Vinnsla Íslandshótela hf. á upplýsingum um veikindafjarvistir starfsmanna
Persónuvernd hefur úrskurðað um vinnslu Íslandshótela hf. á upplýsingum um veikindafjarvistir starfsmanna í eldhúsi hótels í eigu fyrirtæksins. Listi yfir fjarvistirnar hékk um skeið uppi í rými sem aðgengilegt var öllum starfsmönnum hótelsins, en kvartendur og Íslandshótel hf. greindi á um hvernig það kom til. Persónuvernd komst að þeirri niðurstöðu að þó að skráning veikindafjarvista starfsmanna geti talist eðlilegur hluti af starfsemi vinnuveitanda hefðu Íslandshótel hf. ekki tryggt öryggi upplýsinganna líkt og áskilið er í 6. tölul. 1. mgr. 8. gr. laga nr. 90/2018. Samrýmdist vinnslan því ekki ákvæðum laganna og lagði Persónuvernd fyrir Íslandshótel hf. að setja sér verklagsreglur um meðferð persónuupplýsinga um starfsmenn fyrirtækisins.
Úrskurður
Á fundi stjórnar Persónuverndar hinn 20. desember 2019 var kveðinn upp svohljóðandi úrskurður í máli nr. 2019/0490:
I.
Málsmeðferð
1.
Tildrög máls
Hinn 27. febrúar 2019 barst Persónuvernd kvörtun frá Eflingu - stéttarfélagi, fyrir hönd ótilgreindra félagsmanna sinna, yfir meðferð og meðhöndlun Íslandshótela hf. á upplýsingum um fjarvistir starfsmanna hótels í eigu fyrirtækisins, [X], vegna veikinda.
Með bréfi, dags. 6. júní 2019, upplýsti Persónuvernd Eflingu - stéttarfélag um þá afstöðu sína að félagið uppfyllti ekki skilyrði til að koma fram fyrir hönd félagsmanna sinna án þess að fyrir lægi umboð þar að lútandi, sbr. 2. mgr. 39. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og 1. mgr. 80. gr. reglugerðar (ESB) 2016/679. Þann 5. júlí 2019 lagði lögmaður Eflingar - stéttarfélags fram umboð tveggja starfsmanna [X], [A] og [B] (hér eftir nefnd kvartendur), dags. 2. júlí s.á., þar sem lögmanni ASÍ var veitt umboð til að kvarta til Persónuverndar fyrir þeirra hönd vegna fyrrnefndrar vinnslu.
Með bréfi, dags. 29. ágúst 2019, var Íslandshótelum hf. boðið að koma á framfæri skýringum vegna kvörtunarinnar. Svarað var með bréfi, dags. 6. september s.á. Með bréfi, dags. 1. október 2019, var kvartendum boðið að koma að athugasemdum við sjónarmið Íslandshótela hf. og bárust athugasemdir kvartenda ásamt fylgigögnum með bréfi, dags. 21. október s.á.
Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna.
2.
Sjónarmið kvartenda
Kvörtunin lýtur að því að meðferð Íslandshótela hf. á upplýsingum um fjarvistir starfsmanna vegna veikinda hafi ekki samrýmst lögum nr. 90/2018. Byggja kvartendur á því að rekstrarstjóri [X] hafi hengt upp lista yfir fjölda veikindafjarvista starfsmanna í eldhúsi á tilteknu tímabili í rými sem sé aðgengilegt öllum starfsmönnum hótelsins. Þessi aðgerð hafi falið í sér vinnslu umræddra persónuupplýsinga án samþykkis þeirra einstaklinga sem upplýsingarnar vörðuðu, en kvartendur eru þeirra á meðal. Um sé að ræða viðkvæmar persónuupplýsingar í skilningi laga nr. 90/2018 enda geti upplýsingar um fjarvistir frá vinnu vegna veikinda vart talist annað en persónuupplýsingar sem varði líkamlegt eða andlegt heilbrigði. Kvartendur hafa hafnað fullyrðingum Íslandshótela hf. þess efnis að umræddur listi hafi verið tekinn ófrjálsri hendi af skrifstofu yfirmanns og hengdur upp án vitundar hans eða fyrirtækisins og hafa lýst því yfir að tilteknir yfirmenn hafi hengt listann upp.
3.
Sjónarmið Íslandshótela hf.
