Meðalhóf
Gæta ber meðalhófs við rafræna vöktun, þ.e. velja vægasta mögulega úrræðið til þess ná fram tilganginum með vöktuninni og ekki ganga lengra í vöktuninni en brýna nauðsyn ber til. Sé hægt að ná fram sama tilgangi með rafrænni vöktun með vægara úrræði en það sem er til skoðunar, ber að velja hið vægara úrræði, t.d. með tilliti til staðsetninga eftirlitsmyndavéla á vinnustað.
Tilgangur
Öll rafræn vöktun skal fara fram í yfirlýstum, skýrum og málefnalegum tilgangi. Kann það t.d. að vera í þágu eigna- eða öryggisvörslu. Persónuupplýsingar sem til verða við rafræna vöktun má aðeins nota í þágu tilgangs með söfnun þeirra og aðeins að því marki sem þess gerist þörf í þágu tilgangsins. Ber einnig að fræða starfsmenn um tilgang vöktunarinnar, sem og fleiri atriði sem fjallað er um nánar að neðan.
Sérstök þörf
Þá þarf að vera sérstök þörf fyrir vöktuninni vegna eðlis þeirrar starfsemi sem fram fer á vinnustaðnum. Í frumvarpi með eldri persónuverndarlögum segir að skilyrðið um sérstaka þörf getur verið uppfyllt ef vöktun er nauðsynleg til þess að tryggja öryggi starfsmanna eða hindra að hættuástand skapist. Heimildir til slíkrar vöktunar verði samt sem áður að túlka þröngt og gæta þess að virða einkalífsrétt starfsmanna. Er einnig lögð áhersla á rétt starfsmanna til þess að halda út af fyrir sig félagslegum og persónulegum samböndum í vinnunni.
Fræðslu- og upplýsingaskylda
Fjallað er um fræðslu- og upplýsingaskyldu ábyrgðaraðila, þ.m.t. atvinnurekanda í 10. gr. reglna 837/2006. Þar segir að ábyrgðaraðili að rafrænni vöktun skuli setja reglur og/eða veita fræðslu til þeirra sem henni sæta. Í ráðningarsambandi skal kynna þær reglur með sannanlegum hætti áður en þeim er beitt, s.s. við gerð ráðningarsamnings. Að auki kemur innihald reglnanna eða fræðslunnar fram í 2. mgr. 10. gr. Skulu þær taka til tilgangs vöktunarinnar, hverjir hafi eða kunni að fá aðgang að upplýsingum sem safnast og hversu lengi þær verði varðveittar. Ef kjarasamningur eða bindandi samkomulag felur í sér ríkari rétt en leiðir af slíkum reglum þá víkja reglurnar.-
Að öðru leyti skal eftir því sem við á tilgreina eftirfarandi:
- Hvaða búnaður er notaður
- Rétt til að andmæla vöktuninni og hverjar geti verið afleiðingar þess
- Rétt viðkomandi til að fá að vita hvaða upplýsingar verða til um hann og um rétt hans til að fá upplýsingar leiðréttar eða þeim eytt
- Að hvaða marki netnotkun sé heimil
- Hvernig farið sé með einkatölvupóst og annan tölvupóst
- Hvort símvöktun fari fram og hvort takmarkanir, og þá hvaða, séu á heimild til einkanota á tilgreindum símtækjum
- Afleiðingar þess ef brotið er gegn fyrirmælum
- Önnur atriði, að því marki sem þörf krefur með hliðsjón af aðstæðum hverju sinni, svo að starfsmenn geti gætt hagsmuna sinna
Tilkynningarskylda
Um tilkynningarskyldu er síðan fjallað í 11. gr. reglnanna. Þær skylda atvinnurekanda sem framkvæmir rafræna vöktun að senda Persónuvernd tilkynningu um hana í samræmi við gildandi reglur um tilkynningarskylda og leyfisskylda vinnslu persónuupplýsinga.
Þar skulu koma fram upplýsingar um tilhögun vöktunarinnar og þá fræðslu sem veitt hefur verið um hana og að öðru leyti þau atriði sem tilgreind eru í 32. gr. eldri persónuverndarlaga.
