Vinnsla persónuupplýsinga við greiningu á starfsumhverfi
Mál nr. 2020092259
Gildissvið persónuverndarlaga og valdsvið Persónuverndar nær til vinnslu persónuupplýsinga. Persónuupplýsingahugtakið er víðfeðmt og tekur til allra upplýsinga, álita og umsagna sem beint eða óbeint má tengja tilteknum einstaklingi, þ.e. upplýsinga sem séu persónugreindar eða persónugreinanlegar. Upplýsingar geta talist persónuupplýsingar samkvæmt persónuverndarlögum ef þeir sem þekkja til hlutaðeigandi geta borið kennsl á hann á grundvelli upplýsinganna, þrátt fyrir það sé eftir atvikum ekki á allra færi.
Öll vinnsla persónuupplýsinga verður að byggjast á heimild í persónuverndarlögum. Það fer eftir tilgangi vinnslunnar hvaða heimild getur átt við í hvert sinn. Þá verður vinnsla, s.s. öflun og notkun persónuupplýsinga, að vera með lögmætum, sanngjörnum og gagnsæjum hætti. Vinnslan verður að vera nauðsynleg og upplýsingarnar fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi.
Einstaklingar eiga almennt rétt á upplýsingum um vinnslu persónuupplýsinga þeirra, hvort sem persónuupplýsinganna er aflað frá þeim sjálfum eða ekki.
Þegar persónuupplýsinga er aflað frá öðrum en hinum skráða, gildir fræðsluskyldan hins vegar ekki, ef skýrt er mælt fyrir um öflun eða miðlun upplýsinganna í lögum.
----
Persónuvernd úrskurðaði í máli þar sem kvartað var yfir vinnslu persónuupplýsinga kvartanda við greiningu á starfsumhverfi hjá vinnustaðnum X sem sálfræðistofan Y hafði umsjón með. Nánar tiltekið var kvartað yfir því að X og Y hefðu ekki haft heimild fyrir vinnslunni og að kvartandi hefði ekki fengið fullnægjandi fræðslu um vinnsluna.
Í málinu reyndi á hvort efni greiningarskýrslu hefði geymt persónuupplýsingar um kvartanda, þrátt fyrir að nafn kvartanda hefði ekki komið fram í henni. Taldi Persónuvernd þær upplýsingar sem fram komu í skýrslunni gætu verið persónugreinanlegar um kvartanda, a.m.k. fyrir þá sem til starfsumhverfisins þekktu. Var því litið svo á að málið varðaði vinnslu persónuupplýsinga sem félli undir valdsvið Persónuverndar.
Niðurstaða Persónuverndar var sú að vinnsla X og Y hefði verið nauðsynleg og farið fram á grundvelli heimildar í lögum. Þar sem mælt var fyrir um vinnsluna í lögum taldi Persónuvernd að X hefði ekki verið skylt að veita kvartanda fræðslu um vinnsluna þegar upplýsinga var aflað frá öðrum en kvartanda. Þá taldi Persónuvernd að X og Y hefðu uppfyllt skilyrði um gagnsæi við vinnsluna, vegna þeirra upplýsinga sem veittar voru kvartanda áður en vinnslan fór fram.
Niðurstaða Persónuverndar var því sú að vinnsla X og Y á persónuupplýsingum um kvartanda hefði samrýmst persónuverndarlöggjöfinni.
Úrskurður
Hinn 26. júní 2023 kvað Persónuvernd upp svohljóðandi úrskurð í máli nr. 2020092259:
I.
Málsmeðferð
1.
Tildrög máls
Hinn [...] barst Persónuvernd kvörtun frá [A] (hér eftir kvartandi) yfir vinnslu persónuupplýsinga í tengslum við framkvæmd á sálfélagslegu áhættumati við greiningu á starfsumhverfi hjá [vinnustaðnum X] sem [sálfræðistofan Y] hafði umsjón með.
