Reglur nr. 837/2006 um rafræna vöktun og meðferð persónuupplýsinga sem verða til við rafræna vöktun

Reglur um rafræna vöktun [og meðferð persónuupplýsinga sem til verða við rafræna vöktun.]1)

1) Reglur 475/2011, 2. gr.

1. gr.

Markmið og gildissvið.

Markmið reglna þessara er að stuðla að því að jafnvægi ríki milli einkalífsréttar annars vegar og hins vegar hagsmuna ábyrgðaraðila af því að tryggja öryggi og hafa eðlilegt eftirlit með starfsmönnum og öðrum sem sæta rafrænni vöktun, m.a. með því hvernig sá hug- og vélbúnaður sem hann leggur til sé nýttur í þágu viðkomandi starfsemi.

[Reglur þessar gilda um rafræna vöktun á vinnustöðum, í skólum og á öðrum svæðum þar sem takmarkaður hópur fólks fer um að jafnaði. Reglurnar gilda óháð því hvers konar tæknibúnaður er notaður, s.s. hvort notaðir eru netþjónar, búnaður til að fylgjast með símanotkun, eftirlitsmyndavélar, vefmyndavélar, ökuritar, rafrænn staðsetningarbúnaður o.s.frv. Þær gilda þó ekki um búnað til að fylgjast með mætingum, s.s. stimpilkortavélar.]1)

1) Reglur nr. 394/2008, 1. gr.

2. gr.

Merking hugtaka.

Merking hugtaka í reglum þessum er sem hér segir:

1. Rafræn vöktun: Vöktun sem er viðvarandi eða endurtekin reglulega og felur í sér eftirlit með einstaklingum sem fram fer með fjarstýrðum eða sjálfvirkum búnaði. Hugtakið tekur til:

  1. vöktunar sem felur í sér vinnslu persónuupplýsinga, eða leiðir, á að leiða eða getur leitt til slíkrar vinnslu, og
  2. vöktunar sem hvorki felur í sér söfnun myndefnis né annarra persónuupplýsinga.

2. Ábyrgðaraðili: Sá aðili sem ákveður tilgang rafrænnar vöktunar, þann búnað sem notaður er, aðferð við vöktunina og ráðstöfun upplýsinga sem til verða.

3. Einkatölvupóstur: Tölvupóstur sem sendur er eða móttekinn með vél- eða hugbúnaði ábyrgðaraðila, s.s vinnuveitanda, og lýtur að einkalífi viðkomandi, en varðar hvorki hagsmuni ábyrgðaraðila né þá starfsemi sem hann rekur. Til viðmiðunar um það hvort um slíkan póst er að ræða má m.a. líta til þess hvort hann sé:

  1. auðkenndur sem einkamál í efnislínu eða er að öðru leyti þannig að augljóst sé að um einkatölvupóst er að ræða
  2. vistaður í sérstakri möppu á vinnusvæði í tölvupóstkerfi sem er auðkennd sem einkamál eða ef af öðru má ráða að hún hafi þannig efni að geyma.

4. Netnotkun: Notkun einstaklings á hug- og vélbúnaði sem ábyrgðaraðili lætur honum í té, t.d. til að vafra um netið, til að taka við og senda tölvupóst eða til snarspjalls (msn).

5. Atburðaskráning: Aðgerð til að tryggja rekjanleika upplýsinga og vinnsluaðgerða í tölvukerfum (þ.e. með log-skrám).

6. Símvöktun: Viðvarandi eða reglubundin söfnun upplýsinga um símanotkun einstaklings, s.s. með skráningu upplýsinga um valin númer eða hljóðritun símtala.

[7. Ökuriti: Rafrænn búnaður í farartæki sem vinnur eða gerir unnt að vinna persónuupplýsingar um ökumenn, þ. á m. um ferðir þeirra og/eða aksturslag.]1)

8. Rafrænn staðsetningarbúnaður: Rafrænn búnaður sem vinnur eða gerir unnt að vinna persónuupplýsingar um staðsetningu og ferðir einstaklinga, s.s. örmerkjabúnaður (RFID).

1) Reglur nr. 394/2008, 2. gr.

3. gr.

Vöktun með leynd.

Vöktun með leynd er óheimil nema hún styðjist við lagaheimild eða úrskurð dómara.

4. gr.

Tilgangur.

Rafræn vöktun verður að fara fram í yfirlýstum, skýrum og málefnalegum tilgangi, s.s. í þágu öryggis eða eignavörslu.

5. gr.

Meðalhóf.

Við alla rafræna vöktun skal þess gætt að ganga ekki lengra en brýna nauðsyn ber til miðað við þann tilgang sem að er stefnt. Skal gæta þess að virða einkalífsrétt þeirra sem sæta vöktun og forðast alla óþarfa íhlutun í einkalíf þeirra. Við ákvörðun um hvort viðhafa skuli rafræna vöktun skal því ávallt gengið úr skugga um hvort markmiðinu með slíkri vöktun sé unnt að ná með öðrum og vægari raunhæfum úrræðum.

