Öflun Gildis lífeyrissjóðs á heilsufarsupplýsingum vegna samnings um skiptingu lífeyrisréttinda

Mál nr. 2017/1166

19.10.2018

Úrskurður

 
Á fundi stjórnar Persónuverndar þann 18. september 2018 var kveðinn upp svohljóðandi úrskurður í máli nr. 2017/1166:

 

I.
Málsmeðferð

1.
Tildrög máls

Þann 22. ágúst 2017 barst Persónuvernd kvörtun frá [A] (hér eftir nefnd „kvartandi“) vegna kröfu Gildis lífeyrissjóðs um að skylt sé að veita ítarlegar heilsufarsupplýsingar í tengslum við gerð samnings um skiptingu lífeyrisréttinda. Í kvörtuninni segir m.a. að hjónum er hyggjast skipta lífeyrisréttindum sínum sé gert að fá heimilislækni til þess að fylla út spurningalista og gefa út heilbrigðisvottorð fyrir viðkomandi aðila.

 

2.
Bréfaskipti

Með bréfi, dags. 29. nóvember 2017, var Gildi lífeyrissjóði boðið að koma á framfæri skýringum vegna kvörtunarinnar til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993. Svarbréf sjóðsins, dags. 15. desember 2017, barst Persónuvernd þann sama dag.

Í svari sjóðsins er vísað til 3. mgr. 14. gr. laga nr. 129/1997 um skyldutryggingu lífeyrisréttinda og starfsemi lífeyrissjóða, þess efnis að sjóðsfélagi geti ákveðið, á grundvelli samkomulags við maka sinn, að skipta lífeyrisréttindum sínum. Slíkt samkomulag skuli, eftir því sem við á, ná til ellilífeyrisgreiðslna, verðmætis ellilífeyrisréttinda eða ellilífeyrisréttinda beggja aðilanna og fela í sér gagnkvæma og jafna skiptingu áunninna réttinda á meðan hjúskapur eða óvígð sambúð hafi staðið eða standi yfir. Hægt sé að óska eftir þrenns konar skiptingu á réttindum, þ.e. skiptingu á greiðslum, skiptingu á þegar áunnum réttindum og skiptingu á iðgjaldi til framtíðar. Í svarinu segir einnig að eingöngu sé óskað eftir læknisvottorði þegar um sé að ræða skiptingu á þegar áunnum réttindum, sbr. 2. tölul. 3. mgr. 14. gr., þar sem að auki komi fram að sjóðsfélagi geti, áður en taka lífeyris hefst, eigi síðar en fyrir 65 ára aldur og ef sjúkdómar og heilsufar draga ekki úr lífslíkum, ákveðið að verðmæti uppsafnaðra ellilífeyrisréttinda hans skuli allt að hálfu renna til að mynda sjálfstæð ellilífeyrisréttindi fyrir maka hans eða fyrrverandi maka á gagnkvæmum og jöfnum grundvelli. Heildarskuldbinding lífeyrissjóðsins skuli ekki aukast við þessa ákvörðun sjóðsfélagans en hún feli í sér breytingu á tryggingavernd hans og maka hans, á þann veg að tryggingavernd sjóðsfélaga minnki gegn samsvarandi aukningu réttinda makans og öfugt.

Tekið er fram að í ljósi fyrrnefnds skilyrðis um að sjúkdómar og heilsufar dragi ekki úr lífslíkum þeirra sem samkomulag taki til, beri lífeyrissjóði sem taki á móti beiðni um skiptingu lífeyrisréttinda, að ganga úr skugga um að slíkar ástæður séu ekki fyrir hendi og afla viðeigandi heilsufarsupplýsinga í því skyni. Um sé að ræða lögbundna vinnslu persónuupplýsinga til þess að geta orðið við beiðni um skiptingu lífeyrisréttinda. Vinnslan byggist því á 3. tölul. 1. mgr. 8. gr. og 2. tölul. 1. mgr. 9. gr. laga nr. 77/2000 (nú 2. tölul. 1. mgr. 11. gr. laga nr. 90/2018), þar sem um viðkvæmar persónuupplýsingar sé að ræða.

Einnig er vísað til þess að það form heilbrigðisvottorðs, sem kvörtun í þessu máli beinist að, hafi verið unnið í samstarfi við trúnaðarlækna sem starfi á vegum lífeyrissjóða og að notast sé við umrætt form hjá aðildarsjóðum Landssamtaka lífeyrissjóða.