Íslandshótel hf. byggja á því að nauðsynlegt sé að halda skrá yfir veikinda- og orlofsdaga starfsmanna til að tryggja rétta framkvæmd ráðningar- og kjarasamninga. Vinnslan styðjist því við 2. tölul. 1. mgr. 11. gr. laga nr. 90/2018, sbr. einnig 2. og 3. tölul. 9. gr. sömu laga. Þá sé skráning á fjarvistum vegna veikinda og orlofs eðlilegur, lögmætur og nauðsynlegur hluti af skyldum Íslandshótela hf. sem vinnuveitanda til að fyrirtækið geti efnt ráðningarsamninga aðila og lagt mat á efndir gagnaðila. Þannig hafi vinnslan samrýmst meginreglum 8. gr. laga nr. 90/2018. Sú vinnsla hafi því verið lögmæt að mati Íslandshótela hf. Hins vegar hafi listi yfir fjarvistir starfsmanna vegna veikinda ekki verið hengdur upp í sameiginlegu rými með vitund eða vilja fyrirtækisins, heldur hafi listinn verið tekinn ófrjálsri hendi af skrifstofu yfirmanns og hengdur upp í kjölfarið. Þannig hafi orðið öryggisbrestur og hafi Persónuvernd verið tilkynnt um hann þann 27. febrúar 2019.
II.
Forsendur og niðurstaða
1.
Gildissvið – Ábyrgðaraðili
Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá.
Til persónuupplýsinga teljast upplýsingar um persónugreindan eða persónugreinanlegan einstakling og telst einstaklingur persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, með tilvísun í auðkenni hans eða einn eða fleiri þætti sem einkennandi eru fyrir hann, sbr. 2. tölul. 3. gr. laganna og 1. tölul. 4. gr. reglugerðarinnar.
Með vinnslu er átt við aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort heldur vinnslan er sjálfvirk eða ekki, sbr. 4. tölul. 3. gr. laganna og 2. tölul. 4. gr. reglugerðarinnar.
Mál þetta lýtur að vinnslu upplýsinga um fjarvistir starfsmanna frá vinnu vegna veikinda. Að því virtu og með hliðsjón af framangreindum ákvæðum varðar mál þetta vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Samkvæmt 6. tölul. 3. gr. laganna er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 7. tölul. 4. gr. reglugerðarinnar. Eins og hér háttar til teljast Íslandshótel hf. vera ábyrgðaraðili að umræddri vinnslu.
2.
Lögmæti vinnslu
Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018. Má þar nefna að vinna má með persónuupplýsingar sé það nauðsynlegt til að efna samning sem hinn skráði er aðili að, sbr. 2. tölul. þeirrar greinar, eða til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila, sbr. 3. tölul. sömu greinar. Að auki verður vinnsla viðkvæmra persónuupplýsinga að samrýmast einhverju af viðbótarskilyrðum 1. mgr. 11. gr. laganna. Samkvæmt b.-lið 3. tölul. 3. gr. laganna eru heilsufarsupplýsingar, þ.e. persónuupplýsingar sem varða líkamlegt eða andlegt heilbrigði einstaklings, viðkvæmar, en af kvörtun verður ráðið að unnið hafi verið með upplýsingar um fjarveru kvartenda frá vinnu vegna veikinda. Eins og hér háttar til kemur þá einkum til skoðunar 2. tölul. 1. mgr. 11. gr., þess efnis að vinnsla viðkvæmra persónuupplýsinga sé heimil sé hún nauðsynleg til þess að ábyrgðaraðili eða hinn skráði geti staðið við skuldbindingar sínar og nýtt sér tiltekin réttindi samkvæmt vinnulöggjöf.
Auk heimildar samkvæmt framangreindu verður vinnsla persónuupplýsinga að fullnægja öllum grunnkröfum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 5. gr. reglugerðar (ESB) 2016/679. Er þar meðal annars kveðið á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða (1. tölul.); að þær skuli fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.); og að þær skuli unnar með þeim hætti að viðeigandi öryggi persónuupplýsinganna sé tryggt (6. tölul.).