6. gr.

Sérákvæði um vöktun með vinnuskilum.

Vöktun til að mæla vinnu og afköst starfsmanna er háð því að hennar sé sérstök þörf s.s. vegna þess:

  1. að ekki sé unnt að koma við verkstjórn með öðrum hætti; eða
  2. að án vöktunarinnar sé ekki unnt að tryggja öryggi á viðkomandi svæði, s.s. í ljósi laga og sjónarmiða um hollustuhætti og mengunarvarnir; eða
  3. að hún sé nauðsynleg vegna ákvæða kjarasamnings eða annars konar samkomulags um launakjör, s.s. þegar laun eru byggð á afkastatengdu, tímamældu launakerfi.

7. gr.

Varðveisla, miðlun, eyðing og
önnur meðferð persónuupplýsinga.

Óheimilt er að varðveita persónuupplýsingar sem til verða við rafæna vöktun nema það sé nauðsynlegt í ljósi tilgangs vöktunarinnar.

Persónuupplýsingum sem safnast við rafræna vöktun skal eytt þegar ekki er lengur málefnaleg ástæða til að varðveita þær. Málefnaleg ástæða til varðveislu upplýsinga getur m.a. byggst á fyrirmælum í lögum eða því að ábyrgðaraðili vinni enn með þær í samræmi við upphaflegan tilgang með öflun þeirra. Upplýsingar sem verða til við rafræna vöktun má þó ekki varðveita lengur en í 90 daga nema lög heimili. Þetta á ekki við um persónuupplýsingar sem verða til við atburðaskráningu eða eru geymdar á öryggisafritum. Sama á við um upplýsingar sem þarf að varðveita vegna fyrirliggjandi réttarágreinings, sbr. 7. tl. 9. gr. laga nr. 77/2000.

Persónuupplýsingar sem til verða við rafræna vöktun má aðeins nota í þágu tilgangs með söfnun þeirra og aðeins að því marki sem þess gerist þörf í þágu tilgangsins. Þær má ekki vinna með eða afhenda öðrum nema með samþykki hins skráða eða samkvæmt ákvörðun Persónuverndar. Þó er heimilt að afhenda lögreglu upplýsingar um slys eða meintan refsiverðan verknað.

8. gr.

[Sérákvæði um vöktun með ferðum manna.

Notkun ökurita eða rafræns staðsetningarbúnaðar í þeim tilgangi að fylgjast með ferðum einstaklinga er háð því skilyrði að hennar sé sérstök þörf til að ná lögmætum og málefnalegum tilgangi.]1)

1) Reglur nr. 394/2008, 3. gr.

9. gr.

Sérákvæði um tölvupóst og netnotkun.

Óheimilt er að skoða einkatölvupóst nema brýna nauðsyn beri til s.s. vegna tölvuveiru eða sambærilegs tæknilegs atviks. [Tilvikabundin skoðun vinnuveitanda á tölvupósti starfsmanns er óheimil nema uppfyllt séu ákvæði 7., 8., og eftir atvikum, 9. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, s.s. ef grunur er uppi um brot starfsmanns gegn trúnaðar- eða vinnuskyldum.]1)

Heimilt er að skoða upplýsingar um netvafur, tengingar og gagnamagn starfsmanns eða nemanda liggi fyrir rökstuddur grunur um að hann hafi brotið gegn gildandi lögum og reglum eða fyrirmælum vinnuveitanda eða skólayfirvalda. Sé tilefni skoðunar grunur um refsiverðan verknað skal óska atbeina lögreglu.

Þegar tölvupósts- eða netnotkun er skoðuð skal þess gætt að gera starfsmanni eða nemanda fyrst grein fyrir því og veita honum færi á að vera viðstaddur slíka skoðun. Þetta á þó ekki við sé þess enginn kostur s.s. vegna alvarlegra veikinda starfsmanns. Geti starfsmaður ekki verið viðstaddur skoðunina sjálfur skal veita honum færi á að tilnefna annan mann í sinn stað.

Við starfslok skal starfsmanni gefinn kostur á að eyða eða taka afrit af þeim tölvupósti sem ekki tengist starfsemi vinnuveitandans. Tölvupósti nemenda skal eytt við námslok en áður skal veita hæfilegan frest til töku afrita. [Við starfslok skal starfsmanni leiðbeint um að virkja sjálfvirka svörun úr sínu pósthólfi um að hann hafi látið af störfum. Eigi síðar en að tveimur vikum liðnum skal loka pósthólfinu. Vinnuveitanda er óheimilt að senda áfram á annan starfsmann þann póst sem berst í pósthólf fyrrverandi starfsmanns eftir starfslok, nema um annað hafi verið samið.]2) Óheimilt er að skoða upplýsingar um netnotkun starfsmanns eða nemanda eftir starfs- eða námslok, nema að uppfylltum sömu skilyrðum og greinir í 1.-3. mgr. eða annað leiði af lögum.

