðing gagna úr starfsmannakerfi þýðir ekki sjálfkrafa eyðingu úr skjalasafni,
  • að skyldan til langtímavarðveislu samkvæmt þeim lögum gengur að jafnaði framar skyldunni til eyðingar samkvæmt persónuverndarlöggjöf, en þá verður að tryggja strangar aðgangsstýringar og öryggi.

Opinberir vinnuveitendur ættu að leita leiðbeininga hjá Þjóðskjalasafni um skyldur sínar varðandi varðveislu, flokkun og aðgang að skjölum sem innihalda persónuupplýsingar.

Agaviðurlög

Agaviðurlög fela yfirleitt í sér vinnslu viðkvæmra persónuupplýsinga um starfsferil og hegðun viðkomandi.

  • Agaviðurlög skulu skráðar og varðveittar í starfsmannaskrá á meðan þeirra er raunveruleg þörf, t.d. við mat á áframhaldandi ráðningu eða við ágreining um réttmæti viðurlaga.
  • Starfsfólk á rétt á að koma á framfæri skriflegum andmælum sé það ósammála efni viðurlaganna eða telur upplýsingar rangar eða ófullnægjandi. Slík andmæli skulu varðveitt samhliða ákvörðun um veitingu agaviðurlaga.
  • Vinnuveitandi skal meta reglulega hvort ástæða sé til að afmá eða takmarka aðgang að eldri viðurlögum , sérstaklega ef: þær eru orðnar gamlar og ekki lengur viðeigandi, starfsmaður hefur t.d. sýnt góðan og óátvíræðan árangur í starfi.

Í opinberum rekstri gilda jafnframt reglur starfsmannalaga um form og efni áminninga, en þær segja þó ekki til um geymslutíma. Persónuverndarreglurnar um meðalhóf og geymslutakmörkun gilda því um slíkar upplýsingar.

Brot á reglum og tilkynningarskylda

Ef upp kemur öryggisbrot á persónuupplýsingum (t.d. ólögmæt birting, glötun eða óheimill aðgangur) ber vinnuveitanda að:

  • meta hvort um sé að ræða brot sem valdið getur einstaklingum áhættu,
  • tilkynna Persónuvernd eins fljótt og auðið er og að jafnaði innan 72 klst. frá því að brotið varð ljóst,
  • tilkynna viðkomandi einstaklingum brotið ef hætta telst til verulegs tjóns eða óþæginda, og skýra hvaða ráðstafanir hafi verið gerðar til úrbóta.

Borgartúni 27, 105 Reykjavík
Kt. 630387-2569

595 5100
Vefkökustillingar
Opnunartími BHM

Opnunartími síma þjónustuvers:
mán. til fim. 10:00 - 14:00
fös. 10:00 - 13:00

Opnunartími skrifstofu:
mán. til fim. 9:00 - 16:00
fös. 9:00 - 13:00

Hagnýtt