Með bréfum, dags. [...], var [X] og [Y] boðið að koma á framfæri skýringum vegna kvörtunarinnar. Svarað var með bréfum, dags. [...]. Með bréfum, dags. [...], óskaði Persónuvernd frekari skýringa frá [Y] og [X]. Svarað var með bréfum, dags. [...]. Með tölvupósti þann [...] óskaði Persónuvernd enn frekari upplýsinga frá [X]. Svarað var með bréfi, dags.[...]. Með bréfi, dags. [...], ítrekuðu [...] s.á, var kvartanda gefinn kostur á að koma að athugasemdum við sjónarmið [Y] og [X]. Bárust athugasemdir kvartanda með tölvupósti þann [...]. Þann [...] fóru starfsmenn Persónuverndar í vettvangsathugun á starfsstöð [X] og skoðuðu skýrslu sem unnin var í tengslum við það áhættumat sem kvörtunin lýtur að.
Kynning á úttekt [Y] á starfsumhverfi hjá [X] fór fram á fundi [hjá vinnustaðnum]. Persónuvernd bárust athugasemdir frá kvartanda vegna þeirrar kynningar með tölvupósti [...] en þeim fylgdi jafnframt bréf frá kvartanda, dags. [...].
Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna, þó ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi úrskurði.
Meðferð málsins hefur tafist vegna anna hjá Persónuvernd.
2.
Sjónarmið kvartanda
Af hálfu kvartanda var kvartað yfir því að þá fyrirhuguð úttekt á sálfélagslegum áhættuþáttum í starfsumhverfi starfsfólks sem situr [eða sækir reglulega tiltekna fundi á vegum X] stæðist ekki lög um persónuvernd. Kvartað var yfir lögmæti vinnslunnar og að farið hefði verið af stað með hana án samþykkis Persónuverndar, eða eftir atvikum annarra. Kvartandi hefði ekki veitt samþykki sitt fyrir að unnið væri með persónuupplýsingar um hana og hún hefði ekki þegið boð um viðtal og þátttöku. Þá var jafnframt kvartað yfir því að ekki hefði verið upplýst með fullnægjandi hætti um tilgang vinnslunnar og að fræðsla að öðru leyti hefði ekki verið fullnægjandi. Einnig var kvartað yfir því að þeir sem úttektin beindist að og rætt yrði við myndu ekki fá aðgang að niðurstöðum úttektaraðilans.
Í bréfi kvartanda, dags. [...], var að finna athugasemdir vegna kynningar [X] á úttekt [Y]. Lutu athugasemdirnar að því að á fundinum hefði trúnaði verið aflétt og að rökstuðningi fyrir könnuninni hefði verið breytt í vinnuferlinu. Ekki hefði verið orðið við beiðni hennar um að stöðva vinnsluna þar til úrskurður Persónuverndar lægi fyrir. Taldi kvartandi að [X] hefði meðal annars brotið gegn 28. gr. laga nr. 90/2018, sem fjallar um samvinnu við Persónuvernd, með því að birta niðurstöður úttektarinnar án samráðs við Persónuvernd þar sem stofnunin hefði ekki lokið meðferð málsins.
3.
Sjónarmið [X]
Af hálfu [X] hefur komið fram að úttektin sem um ræðir feli í sér sálfélagslegt áhættumat á grundvelli laga nr. 46/1980, um aðbúnað, hollustuhætti og öryggi á vinnustöðum, sbr. ákvæði XI. kafla þeirra laga, einkum 1. mgr. 65. gr. og 1. mgr. 65. gr. a, sbr. einnig reglugerð nr. 920/2006, um skipulag og framkvæmd vinnuverndarstarfs á vinnustöðum. Hvað varðar fræðslu vísar [X] til tölvupósts sem sendur var þann [...] til þeirra sem boðin var þátttaka í úttektinni og fræðslubréfs [X] sem sent var þátttakendum með tölvupósti [...].
