Skýrsla um meðferð persónuupplýsinga um umsækjendur um störf í lyfjaverksmiðju og á rannsóknarstofu Actavis

31.5.2006

Á fundi forstjóra persónuverndarstofnananna á Íslandi, í Danmörku, Noregi, Svíþjóð og Finnlandi, sem haldinn var 20. og 21. nóvember 2003, var ákveðið að framkvæma athugun á söfnun og meðferð upplýsinga um umsækjendur um störf hjá þremur aðilum í hverju landanna fimm. Skyldi tilgangurinn vera annars vegar að sannreyna hvort vinnsla persónuupplýsinga á vegum ábyrgðaraðila væri í samræmi við lög og reglur, og hins vegar að bera saman umfang vinnslunnar á milli landanna fimm. Persónuvernd ákvað að Actavis yrði einn þeirra aðila sem teknir yrðu út hér á landi. Var fyrirtækinu tilkynnt um það með bréfi, dags. 29. mars 2004. Var þar tekið fram að ekki væri um hefðbundna öryggisúttekt að ræða heldur athugun sem myndi takmarkast við meðferð persónuupplýsinga sem færi fram í tengslum við ráðningar í störf í lyfjaverksmiðju og á rannsóknarstofu fyrirtækisins og að hún væri liður í samnorrænu verkefni

Hefur verið ákveðið að afmarka athugun þessa við það hvort uppfyllt séu heimildarákvæði 8. og 9. gr. laga nr. 77/2000, fylgt meginreglum 7. gr. laganna um gæði gagna og vinnslu og uppfyllt fyrirmæli 20. gr. um fræðsluskyldu, sem og 18. gr. um rétt hins skráða til vitneskju um vinnslu persónuupplýsinga, að því leyti sem það varðar mat á því hvort unnið sé í samræmi við ákvæði 7. gr. Hins vegar verður í skýrslu þessari ekki fjallað um önnur atriði, s.s. hvort uppfyllt hafi verið ákvæði 31. og. 32. gr. um tilkynningu til Persónuverndar né með hvaða hætti ábyrgðaraðili, hér Actavis, tryggir öryggi þeirra persónuupplýsinga sem unnið er með, sbr 11.–13. gr. laganna og reglur Persónuverndar nr. 299/2001.

Skrifstofur Actavis, Reykjavíkurvegi 76–78, Hafnarfirði, voru heimsóttar fimmtudaginn 15. apríl 2004 og fundað með Sigríði Björnsdóttur, starfsmannastjóra. Einnig sátu fundinn Guðrún Lind Halldórsdóttir frá starfsmannasviði og Einar Þórðarson frá upplýsingatæknideild. Áður höfðu fyrirtækinu verið sendar spurningar og var þeim að hluta til svarað skriflega með skjali sem var lagt fram á fundinum. Þar voru og lögð fram margvísleg gögn varðandi vinnslu persónuupplýsinga um umsækjendur um störf, þ. á m. tvö eintök af atvinnuumsókn, annað af heimasíðu fyrirtækisins og hitt úr afgreiðslu þess; skráningarblöð sem svör við spurningum í ráðningarviðtölum og viðtölum við meðmælendur eru skráð á; tvö eintök af stöðluðum bréfum til umsækjenda um að umsókn hafi verið hafnað, annað sent rafrænt en hitt póstlagt; og beiðni um sakavottorð og umboð frá umsækjanda fyrir öflun sakavottorðs.

Fyrirliggjandi gögn bera með sér að á umsóknareyðublöðum eru aðeins spurningar um almenn atriði. Hins vegar er á síðari stigum ráðningarferlis einnig aflað upplýsinga um viðkvæm atriði, s.s. með því að fá sakavottorð og niðurstöður úr læknisskoðun. Umsóknir og önnur gögn um umsækjendur, sem ekki eru ráðnir, eru varðveitt í sex mánuði að undanskildum upplýsingum sem skráðar eru í ráðningarviðtölum og viðtölum við meðmælendur, þ.e. á þar til gerð skráningarblöð. Þeim upplýsingum er eytt þegar tekin hefur verið ákvörðun um ráðningu.

Hér að neðan verður gerð grein fyrir niðurstöðum Persónuverndar. Tekið skal fram að almennt verður ekki sérstaklega fjallað um þau tilvik sem teljast vera í samræmi við ákvæði laga nr. 77/2000.