Upplýsinga- og aðgangsréttur
Þá á starfsmaður sem verður fyrir rafrænni vöktun rétt á tilteknum upplýsingum, eigi sér stað vinnsla persónuupplýsinga í tengslum við vöktunina. Meðal þeirra upplýsinga sem ber að veita starfsmanninum eru:
- Tilgangur með fyrirhugaðri vinnslu persónuupplýsinga
- Lagagrundvöllur vinnslu persónuupplýsinga
- Flokkar viðkomandi persónuupplýsinga
- Hverjir viðtakendur persónuupplýsinganna kunna að vera
Þá á starfsmaður rétt á að fá staðfestingu á því frá atvinnurekanda hvort verið sé að vinna persónuupplýsingar um sig, og ef svo er, rétt til aðgangs að þeim upplýsingum og upplýsingar um atriði eins og:
- Tilgangi vinnslunnar
- Flokkar viðkomandi persónuupplýsinga
- Viðtakendur eða flokka viðtakenda sem fengið hafa eða munu fá upplýsingarnar í hendur
- Viðmiðanir eða tímalengd varðveislu persónuupplýsinga
- Uppruni persónuupplýsinga
- Réttinn til að fara fram á það við ábyrgðaraðila að láta leiðrétta persónuupplýsingar, eyða þeim eða takmarka vinnslu þeirra hvað hinn skráða varðar eða til að andmæla slíkri vinnslu
- Réttinn til að leggja fram kvörtun hjá Persónuvernd
- Ef persónuupplýsinga er ekki aflað hjá hinum skráða, fá allar upplýsingar um fyrirliggjandi upplýsingar um uppruna þeirra
- Hvort fram fari sjálfvirk ákvarðanataka og marktækar upplýsingar um þau rök sem liggja þar að baki og þýðingu og fyrirhugaðar afleyðingar slíkrar vinnslu fyrir hinn skráða
Varðveisla og meðferð persónuupplýsinga
Í 7. gr. reglna nr. 837/2006 segir að óheimilt sé að varðveita persónuupplýsingar sem til verða við rafræna vöktun nema það sé nauðsynlegt í ljósi tilgangs vöktunarinnar. Skal þeim þá eytt þegar ekki er lengur málefnaleg ástæða til að varðveita þær, byggist varðveisla á þeim t.d. á fyrirmælum í lögum eða því að atvinnurekandi vinni enn með þær í samræmi við upphaflegan tilgang við öflun þeirra. Þessar upplýsingar má þó ekki varðveita lengur en í 90 daga, nema lög leyfi.
Tvær undantekningar eru frá 90 daga reglunni:
- Reglan á ekki við um persónuupplýsingarsem verða til við atburðarskráningu eða eru geymdar á öryggisafritum.
- Þá gilda mörkin ekki heldur um upplýsingar, sem nauðsynlegar eru til þess að krafa verði afmörkuð, sett fram eða varin vegna dómsmáls eða annarra slíkra laganauðsynja. Við varðveislu slíkra upplýsinga ber þó að hafa hugfast meginreglur persónuverndar, þ.m.t. meðalhófsregluna.
Persónuupplýsingar sem til verða við rafræna vöktun má einungis nota í þágu upprunalegs tilgangs með söfnun þeirra og aðeins að því marki sem þess gerist þörf í þágu tilgangsins. Þær má ekki vinna með eða miðla til annarra. Þrjár undantekningar eru frá þessu:
- Starfsmaður samþykki vinnslu eða miðlun persónuupplýsinga.
- Ákvörðun Persónuverndar heimilar vinnslu eða meðferð persónuupplýsinga.
- Ef afhenda þarf lögreglu persónuupplýsingarum slys eða meintan refsiverðan verknað.
Vöktun með vinnuskilum
Að meginstefnu er vöktun með vinnuskilum og afköstum starfsmanna ekki heimil. 6. gr. reglna nr. 837/2006 nefnir þó þrjú tilvik þar sem heimilt er að framkvæma vöktun með vinnuskilum starfsmanna þegar sérstök þörf er til staðar til þess, og eru þau:
- Þegar ekki er unnt að koma á verkstjórn með öðrum hætti.
- Þegar að án vöktunar sé ekki hægt að tryggja öryggi á viðkomandi svæði, s.s. í ljósi laga og sjónarmiða um hollustuhætti og mengunarvarnir.
- Þegar vöktunin er nauðsynleg vegna ákvæða kjarasamnings eða annars konar samkomulags um launakjör, þar sem launeru byggð á afkastatengdu og tímamældu launakerfi.
Vöktun með leynd
Að lokum skal vöktun með leynd aldrei eiga sér stað nema með sérstakri lagaheimild eða dómsúrskurði.