Lagaheimildir

Heimildarákvæðin eru talin upp í 9. gr. persónuverndarlaga, sbr. 6. gr. reglugerðar (ESB) nr. 2016/679. Vinnslan getur verið byggð á því að:

1. hinn skráði hafi gefið samþykki sitt,
2. vinnslan sé nauðsynleg til að efna samning,
3. vinnslan sé nauðsynleg til að fullnægja lagaskyldu,
4. vinnslan sé nauðsynleg til að vernda brýna hagsmuni hins skráða eða annars einstaklings,
5. vinnslan sé nauðsynleg vegna verks sem unnið er í þágu almannahagsmuna eða við beitingu opinbers valds, eða
6. vinnslan sé nauðsynleg vegna lögmætra hagsmuna.

Vinnsla persónuupplýsinga í tengslum við gerð og framkvæmd vinnusamninga styðst jafnan við þær heimildir sem vísað er til í 2., 3. 6. og 1. tölulið. Aðrar lagaheimildir eiga síður við.

Sem ábyrgðaraðila á sviði persónuverndar ber vinnuveitanda að tryggja að lagaheimild sé fyrir vinnslu persónuupplýsinga og að meginreglum persónuverndar, þ.á m. um nauðsyn og meðalhóf sé fylgt.

Samþykki

Í almennu persónuverndarlöggjöfinni er gert ráð fyrir að samþykki geti verið grundvöllur vinnslu, sbr. 9. gr. laganna.

Samkvæmt lögunum samþykki skilgreint sem óþvinguð, sértæk, upplýst og ótvíræð viljayfirlýsing hins skráða um að hann samþykki, með yfirlýsingu eða ótvíræðri staðfestingu, vinnslu persónuupplýsinga um sig, sbr. 8. tölulið 1. mgr. 3. gr.

Í ráðningarsambandi ríkir þó almennt ójafnræði milli vinnuveitanda og starfsmanns, sem getur torveldað að samþykki teljist raunverulega frjálst og óþvingað. Starfsmaður getur til dæmis veitt samþykki af ótta við að tefla starfssambandi sínu í hættu. Umsækjandi um starf getur einnig veitt samþykki til að skerða ekki möguleika sína á ráðningu. Við slíkar aðstæður er talið óvíst að samþykki uppfylli lagakröfur. Því er almennt ekki talið æskilegt að vinnuveitendur byggi vinnslu persónuupplýsinga á samþykki.

Í flestum tilvikum hafa vinnuveitendur fullnægjandi heimildir til vinnslu gagna á grundvelli samningsskyldu eða lagaskyldu. Undantekning getur verið þegar unnið er með viðkvæmar persónuupplýsingar, svo sem heilsufarsupplýsingar. Í slíkum tilvikum er skilyrði að starfsmaður veiti ótvírætt samþykki sitt, sbr. 11. gr. persónuverndarlaga, auk þess sem vinnslan verður jafnframt að byggjast á einni af þeim heimildum sem tilgreindar eru í 9. gr. laganna.

Nánari skýringar má finna í 7. gr. persónuverndarreglugerðar (ESB) 2016/679 og í leiðbeiningum framkvæmdastjórnar ESB um samþykki sem lagaheimild í vinnusambandi.

Lagaskylda

Á vinnuveitendum hvíla ýmsar lagaskyldur sem fela í sér vinnslu persónuupplýsinga. Sem dæmi má nefna skráningu lögbundinna fjarvista vegna veikinda, orlofs eða fæðingarorlofs, skil gjalda til stéttarfélaga og lífeyrissjóða, sem og skráningu starfsmanna á launagreiðendaskrá og skil á staðgreiðslu og öðrum gjöldum samkvæmt skattalöggjöf.

Ekki er unnt að uppfylla slíkar skyldur án vinnslu persónuupplýsinga.

Samningsskylda

Vinnsla persónuupplýsinga er einnig heimil ef hún er nauðsynleg til að efna samning sem starfsmaður er aðili að eða til að gera ráðstafanir að beiðni starfsmanns áður en samningur er gerður.

Í ráðningarsambandi fellur þessi heimild oft undir framkvæmd ráðningarsamnings eða kjarasamnings. Dæmi um slíka vinnslu eru greiðsla launa og bóta, skráning vinnustunda, yfirvinnu og meðferð gagna við starfslok.

Í sumum tilvikum liggur hvoru tveggja samningsskylda og lagaskylda til grundvallar. Dæmi um það er frádráttur og skil félagsgjalda til stéttarfélaga, sem byggist bæði á kjarasamningi og ákvæðum laga um starfskjör launafólks.

Lögmætir hagsmunir

Í ákveðnum tilvikum getur vinnsla persónuupplýsinga byggst á lögmætum hagsmunum vinnuveitanda, svo fremi sem slíkir hagsmunir vega þyngra en grundvallarréttindi og frelsi starfsmanns.