Samkvæmt 1. mgr. 3. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga gilda lögin um sérhverja rafræna vinnslu persónuupplýsinga og einnig um handvirka vinnslu persónuupplýsinga sem eru eða eiga að verða hluti af skrá. Með hugtakinu persónuupplýsingar er átt við "sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi," sbr. 1. tölul. 2. gr. laganna. Þá merkir hugtakið vinnsla "sérhver[ja] aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn", sbr. 2. tölul. sömu greinar. Með vinnslu er þannig t.d. átt við söfnun og skráningu og undir það fellur m.a. flokkun, varðveisla, breyting, leit og miðlun. Samkvæmt framangreindu felur söfnun Actavis á persónuupplýsingum um umsækjendur um störf við framleiðslu og þróun lyfja í sér vinnslu persónuupplýsinga í skilningi laga nr. 77/2000.

Öll vinnsla persónuupplýsinga þarf að eiga sér stoð í einhverju af skilyrðum 8. og, eftir atvikum, 9. gr. laga nr. 77/2000. Vinnsla almennra persónuupplýsinga þarf aðeins að eiga sér stoð í einhverju af skilyrðum 8. gr., en vinnsla viðkvæmra persónuupplýsinga, þ.e. upplýsinga sem falla undir 8. tölul. 2. gr. laganna, þarf að auki að eiga sér stoð í einhverju af skilyrðum 9. gr. Auk þessa þarf vinnsla persónuupplýsinga, almennra sem viðkvæmra, ávallt að fullnægja kröfum 7. gr. laganna. Um vinnslu Actavis á persónuupplýsingum í ljósi þess ákvæðis er fjallað í kafla 3 hér á eftir.

Eins og að framan greinir vinnur Actavis fjölþættar upplýsingar um þá einstaklinga sem sækja um störf í lyfjaverksmiðju og á rannsóknarstofu fyrirtækisins. Aðallega er unnið með almennar persónuupplýsingar, en jafnframt er unnið með viðkvæmar upplýsingar, þ.e. um sakaferil og heilsuhagi umsækjenda. Slíkar upplýsingar eru viðkvæmar persónuupplýsingar.

Varðandi vinnslu Actavis á almennum persónuupplýsingum um umsækjendur kemur fyrst til skoðunar hvort hún eigi sér heimild í 1. mgr. 8. gr. laga nr. 77/2000. Þegar upplýsinganna er aflað með umsóknareyðublöðum má telja, að öðrum skilyrðum uppfylltum, að skilyrði 1. töluliðar ákvæðisins séu uppfyllt, þ.e. fyrir hendi sé samþykki til vinnslu upplýsinganna.

Hins vegar liggur fyrir að Actavis aflar almennra upplýsinga einnig frá öðrum en umsækjendum sjálfum. Er þannig leitað til meðmælenda og þær upplýsingar, sem þeir veita, skráðar á þar til gerð skráningarblöð. Um er að ræða ítarlegar upplýsingar um persónulega eiginleika umsækjenda, m.a. um hversu mikla umsjón og leiðbeiningar þeir hafi þurft í samanburði við aðra og hversu auðvelt þeir hafi átt með samvinnu og samskipti við aðra starfsmenn. Þessar upplýsingar eru þess eðlis að eðlilegt er að aflað sé samþykkis fyrir skráningu þeirra. Liggur og fyrir að rætt sé við meðmælendur samkvæmt skriflegu samþykki umsækjenda. Aftur á móti hefur ekki komið fram að veitt sé vitneskja um hvernig það sé gert og að upplýsingar sem fram koma í viðtölum séu skráðar niður. Svo að tryggt sé að um samþykki í skilningi 1. tölul. 1. mgr. 8. gr. laga nr. 77/2000 sé að ræða, þ.e. ótvírætt samþykki, leiðbeinir Persónuvernd því Actavis hér með um að veita um þetta vitneskju, bæði um formið sjálft, sem og þær spurningar sem á því eru. Er um veitingu slíkrar vitneskju fjallað nánar í kafla 3.3 hér á eftir.

Komið hefur fram varðandi öflun upplýsinga frá meðmælendum að ef viðkomandi meðmælandi þekkir ekki til starfa umsækjandans er hann beðinn um að að vísa á einhvern sem það gerir. Skriflegt samþykki umsækjanda til viðtala við meðmælendur getur ekki náð til einstaklinga sem meðmælendur benda á án hans vitneskju. Í ljósi þess hve hér getur verið um nærgöngular upplýsingar að ræða ber að gjalda varhuga við skráningu þeirra án samþykkis.

Á umsóknareyðublöðum er óskað eftir kennitölu maka umsækjanda. Samkvæmt 10. gr. laga nr. 77/2000 verður slík upplýsingaöflun að eiga sér málefnalegan tilgang og vera nauðsynleg. Almennt má líta svo á að fæðingardagur og nafn veiti mjög áreiðanlega persónugreiningu og því sé í mörgum tilvikum ekki nauðsynlegt að fá upplýsingar um kennitölu. Er Actavis því leiðbeint um að fara yfir hvort nauðsynlegt sé að afla upplýsinga um kennitölur maka umsækjenda.

Actavis hefur aflað upplýsinga um refsiverða háttsemi umsækjenda með ósk um afhendingu sakavottorða þeirra sem hefja störf hjá fyrirtækinu, annaðhvort þannig að þeir afhendi vottorðið sjálfir eða að fengið sé umboð frá þeim til öflunar þess, auk þess sem þeir eru spurðir um hvort þeir hafi hreint sakavottorð í starfsviðtali. Þá eru allir þeir sem ráðnir eru sendir í læknisskoðun og eru niðurstöður slíkrar skoðunar sendar starfsmannahaldi fyrirtækisins. Í starfsviðtölum og viðtölum við meðmælendur eru og skráðar upplýsingar um viss heilsufarsatriði.

Þegar upplýsinga um refsiverða háttsemi er aflað með umsóknareyðublöðum, þ.e. beint frá umsækjanda, eru uppfyllt skilyrði 1. tölul. 1. mgr. 8. gr. og 1. tölul. 1. mgr. 9. gr. um samþykki hins skráða og vinnslan því heimil, þ.e. í þeim mæli sem hún samrýmist kröfum 7. gr. laga nr. 77/2000, sbr. kafla 3.1. Varðandi öflun upplýsinga með ósk um afhendingu sakavottorðs ber að hafa í huga að umsækjandinn aflar þess sjálfur og afhendir Actavis eða veitir skriflegt umboð til öflunar þess. Um sakaskrá ríkisins gildir reglugerð nr. 569/1999. Um miðlun upplýsinga úr sakaskrá til hins skráða, eða þess sem hann hefur veitt umboð til öflunar slíkra upplýsinga, fer samkvæmt ákvæðum 8. og 9. gr. reglugerðarinnar. Af 1. mgr. 9. gr. hennar leiðir að hinn skráði fær ekki slíkt vottorð nema leggja fram skriflega og undirritaða beiðni. Þá segir í 2. mgr. 9. gr. að ef annar en hinn skráði sjálfur óskar eftir sakavottorði skuli tryggt að viðkomandi hafi heimild til að veita því viðtöku. Af þessu leiðir að telja má öflun upplýsinga með ósk um afhendingu sakavottorða, að því marki sem hún getur talist nauðsynleg, sbr. kafla 3.1, sömuleiðis eiga sér stoð í 1. tölul. 1. mgr. 8. og 1. tölul. 1. mgr. 9. gr. laga nr. 77/2000. Er þá m.a. haft í huga ákvæði 2. mgr. 8. gr. reglugerðarinnar þar sem fram kemur að á sakavottorði, eins og því sem hér um ræðir, koma aðeins fram takmarkaðar upplýsingar, bæði um eðli brota og aldur upplýsinga.

Með sömu rökum telur Persónuvernd öflun upplýsinga um heilsuhagi umsækjenda með spurningum á umsóknareyðublöðum og ósk um afhendingu niðurstaðna úr læknisskoðunum heimila, þ.e. með stoð í framangreindum ákvæðum 8. og 9. gr. laga nr. 77/2000 og að uppfylltum kröfum 7. gr. laganna, sbr. kafla 3.2. Orkar hins vegar tvímælis að skrá niður þær upplýsingar um heilsuhagi sem fram koma í viðtölum við meðmælendur.