4.
Sjónarmið [Y]
Af hálfu [Y] er vísað til samnings sem gerður var við [X] um mat á starfsumhverfi og úttekt á sálfélagslegum áhættuþáttum vegna beiðni [X] þar um auk samkomulags á milli [X] og [Y] sem sameiginlegra ábyrgðaraðila um vinnslu persónuupplýsinga. Í samningnum sé markaður rammi utan um verkefnið og sett ákvæði um söfnun og meðferð persónuupplýsinga. Tilgangur vinnslunnar sé skilgreindur í 1. gr. samningsins en hann sé að framkvæma mat á starfsumhverfi og gera úttekt á sálfélagslegum þáttum í umhverfi starfsfólks [X] sem ýmist sitji eða komi reglulega fyrir [tiltekna] fundi [á vegum X], með vísan til XI. kafla laga nr. 46/1980, um aðbúnað, hollustuhætti og öryggi á vinnustöðum. Þá séu aðferðir við vinnslu persónuupplýsinga tilgreindar í samningnum en þær séu ákveðnar af aðilum í sameiningu og [Y] taki að sér verkefnið sem fagaðili á sviði vinnustaðagreininga og rannsókna á einstökum þáttum er lúti að samskiptum og vellíðan á vinnustað. Jafnframt kemur fram að gert sé ráð fyrir upplýstu samþykki þeirra einstaklinga sem taki þátt í könnunni. Í svörum [Y] kemur einnig fram að þær upplýsingar sem veittar séu í viðtölunum séu eingöngu varðveittar í stuttan tíma og sé þeim eytt um leið og skýrslan sé tilbúin og eins verði þær ekki afhentar [X]. Í niðurstöðuskýrslunni komi fram nöfn þátttakenda í heildarnafnalista í inngangi og sé það byggt á samþykki þátttakenda. Auk þess segir að í niðurstöðuskýrslunni komi óhjákvæmilega fram upplýsingar sem m.a. séu fengnar frá viðmælendum við vinnslu könnunarinnar. Þar sem um afmarkaðan hóp viðmælenda sé að ræða sé ekki unnt að gera niðurstöðurnar ópersónugreinanlegar með öllu. Enginn fái hins vegar aðgang að þeim upplýsingum nema verkkaupi, þ.e. [X].
5.
Vettvangsathugun Persónuverndar
Hinn [...] fóru tveir starfsmenn Persónuverndar á starfsstöð [X] í [...] til þess að skoða innihald niðurstöðuskýrslu um sálfélagslegt áhættumat við greiningu á starfsumhverfi hjá [X] sem [Y] vann fyrir [X]. Í skýrslunni var að finna lista yfir nöfn allra viðmælenda en kvartandi var ekki þar á meðal né var hún nafngreind annars staðar í skýrslunni. Skoðun skýrslunnar leiddi þó í ljós að þrátt fyrir að kvartandi væri ekki nafngreind í henni mátti þar finna upplýsingar sem raktar verða til hennar. Verður því við það miðað að skýrslan hafi innihaldið persónuupplýsingar um kvartanda, sbr. nánari umfjöllun í kafla II.1 hér á eftir.
II.
Forsendur og niðurstaða
1.
Gildissvið
Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá.
Til persónuupplýsinga teljast upplýsingar um persónugreindan eða persónugreinanlegan einstakling og telst einstaklingur persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, með tilvísun í auðkenni hans eða einn eða fleiri þætti sem einkennandi eru fyrir hann, sbr. 2. tölul. 3. gr. laganna og 1. tölul. 4. gr. reglugerðarinnar. Með viðkvæmum persónuupplýsingum er meðal annars átt við heilsufarsupplýsingar, sbr. b-lið 3. tölul. 3. gr. laganna.
