Vinnsla Icelandair ehf. á persónuupplýsingum

Mál nr. 2022050940

28.3.2023

Ákvörðun

vegna frumkvæðisathugunar á vinnslu persónuupplýsinga flugfreyja og flugþjóna af hálfu Icelandair ehf. í máli nr. 2022050940:

I.
Málsmeðferð
1.
Tildrög máls

Í tilefni af fréttaflutningi og í kjölfar ábendingar sem Persónuvernd barst um að flugfreyjum og flugþjónum Icelandair ehf. (hér eftir Icelandair) sé gert að meta hvert annað í starfi og skrá það mat í tiltekið smáforrit ákvað stofnunin að hefja athugun á því hvort sú vinnsla persónuupplýsinga samrýmdist lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerð (ESB) 2016/679.

Með bréfi, dags. 19. maí 2022, tilkynnti Persónuvernd Icelandair um frumkvæðisathugun stofnunarinnar og bauð félaginu að koma á framfæri skýringum. Óskaði Persónuvernd jafnframt eftir upplýsingum um hvaða smáforrit væri að ræða og lýsingu á því hvernig það er notað, auk tiltekinna gagna. Svör Icelandair og umbeðin gögn bárust með bréfi dags. 16. júní s.á. Með bréfi, dags. 7. júlí s.á., óskaði Persónuvernd eftir nánari skýringum á nokkrum atriðum í svarbréfi Icelandair, auk frekari gagna. Svör Icelandair og umbeðin gögn bárust með bréfi, dags. 11. ágúst s.á.

Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna þó að ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi ákvörðun.

2.
Sjónarmið Icelandair

Af hálfu Icelandair hefur komið fram að um sé að ræða smáforrit að nafni Crew App sem innihaldi möguleika á mati á frammistöðu samstarfsfólks í gegnum undirhlekk sem kallist MyMotivation. Forritið virki með þeim hætti að 45 mínútum eftir lendingu komi frá því tilkynning um að opið sé fyrir frammistöðumat í fluginu. Flugfreyjur og flugþjónar geti skilað frammistöðumati í 48 klukkustundir eftir lendingu. Þegar matið sé opnað sé sjálfkrafa búið að gefa einkunnina 3 en hægt sé að gefa hærri eða lægri einkum á skalanum 1 til 5, sem þá þurfi að rökstyðja skriflega. Starfsmaður geti séð meðaltal úr frammistöðumati fyrir sjálfan sig í smáforritinu. Þá skiptist matið í fleiri þætti ásamt því að starfsmenn geti sjálfir fært inn texta í opið textabox. Gert sé ráð fyrir því að hægt sé að eyða upplýsingum sem fram komi í þessu textaboxum séu þær óáreiðanlegar eða ófullkomnar. Undir það falli viðkvæmar persónuupplýsingar og aðrar upplýsingar sem séu viðkvæms eðlis. Félagið líti svo á að í öllum slíkum tilvikum beri að eyða viðkomandi upplýsingum án tafar. Gögnin uppfærist einu sinni í mánuði en þó eingöngu ef starfsmaður hafi tekið þátt í að veita öðrum frammistöðumat. Því sé ekki hægt að rekja endurgjöf til þeirra einstaklinga sem hana veiti og það sé tryggt með því að ákveðinn fjöldi fluga þurfi að búa að baki þeim.

Áður hafi frammistaða flugfreyja og flugþjóna verið metin með öðrum hætti að meginstefnu til þar sem sérstakir línuþjálfarar voru um borð í einstaka flugum og gáfu starfsmönnum einkunn fyrir frammistöðu. Síðan hafi verið farið yfir frammistöðu með viðkomandi starfsmanni í lok hvers flugs. Reynslan af því fyrirkomulagi hafi leitt í ljós að stöðuhækkanir flugfreyja og flugþjóna hafi almennt einungis tekið mið af starfsaldri en ekki frammistöðu sem þó beri jafnframt að meta samkvæmt kjarasamningi. Félagið hafi því talið umrætt fyrirkomulag ekki skila tilætluðum árangri þar sem almennt hafi ekki verið unnt að leggja mat á frammistöðu starfsmanna á grundvelli þess. Þetta fyrirkomulag hafi nú verið afmunið og vonir standi til að núverandi mat verði styttra, hnitmiðaðra og geri starfsmenn meðvitaðri um eigin frammistöðu.