Öll vinnsla persónuupplýsinga verður að samrýmast þeim kröfum sem fram koma í 7. gr. laga nr. 77/2000. Þau skilyrði, sem einkum reynir á í þessu máli, koma fram í 1.–3. tölul. 1. mgr. 7. gr. Þar er kveðið á um að persónuupplýsingar skulu unnar með sanngjörnum, málefnalegum og lögmætum hætti og að öll meðferð þeirra skal vera í samræmi við vandaða vinnsluhætti persónuupplýsinga (1. tölul.); að þær skulu fengnar í yfirlýstum, skýrum, málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.); og að þær skulu vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.).

Hér á eftir verður nánar fjallað um einstök svið vinnslunnar eftir því sem ástæða þykir til í ljósi 7. gr., sem og 18. og 20. gr. laga nr. 77/2000. Ekki er fjallað sérstaklega hér að neðan um öflun upplýsinga um kennitölur maka, en tekið skal fram að auk þess sem slík upplýsingaöflun getur í mörgum tilvikum ekki talist fullnægja kröfum 10. gr. laganna, sbr. kafla 2.1, á hið sama við hvað framangreind ákvæði 7. gr. varðar. En þær athugasemdir, sem Persónuvernd telur ástæðu til að gera, eru sem hér greinir:

Í starfsviðtali er aflað upplýsinga um hvort umsækjandi hafi hreint sakavottorð. Auk þess er aflað sakavottorða þeirra sem ráðnir eru, annaðhvort þannig að þeir afhendi þau sjálfir eða þau sótt samkvæmt umboði þeirra. Þessi upplýsingaöflun getur samrýmst framangreindum ákvæðum 7. gr. laga nr. 77/2000, þ.e. málefnalegt getur verið að afla upplýsinga um hvort viðkomandi hafi gerst sekur um viss brot vegna þess stranga öryggis sem viðhafa verður við framleiðslu og þróun lyfja. Þá er litið til þess að sakavottorð einstaklinga, sem þeir sækja sjálfir, eru takmörkuð hvað varðar tegundir brota, sem færð eru inn á vottorðin, og þann tíma sem liðinn er frá sakfellingu, sbr. umfjöllun í kafla 2.2. Tiltekin störf á rannsóknarstofu og í lyfjaverksmiðju Actavis kunna vissulega að vera þess eðlis að þörf sé á öflun sakavottorða. Öðru máli kann þó að gegna um sum störf og er mikilvægt að í þeim tilvikum sé slíkra vottorða ekki aflað.

Einnig skal tekið fram að þó að öflun sakavottorða sé í samræmi við 7. gr. laga nr. 77/2000 kann að vera óþarft, í ljósi þeirra starfa, sem unnin eru hjá Actavis, að afla upplýsinga um viss brot sem færð eru inn á skrána. Fram hefur komið að ástæðan fyrir því að aflað er sakavottorða er einkum að kanna hvort viðkomandi hafi gerst sekur um fíkniefnabrot. Er æskilegt að fyrirtækið kanni hvort einnig sé nauðsynlegt að afla upplýsinga um önnur brot og leiðbeini umsækjendum um hvaða brot þurfa, eftir atvikum, ekki að koma fram á sakavottorði. Hið sama á við þegar Actavis aflar upplýsinga úr sakaskrá samkvæmt umboði.

Þeir sem ráðnir eru til starfa í lyfjaverksmiðju og á rannsóknarstofu Actavis eru sendir í læknisskoðun og niðurstöður slíkrar skoðunar sendar starfsmannahaldi fyrirtækisins. Af gæðastaðli, sem Actavis fylgir, verður ráðið að læknisskoðun og tilheyrandi skráning um heilsuhagi á að tryggja að enginn, sem haldinn er smitsjúkdómi eða er með opið sár á óvörðum hluta líkamans, starfi að framleiðslu á lyfjum eða öðru því sem slíkri framleiðslu tengist. Hefur komið fram að það sem kannað er við læknisskoðanir eru atriði sem varða hreinlæti og smitleiðir, þ.e. heilsufarsatriði sem varða hugsanlega sýkingahættu, s.s. hálsbólga, hósti og uppgangur, iðrasýkingar, sýkingar í húð tengdar sárum og eyrnagangur tengdur útbrotssjúkdómum. Þá er spurt um ofnæmi sem gæti tengst framleiðsluvörum Actavis. Eigi ekkert af þessu við ritar læknir undir vottorð sem felur það í sér að ekkert hafi komið fram sem mæli gegn því að viðkomandi sé við störf tengd lyfjaframleiðslu. Í einstaka tilvikum er, varðandi lyfjaofnæmi, tryggt í samráði við starfsmann og yfirmann að framleiðsla tiltekinna lyfja fari ekki fram á vinnusvæði viðkomandi. Engin skráning varðandi heilsufar eða skoðun fer að öðru leyti fram. Í ljósi þess stranga öryggis og mikla hreinlætis, sem viðhafa verður við framleiðslu og þróun lyfja, getur slík vinnsla haft málefnalegan tilgang og að öðru leyti fullnægt þeim kröfum sem fram koma í 7. gr. laga nr. 77/2000.