Mál þetta lýtur að framkvæmd á sálfélagslegu áhættumati við greiningu á starfsumhverfi tiltekinna starfsmanna [X] sem lauk með skriflegri skýrslu. Kvartandi er ekki starfsmaður [X] en [var þó] boðin þátttaka með viðtali við [Y], [en þáði ekki boðið]. [...]
Með vísan til framangreinds þarf að skera úr um hvort efni skýrslunnar hafi falið í sér vinnslu persónuupplýsinga um kvartanda, þrátt fyrir að [skýrslan hafi ekki geymt nafn kvartanda].
Í athugasemdum við 2. tölul. 3. gr. frumvarps til laga nr. 90/2018 er vísað til þess að hugtakið persónuupplýsingar sé víðfeðmt og taki til allra upplýsinga, álita og umsagna sem beint eða óbeint megi tengja tilteknum einstaklingi, þ.e. upplýsinga sem séu persónugreindar eða persónugreinanlegar. Kjarni persónuupplýsingahugtaksins lúti að því að upplýsingar megi rekja til einstaklings, beint eða óbeint. Í 26. lið formálsorða reglugerðar (ESB) 2016/679 kemur meðal annars fram að til þess að ákvarða hvort einstaklingur er persónugreinanlegur ætti að taka mið af öllum þeim aðferðum sem ástæða er til að ætla að annaðhvort ábyrgðaraðili eða annar aðili geti beitt til að bera kennsl á viðkomandi einstakling með beinum eða óbeinum hætti. Að mati Persónuverndar geta upplýsingar því talist til persónuupplýsinga samkvæmt lögunum ef þeir sem þekkja til hlutaðeigandi geta borið kennsl á hann á grundvelli upplýsinganna, þótt það sé eftir atvikum ekki á allra færi.
Með hliðsjón af framansögðu, efni skýrslunnar og málsatvikum að öðru leyti verður að telja að upplýsingar sem fram koma í skýrslunni geti verið persónugreinanlegar um kvartanda, a.m.k. fyrir þá sem til starfsumhverfisins þekkja, þrátt fyrir að nafn kvartanda komi ekki fram.
Að þessu virtu og með hliðsjón af framangreindum ákvæðum varðar mál þetta vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.
2.
Ábyrgðaraðili
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Samkvæmt 6. tölul. 3. gr. laganna er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 7. tölul. 4. gr. reglugerðarinnar.
Eins og áður hefur komið fram er í gögnum máls meðal annars að finna samkomulag [X] og [Y] um vinnslu persónuupplýsinga á milli sameiginlegra ábyrgðaraðila, dags. [...].
Ef tveir eða fleiri aðilar eru sameiginlegir ábyrgðaraðilar að vinnslu persónuupplýsinga skulu þeir á gagnsæjan hátt ákveða ábyrgð hvers um sig á því að skuldbindingar samkvæmt reglugerðinni séu uppfylltar, einkum hvað snertir beitingu réttinda hinna skráðu og skyldur hvers um sig til að láta í té upplýsingarnar sem um getur í 13. og 14. gr. með samkomulagi sín á milli, sbr. 1. mgr. 26. gr. reglugerðarinnar. Samkomulag samkvæmt framangreindu skal endurspegla með tilhlýðilegum hætti hlutverk og tengsl hvers ábyrgðaraðila gagnvart skráðum einstaklingum og skal megininntak samkomulagsins gert þeim aðgengilegt, sbr. 2. mgr. sömu greinar.
Gögn málsins bera með sér að ákvörðun um að framkvæma skyldi hið sálfélagslega áhættumat var tekin af hálfu [X]. Hlutverk [Y] var að taka viðtöl við [einstaklinga tengda X] sem samþykktu þátttöku, framkvæma matið og skrifa um það skýrslu sem afhent var [X].