1) Reglur nr. 475/2011, 1. mgr. 1. gr.,  2) Reglur nr. 475/2011, 2. mgr. 1. gr. 

10. gr.

Fræðslu- og upplýsingaskylda.

Ábyrgðaraðili að rafrænni vöktun skal setja reglur og/eða veita fræðslu til þeirra sem henni sæta, sbr. þó að ekki er átt við tilkynningu í samræmi við 48. gr. laga nr. 81/2003 um fjarskipti. Áður en slíkum reglum er beitt skal kynna þær með sannanlegum hætti, s.s. við gerð ráðningarsamnings.

Reglur eða fræðsla samkvæmt 1. mgr. skulu taka til tilgangs vöktunarinnar, hverjir hafi eða kunni að fá aðgang að upplýsingum sem safnast og hversu lengi þær verði varðveittar. Ef kjarasamningur eða samkomulag, sem telja verður bindandi milli aðila, felur í sér ríkari rétt en leiðir af slíkum reglum þá víkja þær síðarnefndu.

Að öðru leyti en greinir í 2. mgr. skal, eftir því sem við á, tilgreina eftirfarandi:

  1. Hvaða búnaður er notaður, t.d. stafrænar myndavélar, ökusíritar eða hljóðupptökutæki.
  2. Rétt til að andmæla vöktuninni og hverjar geti verið afleiðingar þess.
  3. Rétt viðkomandi til að fá að vita hvaða upplýsingar verða til um hann og um rétt hans til að fá upplýsingar leiðréttar eða þeim eytt.
  4. Að hvaða marki netnotkun sé heimil, s.s. hvort bannað sé að sækja á netið ólöglegt og/eða kynlífstengt efni og/eða senda slíkt með tölvupósti.
  5. Hvernig farið sé með einkatölvupóst og annan tölvupóst.
  6. Hvort símvöktun fari fram og hvort takmarkanir, og þá hvaða, séu á heimild til einkanota á tilgreindum símtækjum.
  7. Afleiðingar þess ef brotið er gegn fyrirmælum, s.s um notkun síma eða internets.
  8. Önnur atriði, að því marki sem þörf krefur með hliðsjón af aðstæðum hverju sinni, svo að starfsmenn geti gætt hagsmuna sinna.

Ákvæði 1.-3. mgr. gilda ekki ef ótvírætt má ætla að sá sem vöktuninni sætir hafi þegar vitneskju um þau atriði sem þar eru talin.

11. gr.

Tilkynningarskylda.

Ábyrgðaraðila að rafrænni vöktun ber að senda Persónuvernd tilkynningu um hana í samræmi við gildandi reglur um tilkynningarskylda og leyfisskylda vinnslu persónuupplýsinga. Þar skulu koma fram upplýsingar um tilhögun vöktunarinnar, þá fræðslu sem veitt hefur verið um hana og að öðru leyti þau atriði sem tilgreind eru í 32. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.

12. gr.

Réttur til að skoða gögn sem til
verða við rafræna vöktun.

Sá sem sætt hefur rafrænni vöktun á rétt á að skoða gögn, s.s. fá að hlusta á hljóðupptökur, sem til verða um hann við vöktunina, í samræmi við 18. gr. laga nr. 77/2000, enda standi ákvæði 2. mgr. 19. gr. laganna því ekki í vegi. Beiðni um slíkt má hvort heldur sem er setja fram munnlega eða skriflega.

Ábyrgðaraðili, eða eftir atvikum vinnsluaðili, skal svo fljótt sem verða má og eigi síðar en innan eins mánaðar frá móttöku erindis verða við beiðni samkvæmt 1. mgr. Komi upp ágreiningur má vísa honum til úrlausnar Persónuverndar. Getur Persónuvernd þá lagt fyrir ábyrgðaraðila að varðveita gögn þar til niðurstaða hennar liggur fyrir.

13. gr.

Stöðvun rafrænnar vöktunar.

Persónuvernd getur mælt fyrir um stöðvun rafrænnar vöktunar sem brýtur í bága við ákvæði reglna þessara og um eyðingu þess efnis sem til hefur orðið.

14. gr.

Heimild.

Reglur þessar, sem settar eru samkvæmt heimild í 5. mgr. 37. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 5. gr. laga nr. 81/2002, taka þegar gildi.

Samhliða gildistöku þeirra falla úr gildi reglur nr. 888/2004 um rafræna vöktun.

Persónuvernd, 19. mars 2008

*Breytt með reglum nr. 394/2008.

* Breytt með reglum nr. 475/2011.