Í kjarasamningi Icelandair og Flugfreyjufélags Íslands (hér eftir FFÍ) komi fram að við stöðuhækkanir um borð í flugvélum Icelandair og við val í stjórnendastöður skuli tekið mið af starfsaldri og frammistöðu. Í bókun sem gerð hafi verið við kjarasamninginn þann 4. janúar 2010 segi að frammistöðumat og starfsmannamat skuli gert af hálfu Icelandair en að um uppbyggingu þess og framkvæmd skuli hafa samráð við FFÍ. Í ljósi þess hafi Icelandair lögmæta hagsmuni af því að meta frammistöðu flugfreyja og flugþjóna fyrirtækisins og sé það í raun nauðsynlegt til þess að uppfylla ákvæði kjarasamnings Icelandair og FFÍ. Þrátt fyrir að Icelandair telji að vinnslan byggist á lögmætum hagsmunum og sé nauðsynleg til þess að framfylgja ákvæðum kjarasamnings hafi félagið ákveðið að taka varfærið skref í upphafi. Þannig sé flugfreyjum og flugþjónum ekki skylt að taka þátt í frammistöðumati í gegnum smáforritið heldur geti hver sem er tekið ákvörðun um að frammistaða viðkomandi verði ekki metin með forritinu. Gangi fyrirtækið að þessu leyti skemur en það álíti sér heimilt og sé vinnsla persónuupplýsinga í forritinu í fullu samræmi við það sem gerist hjá öðrum evrópskum flugfélögum.

Enn fremur telji Icelandair að vinnsla persónuupplýsinga í smáforritinu samrýmist meginreglum um persónuvernd. Um sé að ræða upplýsingar sem séu unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráðu. Notkun smáforritsins hafi verið kynnt starfsfólki ítarlega, bæði á fundum og námskeiðum, sem allar flugfreyjur og flugþjónar hafi sótt. Jafnframt hafi verið haft samráð við FFÍ áður en notkun forritsins hófst, auk þess sem veittur hafi verið prufuaðgangur að forritinu til takmarkaðs hóps einstaklinga í því skyni að tryggja virkni forritsins. Upplýsingarnar sem verði til í smáforritinu séu fengnar í skýrum tilgangi, þ.e. til þess að meta frammistöðu starfsmanna í samræmi við ákvæði kjarasamnings Icelandair við FFÍ. Það sé mat fyrirtækisins að söfnun upplýsinga sé ekki umfram það sem nauðsynlegt sé miðað við tilgang vinnslunnar. Að auki sé gert ráð fyrir því að hægt sé að eyða upplýsingum sem fram komi í athugsemdadálki smáforritsins sé um að ræða óáreiðanlegar eða ófullkomnar upplýsingar sem ekki séu viðeigandi. Þá verði horft á frammistöðumat í heild sinni og því ætti einstaka mat undir viðmiðum að hafa lítil áhrif. Persónugreinanlegar upplýsingar séu einungis aðgengilegar mjög þröngum hópi aðila sem einungis þurfi á þeim að halda vegna starfs síns. Gert sé ráð fyrir að upplýsingar verði gerðar ópersónugreinanlegar eftir 12 mánuði og hafi Icelandair framkvæmt tæknilegar ráðstafanir til að tryggja öryggi upplýsinganna ásamt því að öll gögn séu hýst á vefþjónum Icelandair á Íslandi. 

Þá telur Icelandair að félaginu hafi ekki verið skylt samkvæmt 29. gr. laga nr. 90/2018 og 35. gr. reglugerðar (ESB) 2016/679 að viðhafa mat á áhrifum á persónuvernd vegna vinnslu persónuupplýsinga í smáforritinu. Í 2. gr. auglýsingar nr. 828/2019, um skrá yfir vinnsluaðgerðir sem krefjast ávallt mats á áhrifum á persónuvernd, sé fjallað um í hvaða tilvikum ábyrgðaraðili skuli ávallt framkvæma mat á öryggisáhrifum fyrirhugaðra vinnsluaðgerða á vernd persónuupplýsinga. Fyrirtækið telji að sú vinnsla persónuupplýsinga sem fram fari í smáforritinu falli eingöngu undir 1. tölul. 2. gr. auglýsingarinnar og því hafi fyrirtækinu ekki verið skylt að framkvæma mat á áhrifum á persónuvernd.