Nánar er fjallað um samstarf [X] og [Y] í tengslum við gerð skýrslunnar í fyrrgreindu samkomulagi, dags. [...]. Kemur þar fram að [X] og [Y] teljist sameiginlegir ábyrgðaraðilar að vinnslu persónuupplýsinga í tengslum við gerð umræddrar skýrslu. Í samkomulaginu er að finna lýsingu á ábyrgð og vinnslu hvors aðila um sig. Þeirri lýsingu er skipt eftir vinnsluheimildum og tegundum persónuupplýsinga sem hvor aðili hefur aðgang að. Þá er þar einnig að finna lýsingu á tengslum hvors ábyrgðaraðila um sig við viðmælendur. Auk framangreinds kemur fram að aðilar samkomulagsins beri sameiginlega ábyrgð á því að veita fræðslu í samræmi við 13. og 14. gr. reglugerðar (ESB) 2016/679.
Með vísan til framangreinds telur Persónuvernd ekki tilefni til annars en að leggja til grundvallar að [X] og [Y] teljist sameiginlegir ábyrgðaraðilar vinnslunnar í skilningi 23. gr. laga nr. 90/2018, sbr. einnig 26. gr. reglugerðarinnar.
3.
Afmörkun máls
Í kvörtuninni er kvartað yfir því að þeir sem úttektin beindist að og rætt yrði við myndu ekki fá aðgang að niðurstöðum skýrslunnar. Þar sem ekki liggur fyrir að óskað hafi verið eftir aðgangi að niðurstöðum skýrslunnar, og þar af leiðandi ekki verið veitt svör af hálfu ábyrgðaraðila hvað slíka aðgangsbeiðni varðar, mun Persónuvernd ekki fjalla nánar um þann þátt kvörtunarinnar í úrskurði þessum og er honum vísað frá.
4.
Lögmæti vinnslu
Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018, sbr. 6. gr. reglugerðar (ESB) 2016/679. Má þar nefna að vinna má með persónuupplýsingar sé það nauðsynlegt til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila, sbr. 3. tölul. 9. gr. laganna (sbr. c-lið 1. mgr. 6. gr. reglugerðarinnar), við beitingu opinbers valds, sbr. 5. tölul. lagaákvæðisins (sbr. e-lið reglugerðarákvæðisins) eða vegna lögmætra hagsmuna sem ábyrgðaraðili eða þriðji maður gætir nema hagsmunir eða grundvallarréttindi og frelsi hins skráða sem krefjast verndar persónuupplýsinga vegi þyngra, sbr. 6. tölul. 9. gr. laganna og f-lið 1. mgr. 6. gr. reglugerðarinnar. Að auki verður vinnsla viðkvæmra persónuupplýsinga að samrýmast einhverju af viðbótarskilyrðum 1. mgr. 11. gr. laganna, sbr. 2. mgr. 9. gr. reglugerðarinnar. Eins og hér háttar til verður þó ekki séð að unnið hafi verið með viðkvæmar persónuupplýsingar um kvartanda, eins og þær eru skilgreindar í 3. tölul. 3. gr. laganna.
Við mat á heimild til vinnslu verður einnig að líta til ákvæða í öðrum lögum sem við eiga hverju sinni. Hér koma helst til skoðunar lög um aðbúnað, hollustuhætti og öryggi á vinnustöðum nr. 46/1980 og reglur settar samkvæmt þeim. Í 13. gr. laganna segir að atvinnurekandi skuli tryggja að gætt sé fyllsta öryggis og góðs aðbúnaðar og hollustuhátta á vinnustað. Er í ákvæðinu vísað sérstaklega til tiltekinna kafla laganna hvað frekari útfærslu varðar, m.a. XI. kafla um áhættumat, heilsuvernd og heilsufarsskoðanir. Í 65. gr. a segir meðal annars að atvinnurekandi beri ábyrgð á að gert sé sérstakt áhættumat þar sem meta skuli áhættu í starfi með tilliti til öryggis og heilsu starfsmanna og áhættuþátta í vinnuumhverfi. Skyldur atvinnurekanda hvað þetta varðar eru nánar útfærðar í reglugerðum sem settar eru með stoð í ákvæðinu.