Auk niðurstaðna úr læknisskoðunum er aflað upplýsinga um heilsuhagi umsækjenda með skráningu svara úr viðtölum við meðmælendur á þar til gerð skráningarblöð um fjarvistir viðkomandi frá vinnu vegna veikinda og líkamsástands. Ljóst er að ákveðin störf geta verið þess eðlis að máli geti skipt hvers vegna umsækjandi hafi verið fjarvistum, t.a.m. hvort það hafi verið vegna veikinda eða af öðrum ástæðum. Þegar svo ber undir er hins vegar æskilegt að upplýsingar um fjarvistir vegna veikinda og líkamsástands séu skráðar eftir umsækjanda sjálfum en ekki þriðja aðila.

Í starfsviðtali, þ.e. fyrra starfsviðtali af tveimur, eru á þar til gerð skráningarblöð skráð svör við spurningum um hreysti og reykingar. Öflun upplýsinga um hvort umsækjandi reykir eður ei getur samrýmst kröfum 7. gr. laga nr. 77/2000. Skráning upplýsinga um hreysti getur einnig samrýmst þessum kröfum sé hún nauðsynleg sökum eðlis viðkomandi starfs. Fram hefur komið að þær upplýsingar um hreysti, sem Actavis aflar, snúa eingöngu að kvillum sem geta gert umsækjanda ómögulegt að starfa við viðkomandi starf, einkum í tengslum við framleiðslu lyfja. Þetta geta t.a.m. verið upplýsingar um hvort umsækjandi sé með ofnæmi fyrir lyfjaryki eða sé með bakveiki og geti því ekki lyft þungum hlutum eins og starfsmenn í þrifum þurfa að gera. Telur Persónuvernd öflun Actavis á framangreindum upplýsingum, í ljósi þeirra starfa, sem unnin eru innan fyrirtækisins, geta fallið innan krafna 7. gr. laga nr. 77/2000.

Í 1. tölul. 1. mgr. 7. gr. laga nr. 77/2000 er sem fyrr greinir kveðið á um að vinnsla skal vera sanngjörn. Það felur m.a. í sér að vinnsla á að vera sem gagnsæjust gagnvart hinum skráða þannig að hann eigi kost á vitneskju um vinnsluna og fái, eftir atvikum, slíka vitneskju að frumkvæði þess sem vinnur með upplýsingarnar. Í 20. gr. laganna um fræðsluskyldu gagnvart hinum skráða þegar persónuupplýsinga er aflað hjá honum sjálfum er þessi gagnsæiskrafa útfærð nánar. Er þar kveðið á um að fræða skuli hinn skráða um nánar tiltekin atriði þegar upplýsinga er aflað hjá honum sjálfum, sem og að hinum skráða skuli veittar aðrar upplýsingar, að því marki sem þær séu nauðsynlegar, með hliðsjón af þeim sérstöku aðstæðum sem ríki við vinnslu upplýsinganna, svo að hinn skráði geti gætt hagsmuna sinna.

Fram hefur komið að hjá Actavis eru umsækjendur ekki upplýstir um það strax í upphafi að fyrirhugað sé að afla upplýsinga um heilsufar þeirra og brotaferil, heldur séu þeir fyrst fræddir um að fram eigi að fara læknisrannsókn eftir að þeir hefji störf og í starfsviðtali um að afla eigi sakavottorðs þeirra, sem og upplýsinga um fjarvistir vegna veikinda og líkamlegs ástands með viðtölum við meðmælendur. Þá kemur ekki fram fyrr en í starfsviðtali að umsækjendur verði þar spurðir um hreysti sína o.fl.

Auk ofangreinds hefur komið fram að aflað er ítarlegra upplýsinga um persónulega eiginleika umsækjenda, bæði í viðtölum við meðmælendur og í starfsviðtölum. Í síðarnefndu viðtölunum er þannig m.a. aflað upplýsinga um hversu smekkvís viðkomandi sé og snyrtilegur til fara, í hve miklum mæli hann sýni hegðun, sem hæfi aðstæðum, og hversu hrífandi framkoma hans sé. Í fyrrnefndu viðtölunum er og aflað upplýsinga um m.a. hversu mikla umsjón og leiðbeiningar viðkomandi hafi þurft í samanburði við aðra og hversu auðvelt hann hafi átt með samvinnu og samskipti við aðra starfsmenn. Þessar upplýsingar teljast ekki til viðkvæmra persónuupplýsinga í lagaskilningi en geta gefið það ítarlega mynd af viðkomandi einstaklingi að gæta ber fyllstu varúðar.

Tekið skal fram að Persónuvernd telur almennar spurningar til umsækjanda sjálfs um reykingar hans þess eðlis að hann megi vænta þess að þeirra verði spurt. Verður því ekki talið að upplýsa verði um slíkar spurningar fyrir starfsviðtal. Hvað aðrar viðkvæmar persónuupplýsingar varðar, sem og upplýsingar um persónulega eiginleika, bendir Persónuvernd hins vegar á að einhverjir umsækjendur kynnu að hætta við að senda inn umsókn og senda þar með persónuupplýsingar um sig til Actavis ef þeir vissu strax í upphafi að afla ætti upplýsinga um heilsufar þeirra, brotaferil og persónulega eiginleika. Í ljósi þessa má líta svo á að vitneskja um öflun þessara upplýsinga geti verið "aðrar upplýsingar" sem umsækjanda eru nauðsynlegar til að geta gætt hagsmuna sinna í skilningi 20. gr. laga nr. 77/2000 þegar hann ákveður hvort hann veiti um sig persónuupplýsingar með framlagningu starfsumsóknar. Er Actavis því leiðbeint um að veita vitneskju, s.s. með stöðluðum texta á umsóknum og umsóknareyðublöðum, um umrædda upplýsingaöflun.

Ekki liggur fyrir að umsækjandi um starf, sem ekki hefur verið ráðinn, hafi óskað eftir upplýsingum frá Actavis um hvað fyrirtækið hafi skráð um hann. Þó hefur komið fram að væntanlega yrðu umbeðnar upplýsingar veittar. Á fundi Persónuverndar og Actavis hinn 15. apríl 2004 var tekið fram að ekki hefði verið tekin afstaða til aðgangs að upplýsingum sem skráðar væru eftir meðmælendum, sem og skráningarblaði sem notað væri í viðtölum við þá. Hins vegar kemur fram á skráningarblöðunum að við meðmælendur skuli sagt: "Rétt er að benda á að þær upplýsingar sem þú gefur eru trúnaðarmál og munu ekki komast í hendur umsækjandans."

Geta má þess að samkvæmt 18. gr. laga nr. 77/2000 ber að skýra hinum skráða frá því hvað um hann sé skráð óski hann eftir því (1. tölul.). Frá þessum upplýsingarétti er kveðið á um undantekningar í 19. gr. laganna. Hér reynir á hvort við eigi 2. mgr. 19. gr. um að réttur samkvæmt 18. gr. eigi ekki við ef réttur hins skráða samkvæmt því ákvæði þyki eiga að víkja að nokkru eða öllu fyrir hagsmunum annarra eða hans eigin. Þessi undantekning frá upplýsingaréttinum byggist á g-lið 1. mgr. 14. gr. tilskipunar 95/46/EB. Þar er kveðið á um að ríki, sem bundin eru af tilskipuninni, megi kveða á um undantekningar frá upplýsingarétti hins skráða vegna "verndar skráðs aðila eða mannréttinda og frelsis annarra." Í ljósi þessarar þröngu afmörkunar á því hvenær kemur til greina að gera undantekningar frá reglunni um veitingu vitneskju um vinnslu persónuupplýsinga, sem og 1. tölul. 1. mgr. 7. gr. laga nr. 77/2000 um sanngirni vinnslu, telur Persónuvernd æskilegt að Actavis veiti umsækjendum vitneskju um þær upplýsingar sem skráðar eru í viðtölum við meðmælendur. Í ljósi þess að á þetta atriði hefur ekki reynt í starfsemi Actavis munu hins vegar ekki veittar formlegar leiðbeiningar þar að lútandi.

Fram hefur komið að umsóknir þeirra umsækjenda, sem ekki eru ráðnir, eru varðveittar í sex mánuði. Af gögnum frá Actavis má og ráða að öðrum upplýsingum um umsækjendur er einnig eytt eftir sex mánuði, að undanskildum upplýsingum sem skráðar eru í ráðningarviðtölum og viðtölum við meðmælendur, þ.e. á þar til gerð skráningarblöð, en þeim sé eytt þegar ákvörðun hafi verið tekin um ráðningu. Hvað þær upplýsingar varðar, sem skráðar eru eftir meðmælendum, eigi það einnig við í þeim tilvikum þegar umsækjandi er ráðinn. Persónuvernd telur framangreindan varðveislutíma geta samrýmst meðalhófskröfum 7. gr. laga nr. 77/2000.

Fram hefur komið að sé umsækjandi ekki ráðinn er honum sent staðlað bréf þar sem óskað er eftir leyfi hans til að varðveita umsókn hans í gagnagrunni fyrirtækisins. Kjósi hann ekki að veita slíkt leyfi skuli hann óska eftir því með tölvupósti að umsókninni sé eytt eða hún endursend. Er samkvæmt þessu ljóst að veitt er fræðsla um varðveislutíma umsókna. Í umræddu, stöðluðu bréfi er hins vegar ekki óskað eftir heimild til varðveislu annarra gagna en umsóknar eða þess getið hversu lengi þau verði varðveitt, en það mætti t.d. gera með því að bæta fræðslu um varðveislutíma í hið staðlaða bréf. Er æskilegt að það verði gert.

Í samræmi við framangreint, og í ljósi hlutverks Persónuverndar skv. 4. tölul. 1. mgr. 37. gr. laganna, vill hún hér með leiðbeina Actavis um:

a) - Að kanna hvort einhver störf við framleiðslu og þróun lyfja hjá fyrirtækinu séu þess eðlis að ekki þurfi að gera kröfu um framlagningu sakavottorðs; að láta af öflun sakavottorða sé hún ekki málefnaleg eða nauðsynleg vegna eðlis viðkomandi starfs; að eyða sakavottorðum, sem kann að hafa verið aflað að nauðsynjalausu, eða endursenda þau; sem og að fara yfir hvort aflað sé upplýsinga um fleiri brot en nauðsynlegt getur talist.

b) - Að fræða umsækjendur um það strax í upphafi, þ.e. áður en þeir leggja fram umsókn, að afla eigi upplýsinga um heilsuhagi þeirra og brotaferil með öflun sakavottorðs og niðurstaðna læknisskoðunar – og að unnið verði með upplýsingar um persónulega eiginleika þeirra sem fram komi bæði í starfsviðtölum og viðtölum við meðmælendur. Nánari fræðsla um öflun upplýsinga frá meðmælendum, þ.e. um form skráningarblaða og einstakar spurningar á þeim, er æskilegt að veita ekki síðar en í starfsviðtali.

c) - Að láta af því að skrá og varðveita svör frá meðmælendum við spurningum um hvort umsækjendur hafi verið fjarvistum frá störfum vegna veikinda eða líkamsástands. Sama á við um slíkar upplýsingar sem koma frá einstaklingum sem meðmælendur benda á.

d) - Að fara yfir hvort upplýsingar um persónulega eiginleika umsækjenda séu í einhverjum tilvikum skráðar án samþykkis þeirra í viðtölum við einstaklinga sem meðmælendur benda á.

e) - Að tryggja að umsækjendur, sem ekki eru ráðnir, fái fræðslu um varðveislutíma allra þeirra persónuupplýsinga sem um þá hefur verið aflað í tengslum við umsókn þeirra.

f) - Að fara yfir hvort nauðsynlegt sé að afla upplýsinga um kennitölur maka umsækjenda.