Að lokum er vísað til þess að læknisvottorð, ásamt öðrum gögnum máls, séu vistuð í rafrænu gagnavörslukerfi, á aðgangsstýrðu svæði, en frumrit séu geymd í læstum skjalaskáp lífeyrisdeildar. Trúnaðarlækni sé svo veittur aðgangur í gegnum rafræna gagnavörslukerfið. Fram kemur að Gildi lífeyrissjóður hafi sett sér öryggisstefnu, sem fylgt sé varðandi ráðstafanir sem gerðar séu til þess að vernda umræddar persónuupplýsingar gegn óleyfilegum aðgangi. Samkvæmt umræddri öryggisstefnu séu persónugreinanlegar upplýsingar því einungis aðgengilegar þeim sem á þurfi að halda og hvað rafrænt gagnavörslukerfi varði, sé rekstur þess í samræmi við ISO 27001 gæðastuðulinn um öryggi upplýsingakerfa.

Með bréfi, dags. 21. febrúar 2018, var kvartanda boðið að koma á framfæri athugasemdum sínum við framkomnar skýringar Gildis lífeyrissjóðs til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993. Svarbréf kvartanda, dags. 28. febrúar 2018, barst Persónuvernd þann 1. mars 2018. Þar segir m.a. að ekki sé kvartað yfir því að umræddra gagna sé aflað heldur yfir því hve margar hendur þau fari um. Einnig kemur fram það mat kvartanda að betur færi á að læknir sjóðsfélaga sæi um móttöku umræddra upplýsinga. Ennfremur segir að gengið sé lengra en þörf krefji við upplýsingaöflun, en í því samhengi er vísað til þess að m.a. sé farið fram á upplýsingar um hvort sjóðsfélagi hafi fengið þursabit, bakverk eða átt við taugaveiklun að etja, vegna mats á því hvort sjúkdómar og heilsufar dragi úr lífslíkum.

 

II.
Forsendur og niðurstaða 

1.
Lagaskil

Lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga sem giltu þegar kvörtun þessi barst voru leyst af hólmi með lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga sem tóku gildi 15. júlí 2018. Þau lögfestu jafnframt reglugerð (ESB) 2016/679 um persónuvernd, eins og hún var aðlöguð og tekin upp í EES-samninginn.

Þar sem kvörtun þessi beinist að ástandi sem enn er til staðar, þ.e. efni heilbrigðisvottorðs í tengslum við  samning um skiptingu lífeyrisréttinda, auk þess sem þær reglur laga um persónuvernd sem á reynir hafa ekki breyst efnislega, verður leyst úr málinu á grundvelli laga nr. 90/2018.

 

2.
Gildissvið laga nr. 90/2018
Ábyrgðaraðili

Gildissvið laga nr. 90/2018, um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá. Til persónuupplýsinga teljast upplýsingar um persónugreindan eða persónugreinanlegan einstakling, en einstaklingur telst persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, s.s. með tilvísun í auðkenni eins og nafn, kennitölu, staðsetningargögn, netauðkenni eða einn eða fleiri þætti sem einkenna hann í líkamlegu, lífeðlisfræðilegu, erfðafræðilegu, andlegu, efnalegu, menningarlegu eða félagslegu tilliti, sbr. 2. tölulið 3. gr. laganna. Þá er með vinnslu átt við aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort heldur sem vinnslan er sjálfvirk eða ekki, s.s. söfnun, skráningu, flokkun, kerfisbindingu, varðveislu, aðlögun eða breytingu, heimt, skoðun, notkun, miðlun með framsendingu, dreifingu eða aðrar aðferðir til að gera upplýsingarnar tiltækar, samtengingu eða samkeyrslu, aðgangstakmörkun, eyðingu eða eyðileggingu, sbr. 4. tölulið sömu greinar.

Mál þetta lýtur að vinnslu Gildis lífeyrissjóðs á upplýsingum um sjóðsfélaga vegna mats á lífslíkum þeirra. Að því virtu og með hliðsjón af framangreindum ákvæðum varðar mál þetta vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Samkvæmt 6. tölulið 3. gr. laganna er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 7. tölul. 4. gr. reglugerðarinnar. Eins og hér háttar til telst Gildi lífeyrissjóður vera ábyrgðaraðili að umræddri vinnslu.

 

3.
Lögmæti vinnslu

Svo að vinna megi með persónuupplýsingar  verður ávallt að vera fullnægt einhverju af skilyrðum 9. gr. laga nr. 90/2018. Þá þarf ávallt að vera fullnægt einhverju af viðbótarskilyrðum 1. mgr. 11. gr. sömu laga svo að vinna megi með viðkvæmar persónuupplýsingar, en þar undir falla heilsufarsupplýsingar, sbr. b-lið 3. tölul. 3. gr. laganna. Af heimildum 9. gr. laganna telur Persónuvernd að einkum geti átt við 3. tölul., þess efnis að vinnsla persónuupplýsinga sé heimil sé hún nauðsynleg til að fullnægja lagaskyldu, þ.e. á grundvelli 14. gr. laga nr. 129/1997. Þá telur Persónuvernd að af heimildum 1. mgr. 11. gr. til að vinna með viðkvæmar persónuupplýsinga komi einkum til álita 6. tölul., þess efnis að vinna megi með persónuupplýsingar sé það nauðsynlegt til að unnt sé meðal annars að stofna réttarkröfur.