Auk heimildar samkvæmt framangreindu verður vinnsla persónuupplýsinga að samrýmast öllum meginreglum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 5. gr. reglugerðar (ESB) 2016/679. Er þar meðal annars kveðið á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða (1. tölul. lagaákvæðisins); að þær skuli fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.) og að þær skuli vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.).
Samkvæmt skýringum [X] var ástæða þess að umrædd úttekt var framkvæmd sú að mannauðs- og starfsumhverfissviði [X] höfðu borist ábendingar um að skoða þyrfti starfsumhverfi þessara tilteknu starfsmanna. [X] beri sem vinnuveitandi lagaskyldu gagnvart sínum starfsmönnum til að tryggja þeim öruggt starfsumhverfi á grundvelli framangreindra ákvæða.
Líkt og áður hefur komið fram er kvartandi ekki starfsmaður [X] [...]. Í ljósi tilgangs úttektarinnar var [kvartanda] þó boðin þátttaka á grundvelli samþykkis [...]. Kvartandi þáði þó ekki boð um þátttöku og var því ekki aflað upplýsinga frá [kvartanda]. Eðli máls samkvæmt gat ábyrgðaraðili þó ekki haft stjórn á því hvaða upplýsingar þátttakendur veittu í viðtölum við [Y] um persónulega upplifun sína af samskiptum við aðra einstaklinga, þar á meðal kvartanda.
Með vísan til framangreinds verður því að mati Persónuverndar talið að vinnsla persónuupplýsinga um starfsmenn [X] í tengslum við framkvæmd á sálfélagslegu áhættumati af hálfu [X] geti stuðst við 3. tölul. 9. gr. laga nr. 90/2018, sbr. c-lið 1. mgr. 6. gr. reglugerðarinnar.
Að mati Persónuverndar verður að telja óhjákvæmilegt að við framkvæmd á sálfélagslegu áhættumati við greiningu á starfsumhverfi starfsmanna líkt og hér um ræðir fari fram vinnsla persónuupplýsinga eða persónugreinanlegra upplýsinga sem varða ekki eingöngu þann einstakling sem tjáir sig í viðtali við sálfræðistofuna. Þá gat ábyrgðaraðili ekki, sem fyrr segir, haft stjórn á því hvaða upplýsingar umræddir einstaklingar veittu í viðtölum við [Y], eða um hverja. Þó má ljóst vera að tilgangi úttektar af þessu tagi verður ekki náð ef takmörk eru sett við því hvaða einstaklinga þátttakendur mega fjalla um og hverja ekki. Verður því að telja að vinnsla upplýsinga um aðra einstaklinga sem tengjast vinnustaðnum, þar á meðal kvartanda, geti jafnframt talist nauðsynleg til að uppfylla lagaskyldu, sbr. 3. tölul. 1. mgr. 9. gr. laga nr. 90/2018 og c-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679, sbr. áðurnefnd ákvæði laga nr. 46/1980.
5.
Fræðsla til kvartanda
Líkt og fyrr greinir þarf öll vinnsla persónuupplýsinga að samrýmast meginreglum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Samkvæmt 1. tölul. lagaákvæðisins skal þess gætt við vinnslu persónuupplýsinga að þær séu unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða. Við mat á því hvort skilyrðið um gagnsæja vinnslu telst uppfyllt getur eftir atvikum þurft að líta til ákvæða laganna og reglugerðarinnar um fræðsluskyldu ábyrgðaraðila. Samkvæmt 2. mgr. 17. gr. laganna á skráður einstaklingur rétt til upplýsinga um vinnslu persónuupplýsinga hans, hvort sem persónuupplýsinganna er aflað hjá honum sjálfum eða ekki, samkvæmt fyrirmælum 13.-15. gr. reglugerðar (ESB) 2016/679. Þegar persónuupplýsinga er aflað frá öðrum en hinum skráða sjálfum ber almennt að veita honum fræðslu í samræmi við 14. gr. reglugerðarinnar. Ákvæði 14. gr. um fræðsluskyldu á hins vegar ekki við ef skýrt er mælt fyrir um öflun eða miðlun upplýsinganna í lögum, sbr. c-lið 5. mgr. 14. gr. reglugerðarinnar.