Mál þetta lýtur að birtingu lista sem innihélt upplýsingar um fjarveru nafngreindra starfsmanna í eldhúsi [X] frá vinnu vegna veikinda á tilteknu tímabili. Skráning fjarvista starfsmanna vegna veikinda getur talist eðlilegur þáttur í starfsemi vinnuveitanda. Í 4.-6. gr. laga nr. 19/1979 um rétt verkafólks til uppsagnarfrests frá störfum og til launa vegna sjúkdóms- og slysaforfalla er fjallað um rétt til launa í veikindum. Af þeim ákvæðum er ljóst að viss vinnsla heilsufarsupplýsinga af hálfu vinnuveitanda er óhjákvæmileg til að launþegi geti nýtt sér þann rétt. Slík vinnsla persónuupplýsinga getur því byggst á 3. tölul. 9. gr., sbr. 2. tölul. 1. mgr. 11. gr. laga nr. 90/2018 að því marki sem nauðsynlegt er til að tryggja að aðilar standi við skuldbindingar sínar samkvæmt vinnulöggjöf, þ.m.t. að því er varðar lögbundinn veikindarétt starfsmanna, sbr. fyrrnefnd ákvæði laga nr. 19/1979. Eins og áður greinir þarf vinnslan þó alltaf að samrýmast grunnkröfum 8. gr. laga nr. 90/2018 og skal ábyrgðaraðili geta sýnt fram á það. Í máli þessu greinir aðila á um hvort yfirmenn hafi hengt umræddan lista upp, eða hvort hann hafi verið tekinn ófrjálsri hendi af skrifstofu yfirmanns og hengdur upp án vitundar ábyrgðaraðila. Eftir stendur það sem óumdeilt er; að listinn hékk um skeið uppi í sameiginlegu rými starfsmanna hótelsins. Því kemur hér einkum til skoðunar hvort viðeigandi öryggi persónuupplýsinga um starfsmenn hafi verið tryggt, sbr. 6. tölul. 1. mgr. 8. gr. laga nr. 90/2018.
Af gögnum málsins er ljóst að upplýsingar um fjarveru starfsmanna í eldhúsi [X] var ekki einungis að finna í sérstöku tölvukerfi, heldur einnig á útprentuðum lista. Enn fremur virðist ljóst að listinn hafi upphaflega verið varðveittur á skrifstofu yfirmanns í eldhúsi. Í ljósi þessa og þeirra krafna sem lög nr. 90/2018 gera til öryggis við vinnslu viðkvæmra persónuupplýsinga er það mat Persónuverndar að ábyrgðaraðili hafi ekki tryggt nægilega vel að upplýsingar um fjarvistir starfsmanna vegna veikinda kæmu ekki fyrir augu óviðkomandi aðila. Var viðeigandi öryggi upplýsinganna því ekki tryggt líkt og áskilið er í 6. tölul. 1. mgr. 8. gr. laga nr. 90/2018.
Þegar af þeirri ástæðu er niðurstaða Persónuverndar sú að vinnsla Íslandshótela hf. á persónuupplýsingum um kvartendur hafi ekki samrýmst lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga.
Í samræmi við þessa niðurstöðu, og með vísan
til 4. tölul. 42. gr. laga nr. 90/2018, er hér með lagt fyrir Íslandshótel hf.
að setja verklagsreglur um meðferð persónuupplýsinga um starfsmenn
fyrirtækisins. Íslandshótel hf. skulu tryggja að reglurnar séu aðgengilegar
öllum starfsmönnum og jafnframt kynna þær sérstaklega fyrir öllum stjórnendum
innan fyrirtækisins. Skal staðfesting á því að farið hafi verið að þessum
fyrirmælum berast Persónuvernd eigi síðar en 27. janúar 2020.
Ú r s k u r ð a r o r ð:
Vinnsla Íslandshótela hf. á upplýsingum um veikindafjarvistir [A] og [B] samrýmdist ekki lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga.
Með vísan til 4. tölul. 42. gr. laga nr. 90/2018 er lagt fyrir Íslandshótel hf. að setja sér verklagsreglur um meðferð persónuupplýsinga um starfsmenn fyrirtækisins.
Íslandshótel hf. skulu tryggja að verklagsreglurnar séu aðgengilegar öllum starfsmönnum og jafnframt kynna þær sérstaklega fyrir öllum stjórnendum innan fyrirtækisins.
Skal
staðfesting á því að farið hafi verið að þessum fyrirmælum berast Persónuvernd
eigi síðar en 27. janúar 2020.
Í Persónuvernd, 20. desember 2019
Björg Thorarensen
formaður
Aðalsteinn Jónasson Ólafur Garðarsson
Vilhelmína Haraldsdóttir Þorvarður Kári Ólafsson