Auk heimildar samkvæmt framangreindu er áskilið í 1. mgr. 8. gr. laga nr. 90/2018, sbr. 5. gr. reglugerðar (ESB) 2016/679, að öll vinnsla persónuupplýsinga skuli fullnægja þeim grunnkröfum sem þar eru tilgreindar. Er þar m.a. kveðið á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða (1. tölul.), að þær skuli fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi (2. tölul.), að þær skuli vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.) og að þær skuli vera áreiðanlegar og uppfærðar eftir þörfum, en persónuupplýsingum, sem séu óáreiðanlegar eða ófullkomnar, miðað við tilgang vinnslu þeirra, skuli eytt eða þær leiðréttar án tafar (4. tölul.).

Í ljósi 3. mgr. 14. gr. laga nr. 129/1997 verður að ætla Gildi lífeyrissjóði nokkurt svigrúm til vinnslu upplýsinga er varða lagaskyldur sjóðsins, sbr. 3. tölul. 1. mgr. 9. gr. laga nr. 90/2018, enda er sett það skilyrði fyrir skiptingu lífeyrisréttinda í 2. tölul. 3. mgr. 14. gr. laga nr. 129/1997 að sjúkdómar eða heilsufar dragi ekki úr lífslíkum. Er þar með lögð sú skylda á lífeyrissjóð að staðfesta með einhverjum hætti að svo sé ekki, án þess að nánari grein sé gerð fyrir þeirri skyldu í lögum eða greinargerð með frumvarpi því er síðar varð að nefndum lögum.

Hins vegar er til þess að líta að 1. mgr. 8. gr. laga nr. 90/2018 setur þeirri vinnslu viss mörk. Ekki fæst séð að Gildi lífeyrissjóður hafi yfir að búa slíkri læknisfræðilegri þekkingu að hann geti sjálfur viðhaft mat á því hvort sjúkdómar eða heilsufar dragi úr lífslíkum sjóðsfélaga. Til marks um það er til þess að líta að trúnaðarlæknir yfirfer umrædd vottorð og leggur mat á það hvort sjúkdómar eða heilsufar dragi úr lífslíkum sjóðsfélaga. Telja verður eðlilegt að slíkt mat sé í höndum lækna og eru því ekki gerðar athugasemdir við þá málsmeðferð hjá sjóðnum. Hvað varðar umfang þeirrar upplýsingaöflunar er til þess að líta að í 3. tölul. 1. mgr. 8. gr. laga nr. 90/2018 er kveðið á um að persónuupplýsingar skuli vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt sé miðað við tilgang vinnslunnar. Er minnt á mikilvægi þess að umfang upplýsingaöflunar samrýmist þessari grunnreglu.

Hvað varðar þann hluta kvörtunarinnar er lýtur að því að of margir aðilar fari höndum um þær persónuupplýsingar sem unnið er með reynir einnig á grunnreglu 3. tölul. 1. mgr. 8. gr. laga nr. 90/2018. Nánar tiltekið leiðir af þessari grunnreglu að ekki eiga fleiri að koma að vinnslu en nauðsynlegt er, sem og m.a. að koma þarf í veg fyrir aðgang óviðkomandi aðila að gögnum, en slíkt er einnig þáttur í öryggi persónuupplýsinga, sbr. 6. tölul. 1. mgr. 8. gr. og 27. gr. laga nr. 90/2018. Verður ekki talin ástæða, í ljósi framangreindra ákvæða, til athugasemda við miðlæga vörslu umræddra gagna hjá Gildi lífeyrissjóði, enda sé trúnaðarlækni veittur aðgangur að gögnunum á þann hátt að tryggt sé að óviðkomandi fái ekki að þeim aðgang.

Að framangreindu virtu er það niðurstaða Persónuverndar að vinnsla Gildis lífeyrissjóðs á persónuupplýsingum vegna mats á lífslíkum sjóðsfélaga við skiptingu áunninna lífeyrisréttinda samrýmist lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga.

Meðferð máls þessa hefur dregist vegna mikilla anna hjá Persónuvernd.

 

Ú r s k u r ð a r o r ð:

Vinnsla Gildis lífeyrissjóðs á persónuupplýsingum vegna mats á lífslíkum sjóðsfélaga við skiptingu áunninna lífeyrisréttinda samrýmist lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga.