Fjárhagsupplýsingar
Launaseðlar í heimabanka
Persónuvernd hefur svarað fyrirspurn um hvort vinnuveitanda sé heimilt að senda launaseðla í heimabanka einstaklinga. Svar Persónuverndar er eftirfarandi:
Um vinnslu persónuupplýsinga í tengslum við launaseðla gilda ekki sérstök ákvæði í lögum eða reglugerðum. Hins vegar fer um þetta eftir almennum reglum laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Varðandi sendingu launaseðla í heimabanka einstaklinga – verður að ætla að mjög reyni á 11. gr. þeirra laga um öryggi persónuupplýsinga. Ljóst er að nauðsynlegt er að sjá til þess að upplýsingar, sem gerðar eru aðgengilegar viðskiptavinum banka á Netinu, séu varðar fyrir þeim ógnum sem þar steðja að. Þá er að sama skapi ljóst að tryggja verður að ekki fái aðrir aðgang að upplýsingum en þeir sem eiga rétt á því. Verður að ætla að almennt séu það aðeins viðkomandi launþegar sem eiga slíkan rétt til aðgangs að launaseðlum þegar undan eru skildir þeir sem koma að umsýslu vegna útborgunar launa.
Þetta tengist ekki aðeins 11. gr. laga nr. 77/2000 heldur einnig 1. mgr. 7. gr. sömu laga þar sem kveðið er á um grundvallarreglur um hvernig vinna má með persónuupplýsingar. Meðal þeirra reglna er að persónuupplýsingar skulu vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar. Í þessu felst m.a. að enginn á að vinna með meiri persónuupplýsingar en honum er nauðsynlegt starfa sinna vegna. Almennt má ætla að aðgangur bankastarfsmanna að launaseðlum viðskiptavina sé ekki nauðsynlegur og því ekki heimill.
Ljóst er að ef tölvukerfi banka er notað til að koma launaseðlum frá vinnuveitanda til launþega verður vinnuveitandinn að gera sérstakan samning við bankann, svonefndan vinnslusamning, sbr. 13. gr. laga nr. 77/2000. Þar er kveðið á um að ábyrgðaraðili, þ.e. þeim sem ákveður markmið og aðferðir við vinnslu persónuupplýsinga, sbr. 4. tölul. 2. gr. laga nr. 77/2000, skuli gera sérstakan vinnslusamning við þann sem vinnur með persónuupplýsingar á hans vegum, þ.e. svonefndan vinnsluaðila, sbr. 5. tölul. sömu greinar. Í slíkum samningi skal m.a. koma fram að vinnsluaðila sé einungis heimilt að starfa í samræmi við fyrirmæli ábyrgðaraðila og að ákvæði laga nr. 77/2000 um skyldur ábyrgðaraðila gildi einnig um þá vinnslu sem vinnsluaðila annast.
Að lokum er bent á að ákvæði um launaseðla kunna að vera í kjarasamningi þínum. Persónuvernd er ekki kunnugt um hver sá samningur er eða hver ákvæði hans eru, en viljir þú fá fyllri mynd af réttarstöðu þinni er þér bent á að kynna þér hann. Ekki verður séð að í lögum sé berum orðum áskilið að skriflegt leyfi launþega liggi fyrir svo að launaseðlar séu hafðir rafrænir eða að fjármálastofnanir hafi milligöngu um að koma þeim á slíku formi fyrir sjónir launþega, en vera má að í kjarasamningi eða ráðningarsamningi sé vikið að því.
Þetta tengist ekki aðeins 11. gr. laga nr. 77/2000 heldur einnig 1. mgr. 7. gr. sömu laga þar sem kveðið er á um grundvallarreglur um hvernig vinna má með persónuupplýsingar. Meðal þeirra reglna er að persónuupplýsingar skulu vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar. Í þessu felst m.a. að enginn á að vinna með meiri persónuupplýsingar en honum er nauðsynlegt starfa sinna vegna. Almennt má ætla að aðgangur bankastarfsmanna að launaseðlum viðskiptavina sé ekki nauðsynlegur og því ekki heimill.
Ljóst er að ef tölvukerfi banka er notað til að koma launaseðlum frá vinnuveitanda til launþega verður vinnuveitandinn að gera sérstakan samning við bankann, svonefndan vinnslusamning, sbr. 13. gr. laga nr. 77/2000. Þar er kveðið á um að ábyrgðaraðili, þ.e. þeim sem ákveður markmið og aðferðir við vinnslu persónuupplýsinga, sbr. 4. tölul. 2. gr. laga nr. 77/2000, skuli gera sérstakan vinnslusamning við þann sem vinnur með persónuupplýsingar á hans vegum, þ.e. svonefndan vinnsluaðila, sbr. 5. tölul. sömu greinar. Í slíkum samningi skal m.a. koma fram að vinnsluaðila sé einungis heimilt að starfa í samræmi við fyrirmæli ábyrgðaraðila og að ákvæði laga nr. 77/2000 um skyldur ábyrgðaraðila gildi einnig um þá vinnslu sem vinnsluaðila annast.
Að lokum er bent á að ákvæði um launaseðla kunna að vera í kjarasamningi þínum. Persónuvernd er ekki kunnugt um hver sá samningur er eða hver ákvæði hans eru, en viljir þú fá fyllri mynd af réttarstöðu þinni er þér bent á að kynna þér hann. Ekki verður séð að í lögum sé berum orðum áskilið að skriflegt leyfi launþega liggi fyrir svo að launaseðlar séu hafðir rafrænir eða að fjármálastofnanir hafi milligöngu um að koma þeim á slíku formi fyrir sjónir launþega, en vera má að í kjarasamningi eða ráðningarsamningi sé vikið að því.