Eins og áður er rakið er það mat Persónuverndar að vinnsla persónuupplýsinga í þágu sálfélagslegs áhættumats við greiningu á starfsumhverfi starfsmanna hafi getað talist nauðsynleg til að uppfylla lagaskyldu, sbr. 3. tölul. 1. mgr. 9. gr. laga nr. 90/2018 og c-lið 6. mgr. reglugerðar (ESB) 2016/679, með vísan til áðurnefndra ákvæða laga nr. 46/1980. Er það því mat Persónuverndar að undantekningarregla c-liðar 5. mgr. 14. gr. reglugerðar (ESB9 2016/679 hafi átt hér við og að ekki hafi verið skylt að veita kvartanda fræðslu samkvæmt 14. gr. reglugerðarinnar.
Kemur þá til skoðunar hvort skilyrði um gagnsæi, samkvæmt 1. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og a-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679, hafi verið uppfyllt gagnvart kvartanda. Í 39. lið formálsorða reglugerðarinnar er fjallað um gagnsæi og meðal annars vísað til þess að einstaklingum ætti að vera ljóst þegar persónuupplýsingum um þá er safnað, þær eru notaðar, skoðaðar eða unnar á annan hátt, og að hvaða marki.
Með tölvupósti þann [...] sendi [X] tölvupóst, meðal annars til kvartanda, með boði um þátttöku í könnuninni, þ.e. með viðtali hjá [Y]. Í tölvupóstinum kom fram hver ástæða fyrirhugaðrar úttektar væri og upplýsingar um skyldur [X] til að framkvæma slíka úttekt. Þá fylgdi tölvupóstinum yfirlýsing frá [Y]. Í yfirlýsingunni var verklagi og meðferð trúnaðarupplýsinga við athugunina lýst í stuttu máli.
Með vísan til alls framangreinds er það mat Persónuverndar að skilyrði 1. tölul. 1. mgr. 8. gr. laga nr. 90/2018, sbr. a-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679, hafi verið uppfyllt. Þá liggur ekki fyrir að brotið hafi verið gegn öðrum ákvæðum 1. mgr. 8. gr. laganna, sbr. 1. mgr. 5. gr. reglugerðarinnar.
6.
Niðurstaða
Að framangreindu virtu er niðurstaða Persónuverndar sú að vinnsla [X] á persónuupplýsingum um kvartanda vegna framkvæmdar á sálfélagslegu áhættumati í tengslum við úttekt á starfsumhverfi [X] hafi samrýmst lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sbr. reglugerð (ESB) 2016/679.
Jafnframt er það niðurstaða Persónuverndar að vinnsla [Y] á persónuupplýsingum um kvartanda vegna framkvæmdar á sálfélagslegu áhættumati í tengslum við úttekt á starfsumhverfi [X] hafi samrýmst lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sbr. reglugerð (ESB) 2016/679.
Ú r s k u r ð a r o r ð:
Vinnsla [X] á persónuupplýsingum um [A] vegna framkvæmdar á sálfélagslegu áhættumati í tengslum við úttekt á starfsumhverfi [X] samrýmdist lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sbr. reglugerð (ESB) 2016/679.
Vinnsla [Y] á persónuupplýsingum um [A] vegna framkvæmdar á sálfélagslegu áhættumati í tengslum við úttekt á starfsumhverfi [X] samrýmdist lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sbr. reglugerð (ESB) 2016/679.
Persónuvernd, 26. júní 2023
Helga Sigríður Þórhallsdóttir Steinunn Birna Magnúsdóttir