II.
Forsendur og niðurstaða
1.
Gildissvið – Ábyrgðaraðili 

Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá.

Til persónuupplýsinga teljast upplýsingar um persónugreindan eða persónugreinanlegan einstakling og telst einstaklingur persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, með tilvísun í auðkenni hans eða einn eða fleiri þætti sem einkennandi eru fyrir hann, sbr. 2. tölul. 3. gr. laganna og 1. tölul. 4. gr. reglugerðarinnar. Þá hefur komið fram af hálfu Icelandair að viðkvæmum persónuupplýsingum, sbr. 3. tölul. 3. gr. laganna, verði eytt og starfsfólk beðið um að miðla ekki slíkum upplýsingum í gegnum smáforritið. Með hliðsjón af því verður ekki litið svo á að hér sé um vinnslu viðkvæmra persónuupplýsinga að ræða.

Með vinnslu er átt við aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort heldur vinnslan er sjálfvirk eða ekki, sbr. 4. tölul. 3. gr. laganna og 2. tölul. 4. gr. reglugerðarinnar.

Mál þetta lýtur að söfnun, varðveislu og notkun Icelandair á persónuupplýsingum flugfreyja og flugþjóna félagsins sem fengnar eru með notkun smáforrits. Að því virtu og með hliðsjón af framangreindum ákvæðum varðar mál þetta vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Samkvæmt 6. tölul. 3. gr. laganna er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 7. tölul. 4. gr. reglugerðarinnar. Eins og hér háttar til telst Icelandair vera ábyrgðaraðili að umræddri vinnslu.

2. 
Lagaumhverfi

Öll vinnsla persónuupplýsinga verður að falla undir einhverja af vinnsluheimildum 9. gr. laga nr. 90/2018 og 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Meðal þess sem þar er tilgreint er að vinnsla persónuupplýsinga sé heimil sé hún nauðsynleg til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila, sbr. 3. tölul. ákvæðis laganna og c-lið ákvæðis reglugerðarinnar.

Til þess er að líta í þessu sambandi að umrædd vinnsla persónuupplýsinga fer fram í tengslum við kjarasamning sem Icelandair hefur gert við FFÍ, en mælt er fyrir um það í samningnum að ákvarðanir um stöðuhækkanir flugfreyja og flugþjóna og val í stjórnunarstöður skuli taka mið af starfsaldri og frammistöðu, sbr. einnig bókun við kjarasamninginn 4. janúar 2010 um frammistöðu- og starfsmannamat sem gert skal hjá Icelandair.

Í 1. gr. laga nr. 55/1980, um starfskjör launafólks og skyldutryggingu lífeyrisréttinda, er mælt fyrir um að kjarasamningur feli í sér lágmarkskjör á samningssvæðinu og að samningar um lægri kjör skuli vera ógildir. Með vísan til þess almenna gildis kjarasamninga sem leiðir af framangreindu ákvæði, sem og að kjarasamningar geyma alla jafna ítarleg ákvæði um réttindi og skyldur launafólks og atvinnurekanda, hefur verið litið svo á að kjarasamningar njóti sérstakrar stöðu sem afleidd réttarheimild.

Almennt teljast 3. tölul. 9. gr. laga nr. 90/2018 og c-liður 1. mgr. 6. gr. reglugerðar (ESB) 2016/679 ekki taka til samningsskyldna, svo sem ráðið verður af athugasemdum við 3. tölul. 9. gr. þess frumvarps sem varð að lögunum, og hafa 2. tölul. ákvæðis laganna og b-liður ákvæðis reglugerðarinnar að geyma sérstaka heimild til vinnslu persónuupplýsinga sem fram fer í þágu samninga. Þar er hins vegar gert ráð fyrir að hinn skráði sé sjálfur aðili að samningi, en sú er ekki raunin um kjarasamninga. Í ljósi áðurnefndrar stöðu kjarasamninga sem afleiddrar réttarheimildar verða lagaskyldur samkvæmt 3. tölul. ákvæðis laganna og c-lið ákvæðis reglugerðarinnar hins vegar taldar fólgnar í þeim. Þá verður heimild til umræddrar vinnslu einkum talist geta grundvallast á slíkri lagaskyldu.

Auk heimildar samkvæmt framangreindu þarf ávallt að fara að öllum meginreglum 1. mgr. 8. gr. laganna og 5. gr. reglugerðarinnar þegar unnið er með persónuupplýsingar. Meginreglurnar kveða meðal annars á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða (1. tölul. lagaákvæðisins og a-liður ákvæðis reglugerðarinnar); að þær skuli vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul. lagaákvæðisins og c-liður ákvæðis reglugerðarinnar) og að þær skuli vera áreiðanlegar og uppfærðar eftir þörfum (4. tölul. lagaákvæðisins og d-liður ákvæðis reglugerðarinnar). Ábyrgðaraðili ber ábyrgð á því að vinnsla persónuupplýsinga samrýmist ávallt meginreglunum og skal geta sýnt fram á það, sbr. 2. mgr. 8. gr. laganna og 2. mgr. 5. gr. reglugerðarinnar.

Til þess er jafnframt að líta að samkvæmt 1. mgr. 29. gr. laga nr. 90/2018 og 1. mgr. 35. gr. reglugerðar (ESB) 2016/679 skal ábyrgðaraðili láta fara fram mat á áhrifum fyrirhugaðra vinnsluaðgerða á vernd persónuupplýsinga áður en vinnslan fer fram, ef líklegt er að vinnslan geti haft í för með sér mikla áhættu fyrir réttindi og frelsi einstaklinga, með hliðsjón af eðli, umfangi, samhengi og tilgangi vinnslunnar. Á grundvelli 2. mgr. 29. gr. laganna hefur Persónuvernd birt auglýsingu nr. 828/2019 um skrá yfir vinnsluaðgerðir sem krefjast ávallt mats á áhrifum á persónuvernd. Samkvæmt 2. gr. auglýsingarinnar ber jafnan að framkvæma mat á áhrifum á persónuvernd ef um er að ræða vinnslu persónuupplýsinga er lýtur að tveimur eða fleiri flokkum sem tilgreindir eru í ákvæðinu. Í því sambandi reynir að mati Persónuverndar einkum á hvort í umræddri vinnslu persónuupplýsinga felst mat eða einkunnagjöf/stigagjöf (1. tölul. ákvæðisins), kerfisbundið eftirlit (3. tölul. ákvæðisins) og umfangsmikil gagnavinnsla (5. tölul. ákvæðisins).

3.
Niðurstaða
3.1.
Heimild til vinnslu persónuupplýsinga – Meginreglur

Persónuvernd telur ljóst að Icelandair geti reynst nauðsynlegt að vinna með persónuupplýsingar í þágu frammistöðu- og starfsmannamats þannig að vinnslan teljist heimil á grundvelli 3. tölul. 9. gr. laga nr. 90/2018 og c-liðar 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Í ljósi þess hvernig matið fer fram telur Persónuvernd hins vegar jafnframt að sérstaklega reyni á meginreglur 1. mgr. 8. gr. laganna og 1. mgr. 5. gr. reglugerðarinnar.

Í því sambandi kemur til skoðunar hvort umræddar persónuupplýsingar séu áreiðanlegar og uppfærðar, sbr. 4. tölul. ákvæðis laganna og d-lið ákvæðis reglugerðarinnar. Við mat á því verður að horfa til þess að flugfreyjur og flugþjónar eru í beinni samkeppni sín á milli um stöðuhækkanir. Því getur þetta fyrirkomulag, þar sem starfsfólk metur frammistöðu hvert annars, skapað hvata til þess að veita samstarfsfélögum neikvæðar og jafnvel rangar umsagnir um þætti sem flestir eru að nokkru marki háðir huglægu mati. Í svörum Icelandair hefur þó komið fram að gert sé ráð fyrir að hægt verði að eyða óáreiðanlegum eða ófullkomnum upplýsingum og því sé ólíklegt að einstaka umsagnir hafi teljandi áhrif á heildarniðurstöðu frammistöðumats einstaka starfsmanna. Persónuvernd telur að fallast megi á þessar röksemdir Icelandair. Verður því lagt til grundvallar að fyrirtækið hafi sýnt fram á að við umrædda vinnslu sé gætt að áreiðanleikareglu 4. tölul. 1. mgr. 8. gr. laganna og d-liðar 1. mgr. 5. gr. reglugerðarinnar, sbr. 2. mgr. beggja ákvæðanna, að því gættu að fyrirtækið viðhafi í reynd þetta fyrirkomulag.

