„Skammar­listinn“ á Grand hótel brot á per­sónu­verndar­lögum

Listi yfir veikindafjarvistir starfsmanna Íslandshótela, sem hékk uppi í almennu rými á einu hóteli fyrirtækisins, var á svig við Persónuverndarlög. Þetta kemur fram í nýbirtum úrskurði Persónuverndar. Fyrirtækinu var gert að setja verklagsreglur um meðferð persónuupplýsinga um starfsmenn fyrirtækisins.

Stéttarfélagið Efling kvartaði til Persónuverndar vegna málsins fyrir hönd félagsmanna sinna, starfsmanna á hóteli Íslandshótela, í febrúar í fyrra.

Fjallað var um málið í fjölmiðlum á sínum tíma en þar kom fram að umræddur listi yfir fjölda veikindadaga starfsmanna í eldhúsi árið 2018 hefði verið hengdur upp á Grand hótel í Reykjavík. Efling kallaði listann „skammarlista“ í yfirlýsingum sínum um málið.

Sjá einnig: Birta mynd af „skammarlistanum“ í almennu rými

Starfsmennirnir sem kvörtuðu byggðu á því að rekstrarstjóri hefði hengt listann upp í rými sem hefði verið aðgengilegt öllum starfsmönnum hótelsins. Þessi aðgerð rekstrarstjórans hefði falið í sér vinnslu umræddra persónuupplýsinga, sem teldust viðkvæmar, án samþykkis þeirra einstaklinga sem upplýsingarnar vörðuðu. Starfsmenn sem kvörtuðu voru þeirra á meðal.

Íslandshótel báru því fyrir sig að nauðsynlegt væri að halda skrá yfir veikinda- og orlofsdaga starfsmanna, m.a. til að tryggja rétta framkvæmd ráðningar- og kjarasamninga.

Fyrirtækið hélt því einnig fram að listinn hefði verið tekinn ófrjálsri hendi af skrifstofu yfirmanns og hengdur upp án vitundar hans eða fyrirtækisins. Þar með hefði orðið öryggisbrestur og Persónuvernd verið tilkynnt um hann þann 27. febrúar 2019. Starfsmennirnir sem kvörtuðu höfnuðu þessum fullyrðingum Íslandshótela.

Í úrskurði Persónuverndar segir að samkvæmt gögnum málsins sé ljóst að upplýsingar um fjarveru starfsmanna í eldhúsi hafi ekki einungis verið að finna í sérstöku tölvukerfi, heldur einnig á útprentuðum lista.

Enn fremur virðist ljóst að listinn hafi upphaflega verið varðveittur á skrifstofu yfirmanns í eldhúsi. Það sé því mat Persónuverndar að Íslandshótel hafi ekki tryggt nægilega vel að upplýsingar um fjarvistir starfsmanna vegna veikinda kæmu ekki fyrir augu óviðkomandi aðila.

Vinnsla Íslandshótela á persónuupplýsingunum hafi ekki samrýmst lögum um persónuvernd. Því hefur Íslandshótelum verið gert að setja verklagsreglur um meðferð persónuupplýsinga um starfsmenn fyrirtækisins.

Fyrirtækið skuli jafnframt tryggja að reglurnar séu aðgengilegar öllum starfsmönnum og þær kynntar sérstaklega fyrir öllum stjórnendum innan fyrirtækisins.