Einnig kemur til skoðunar hvort farið sé að kröfunni um gagnsæi, sbr. 1. tölul. 1. mgr. 8. gr. laganna og a-lið 1. mgr. 5. gr. reglugerðarinnar. Hvað þá kröfu snertir verður að líta til þess sem fram hefur komið um þá ítarlegu kynningu á notkun smáforritsins sem starfsfólk fékk á fundum og námskeiðum áður en notkun þess hófst. Fá staðhæfingar þar að lútandi stoð í gögnum málsins. Að auki leiða þau í ljós að starfsfólki er tryggður réttur til aðgangs að gögnum samkvæmt 2. mgr. 17. gr. laganna, sbr. nánari ákvæði í 15. gr. reglugerðarinnar, óháð notkun þess á forritinu. Að þessu virtu telur Persónuvernd að sú vinnsla persónuupplýsinga sem er hér til umfjöllunar hafi samrýmst kröfum um gagnsæi.

Að auki ber að líta til krafna persónuverndarlöggjafarinnar um sanngirni og meðalhóf, sbr. 1. og 3. tölul. 1. mgr. 8. gr. laganna og a- og c-lið 1. mgr. 5. gr. reglugerðarinnar. Í því sambandi ber að líta til þess að umrædd vinnsla er nokkuð umfangsmikil og getur reynst íþyngjandi gagnvart starfsfólki Icelandair, en flugfreyjur og flugþjónar geta veitt hvert öðru frammistöðumat í lok hvers flugs og því ljóst að töluvert magn persónuupplýsinga getur verið um að tefla, eftir því hve virkir starfsmenn Icelandair eru í notkun forritsins. Ljóst er að um mun viðameiri vinnslu persónuupplýsinga er að ræða en var með eldra fyrirkomulagi.

Við mat á meðalhófi og sanngirni verður ábyrgðaraðili að leggja mat á hvort hægt sé að ná fram sama markmiði og stefnt er að með viðaminni hætti. Gæti þá meðal annars komið til skoðunar að starfsmenn Icelandair veittu samstarfsmönnum eingöngu einkunnir eða vitnisburð öðru hvoru í stað þess að gera það eftir hvert flug. Sú skylda hvílir á Icelandair að velja viðaminnstu vinnslu persónuupplýsinga sem nær því markmiði sem að er stefnt. Að mati Persónuverndar hefur fyrirtækið ekki sýnt fram á að hafa gætt að þeirri skyldu.

Í ljósi framangreinds hefur Icelandair ekki sýnt fram á að gætt hafi verið að meginreglu persónuverndarlöggjafarinnar um meðalhóf, sbr. 3. tölul. 1. mgr. 8. gr. laganna og c-lið 1. mgr. 5. gr. reglugerðarinnar, né heldur meginreglu löggjafarinnar um sanngirni, sbr. 1. tölul. 1. mgr. 8. gr. laganna og a-liðar 1. mgr. 5. gr. reglugerðarinnar, sbr. einnig 2. mgr. beggja ákvæðanna.

3.2.
Mat á áhrifum á persónuvernd

Af hálfu Icelandair hefur komið fram að félagið telji sér ekki hafa verið skylt samkvæmt 1. mgr. 29. gr. laga nr. 90/2018 og 1. mgr. 35. gr. reglugerðar (ESB) 2016/679 að framkvæma mat á áhrifum á persónuvernd vegna vinnslu persónuupplýsinga í smáforritinu með vísan til þess að vinnslan falli eingöngu undir einn flokk samkvæmt 2. gr. auglýsingar nr. 828/2019, þ.e. mat eða einkunnagjöf/stigagjöf, sbr. 1. tölul. ákvæðisins.

Sem fyrr greinir telur Persónuvernd hins vegar einnig koma til skoðunar hvort umrædd vinnsla persónuupplýsinga teljist til kerfisbundins eftirlit eða umfangsmikillar gagnavinnslu í skilningi ákvæðisins, sbr. 3. og 5. tölul. þess.

Verður hér að horfa til þess að flugfreyjur og flugþjónar meta frammistöðu hvert annars eftir hvert flug og þurfa í ákveðnum tilvikum að rökstyðja mat sitt skriflega. Verður samkvæmt því að ætla að til verði nokkuð umfangsmikið magn upplýsinga um þá starfsmenn sem taka þátt í umræddu frammistöðumati.

Þá er gert ráð fyrir því að flugfreyjur og flugþjónar skili inn mati eftir hvert flug. Verður samkvæmt því að líta svo á að um kerfisbundið eftirlit sé að ræða.

Með vísan til framangreinds telur Persónuvernd Icelandair hafa verið skylt samkvæmt 1. mgr. 29. gr. laga nr. 90/2018 og 1. mgr. 35. gr. reglugerðar (ESB) 2016/679 að framkvæma mat á áhrifum á persónuvernd áður en sú vinnsla persónuupplýsinga sem hér er til umfjöllunar hófst, enda fellur hún undir þrjá flokka 2. gr. auglýsingar nr. 828/2019, sbr. 1., 3. og 5.. tölul. 2. gr. og 1. mgr. 1. gr. auglýsingarinnar.

3.3.
Samandregin niðurstaða og fyrirmæli

Með vísan til alls framangreinds er það niðurstaða Persónuverndar að vinnsla Icelandair á persónuupplýsingum um flugfreyjur og flugþjóna fyrirtækisins með smáforritinu CrewApp samrýmist ekki meginreglum laga nr. 90/2018 og reglugerðar (ESB) 2016/679 um meðalhóf og sanngirni.

Jafnframt er það niðurstaða Persónuverndar að Icelandair hafi brotið gegn skyldu sinni til að framkvæma mat á áhrifum umræddrar vinnslu á persónuvernd áður en hún hófst.

Með vísan til framangreinds, og með heimild í 4. tölul. 42. gr. laga nr. 90/2018, er lagt fyrir Icelandair að færa vinnslu persónuupplýsinga í smáforritinu CrewApp, í tengslum við gerð frammistöðumats á flugfreyjum og flugþjónum félagsins, til samræmis við þau ákvæði persónuverndarlöggjafarinnar sem félagið hefur brotið, sbr. umfjöllun hér að framan.

Eigi síðar en 28. apríl 2023 skal Icelandair senda Persónuvernd staðfestingu á að farið hafi verið að þessum fyrirmælum, ásamt lýsingu á þeim ráðstöfunum sem gripið er til í því skyni.

Á k v ö r ð u n a r o r ð:

Vinnsla Icelandair ehf. á persónuupplýsingum flugfreyja og flugþjóna félagsins í tengslum við framkvæmd frammistöðumats þeirra í gegnum smáforritið CrewApp samrýmist ekki meginreglum um meðalhóf og sanngirni samkvæmt lögum nr. 90/2018 og reglugerð (ESB) 2016/679.

Icelandair ehf. braut gegn skyldu sinni samkvæmt lögum nr. 90/2018 og reglugerð (ESB) 2016/679 til að framkvæma mat á áhrifum á persónuvernd vegna vinnslu persónuupplýsinga flugfreyja og flugþjóna í gegnum smáforritið CrewApp áður en vinnslan hófst.

Lagt er fyrir Icelandair ehf. að færa vinnslu persónuupplýsinga í smáforritinu CrewApp, í tengslum við gerð frammistöðumats á flugfreyjum og flugþjónum félagsins, til samræmis við ákvæði persónuverndarlöggjafarinnar sem félagið hefur brotið gegn. Eigi síðar en 28. apríl 2023 skal Icelandair ehf. senda Persónuvernd staðfestingu á að farið hafi verið að þessum fyrirmælum, ásamt lýsingu á þeim ráðstöfunum sem gripið er til í því skyni.

Persónuvernd, 28. mars 2023

Ólafur Garðarsson

 

formaður

 

 

Björn Geirsson          Sindri M. Stephensen

Vilhelmína Haraldsdóttir         Þorvarður Kári Ólafsson